Hackers patrocinados por el estado afiliados a China han atacado enrutadores de pequeñas oficinas/oficinas domésticas en los EE. UU. en un ataque de botnet de amplio alcance, anunció el miércoles 31 de enero el director de la Oficina Federal de Investigaciones, Christopher Wray. La mayoría de los enrutadores afectados fueron fabricados por Cisco y NetGear y había llegado al final de su vida útil. Los investigadores del Departamento de Justicia dijeron el 31 de enero de 2024 que el malware se eliminó de los enrutadores afectados. Los investigadores también aislaron los enrutadores de otros dispositivos utilizados en la botnet. Los equipos de TI necesitan saber cómo reducir los riesgos de ciberseguridad que podrían derivarse de que los trabajadores remotos utilicen tecnología obsoleta. ¿Qué es el ataque de la botnet Volt Typhoon? La amenaza a la ciberseguridad en este caso es una botnet creada por Volt Typhoon, un grupo de atacantes patrocinado por el gobierno chino. Más cobertura de seguridad en la nube A partir de mayo de 2023, el FBI analizó una campaña de ciberataque contra organizaciones de infraestructura crítica. El 31 de enero de 2024, el FBI reveló que una investigación sobre el mismo grupo de actores de amenazas en diciembre de 2023 mostró que atacantes patrocinados por el gobierno de China habían creado una botnet utilizando cientos de enrutadores privados en todo Estados Unidos. El ataque fue un intento. crear avances en “los sectores de comunicaciones, energía, transporte y agua” con el fin de perturbar funciones críticas de Estados Unidos en caso de conflicto entre los países, dijo Wray en el comunicado de prensa. VER: Varias empresas de seguridad y agencias estadounidenses tienen sus ojos puestos en Androxgh0st, una botnet que apunta a las credenciales de la nube. (TechRepublic) Los atacantes utilizaron una técnica de “vivir de la tierra” para mezclarse con el funcionamiento normal de los dispositivos afectados. El FBI se está comunicando con cualquier persona cuyo equipo haya sido afectado por este ataque específico. No se ha confirmado si los empleados de una organización en particular fueron el objetivo. Cómo reducir los riesgos de ciberseguridad de las botnets para trabajadores remotos El hecho de que los enrutadores objetivo sean de propiedad privada resalta un riesgo de seguridad para los profesionales de TI que intentan mantener seguros a los trabajadores remotos. Dado que los miembros de TI no supervisan los enrutadores utilizados en el hogar, es difícil saber si los empleadores pueden estar utilizando enrutadores antiguos o incluso al final de su vida útil. Las botnets se utilizan a menudo para lanzar ataques distribuidos de denegación de servicio o para distribuir malware, por lo que las defensas contra ellos son componentes importantes de una defensa completa contra las botnets. Las botnets suelen estar dirigidas por un servidor de comando y control centralizado. Las organizaciones deben asegurarse de contar con una buena protección de terminales y defensas proactivas, tales como: El software y el hardware deben mantenerse actualizados, ya que los dispositivos al final de su vida útil son particularmente vulnerables. Para proteger los dispositivos contra el uso de ataques de botnets, ejecute análisis de seguridad periódicos, instituya la autenticación multifactor y mantenga a los empleados informados sobre las mejores prácticas de ciberseguridad. «Es esencial realizar de forma proactiva inventarios tecnológicos exhaustivos de activos más allá de la oficina tradicional», dijo Demi Ben-Ari, directora de tecnología de la firma de tecnología de gestión de riesgos de terceros Panorays, en un correo electrónico a TechRepublic. «Este enfoque ayuda a identificar tecnología obsoleta, garantizando que los trabajadores remotos tengan equipos actualizados y seguros». «Si bien el trabajo remoto presenta vulnerabilidades potenciales debido a diversos entornos, es importante tener en cuenta que podrían ocurrir ataques similares en un entorno de oficina», dijo Ben-Ari.
Etiqueta: La seguridad cibernética Página 6 de 8
En una época en la que el progreso tecnológico supera nuestra capacidad de mantenernos al día, el ámbito de la ciberseguridad ha evolucionado hasta convertirse en un delicado equilibrio entre innovación y protección. El rápido avance de la tecnología no sólo nos impulsa hacia adelante sino que también nos somete a un entorno digital cada vez más hostil. Mientras las organizaciones luchan con la creciente variedad de activos digitales que necesitan protección, el imperativo de fortalecer las ciberdefensas ha alcanzado niveles sin precedentes. IA: cómo se utilizará como ofensiva y defensiva La inteligencia artificial puede crear contenido nuevo basado en datos existentes, lo que presenta ventajas y desafíos en ciberseguridad. En el lado negativo, sus capacidades de aprendizaje autónomo y generación de contenidos plantean amenazas importantes. Los actores malintencionados pueden aprovechar la IA generativa para realizar ciberataques sofisticados. Por ejemplo, se puede emplear la tecnología para crear correos electrónicos de phishing convincentes, generar malware adaptable y en evolución, producir contenido engañoso deepfake y falsificar documentos de identidad utilizando datos personales adquiridos. Por otro lado, la IA es útil para la ciberseguridad cuando se trata de defensa. A medida que las empresas invierten más en IA y aprendizaje automático para sus necesidades de TI, las estrategias defensivas utilizan la IA generativa de diferentes maneras. Ayuda a analizar rápidamente grandes conjuntos de datos, encontrar patrones y cosas inusuales para detectar posibles peligros. Además, desempeña un papel en la detección y clasificación de riesgos para los sistemas, asegurándose de que los ciberataques se detengan o reduzcan a tiempo. Las vulnerabilidades de la nube serán cada vez más preocupantes El uso cada vez mayor de la inteligencia artificial (IA) y el manejo de una enorme cantidad de datos está impulsando el progreso de la tecnología. Al mismo tiempo, también es importante mantener segura la información confidencial. La IA se utiliza ampliamente en la nube para crear grandes redes para almacenar datos, por lo que es crucial proteger estos sistemas de almacenamiento en la nube. A medida que las empresas adoptan rápidamente herramientas y aplicaciones basadas en la nube, es necesario desarrollar tecnologías que hagan que las infraestructuras de la nube sean sólidas y seguras. Los entornos de nube son especialmente atractivos para los grandes actores, como los países que quieren tener una ventaja sobre los demás. Por eso, en este mundo competitivo, mantener los datos seguros y bajo control es clave, garantizando que las infraestructuras en la nube estén siempre seguras. El uso de soluciones de detección avanzadas, como pruebas de penetración o inteligencia integrada sobre amenazas para mapear cuidadosamente las amenazas persistentes avanzadas (APT), son las medidas estratégicas recientes adoptadas por organizaciones grandes y pequeñas. Estas soluciones ayudan a los equipos de seguridad a comprobar periódicamente las filtraciones y los lugares públicos en busca de inicios de sesión, direcciones de correo electrónico y contraseñas vinculadas a los empleados de la empresa. Cumplir con los requisitos de cumplimiento Deberíamos cambiar nuestra forma de pensar sobre la seguridad. En lugar de limitarnos a seguir reglas, debemos centrarnos en adoptar medidas de seguridad prácticas y eficaces. Cumplir reglas sin seguridad real puede hacernos pensar que estamos a salvo cuando corremos el riesgo de sufrir problemas de seguridad. Sin embargo, es importante reconocer que los requisitos de cumplimiento están cambiando y evitar multas por incumplimiento es crucial. Las violaciones de datos a menudo conllevan consecuencias legales, multas elevadas y responsabilidades financieras. Para abordar las consecuencias del incumplimiento, los expertos experimentados en respuesta a incidentes desempeñan un papel fundamental. Seguir las reglas implica utilizar el conocimiento, la tecnología y los procesos adecuados. Para mantenerse al día con las reglas cambiantes, es inteligente contar con asesores que puedan ayudar a comprenderlas y seguirlas. Detección de malware En el pasado, el malware era relativamente simple y a menudo se duplicaba sin cambios significativos, lo que hacía más fácil detectarlo y contrarrestarlo con software antivirus. Por lo general, el daño se limitaba al dispositivo o dispositivos infectados. Sin embargo, el malware moderno ha sufrido una transformación sustancial. Se ha vuelto muy sofisticado y apunta a lograr ambiciosos objetivos maliciosos, como la extorsión financiera y el espionaje, tipos de amenazas comúnmente conocidas como amenazas persistentes avanzadas (APT). En el futuro, también podrían utilizar tácticas en las que aprovechen las herramientas y actividades normales del sistema, lo que dificultará su detección. Este cambio sugiere que el malware seguirá mejorando en su ataque a todo tipo de dispositivos, sistemas y personas. La inteligencia de la Dark Web ganará impulso Vigilar la Dark Web será más importante para defenderse contra los ciberataques y reducir los riesgos relacionados con la información filtrada. Las organizaciones deben consultar periódicamente los foros y mercados de la web oscura para encontrar datos relacionados con su marca. Esto ayuda a proteger su reputación, mantener segura la información confidencial y mantener la confianza con los clientes y las partes interesadas. La plataforma Dark Web Intelligence de FLYONIT puede ayudarle a explorar los rincones más profundos de la web oscura para descubrir si su negocio está en riesgo. Puede observar activamente foros, mercados y comunidades cerradas de ciberdelincuentes en tiempo real. Este enfoque proactivo ayuda a identificar credenciales comprometidas, tarjetas de crédito robadas, nuevas muestras de malware y ayuda a las empresas a identificar y reducir los riesgos cibernéticos antes de que provoquen más daños. Ransomware: la amenaza más común El ransomware, una importante amenaza a la ciberseguridad en diversas industrias de Australia, continúa evolucionando y provoca interrupciones cada vez más graves. Sus orígenes se remontan a las primeras formas de malware que exigían pagos de rescate. Ya sea que esté orquestado por piratas informáticos independientes o por estados-nación, el ransomware sigue siendo una amenaza persistente y desafiante. Es probable que su camino futuro implique un cambio en las tácticas de ataque, centrándose en objetivos más nuevos y menos comunes, como los servicios en la nube y los dispositivos de IoT. Mantener la actualización de su sistema puede ayudarlo a evitar este tipo de estafas. BullPhish ID también es un programa de capacitación en concientización sobre seguridad que equipa a su equipo con el conocimiento y los instintos necesarios para identificar, frustrar y reportar intentos de phishing de manera efectiva. Cómo la ciberseguridad se está volviendo indispensable La ciberseguridad está evolucionando más allá de una función centralizada y se está convirtiendo en una parte integral de todos los departamentos de una empresa. En lugar de ser una idea de último momento, la ciberseguridad se está integrando gradualmente en todas las funciones empresariales y seguirá haciéndolo. En el contexto de equipos distribuidos, las consideraciones de seguridad deben integrarse en las iniciativas comerciales desde el principio. Esto se vuelve aún más crítico para las empresas de la región del Pacífico, donde muchas tienen una infraestructura de ciberseguridad obsoleta, lo que las convierte en objetivos susceptibles a los ciberataques. El Thales Cyber Report de 2021 reveló que el 40% de los líderes de TI australianos admitieron haber fallado en las auditorías de cumplimiento de seguridad. Para las empresas SaaS, especialmente aquellas que gestionan grandes cantidades de datos de usuarios, es imperativo implementar medidas de ciberseguridad. A medida que se acercan rápidos cambios tecnológicos, las organizaciones deberían contemplar la posibilidad de actualizar su infraestructura de ciberseguridad para minimizar los riesgos. Invertir dinero puede parecer una solución rápida, pero no siempre es la más eficaz. Es crucial restablecer las expectativas con respecto a la gestión de riesgos y alejarse de la creencia poco realista de que un administrador de TI por sí solo puede manejar cada infracción. Adoptar un enfoque más práctico para desarrollar una estrategia integral de ciberseguridad implica ir más allá de los recursos internos. Colaborar con FLYONIT, que está especializado en monitorear y defender la infraestructura de red, puede ofrecer un soporte valioso y esencial para su negocio.
Este artículo es la parte 1 de esta guía: Cómo desbloquear la sabiduría en materia de ciberseguridad: su guía para reconocer ataques de phishing. Bien, imagínese esto: está tranquilamente tomando su café y continuando con su día a día cuando recibe un correo electrónico que parece provenir de una fuente confiable. ¿Pero adivina que? ¡Es una trampa! Esa, amigos míos, es la esencia del phishing. Es un ciberataque en el que estos astutos cibervillanos te engañan para que reveles tu información confidencial, como contraseñas, detalles de tarjetas de crédito o tu historia de vida personal. En este artículo, profundizamos en el intrincado mundo de los ataques de phishing, arrojando luz sobre qué son, cómo funcionan, los distintos tipos de tácticas de phishing empleadas por los ciberdelincuentes y, lo más importante, cómo protegerse a usted y a su organización para no ser víctima de ataques de phishing. estos esquemas engañosos. Comprender el phishing: una mirada más cercana La concientización sobre los ataques de phishing es un tema esencial en la era digital actual, donde las amenazas cibernéticas cobran gran importancia. De hecho, es tan común que el 96% de los ataques de phishing llegan por correo electrónico. Otro 3% se realiza a través de sitios web maliciosos y sólo el 1% a través del teléfono. De hecho, se estima que los ciberdelincuentes envían unos 3.400 millones de correos electrónicos de phishing al día. Eso se traduce en 1 correo electrónico de estafa de phishing por cada 4200 correos electrónicos enviados. Se estima que los ciberdelincuentes envían cada día 3.400 millones de correos electrónicos de phishing, o el 1% de todo el tráfico de correo electrónico. Sin embargo, eso equivale a pérdidas superiores a 10.300 millones de dólares y 1 correo electrónico fraudulento de phishing por cada 4.200 correos electrónicos enviados. Pero ¿qué es exactamente el phishing? ¿Qué es el phishing? El phishing es una forma de ciberataque dirigido a personas, organizaciones e incluso gobiernos. Estos ataques suelen presentarse en forma de correos electrónicos, mensajes o sitios web engañosos que parecen legítimos. El objetivo de un ataque de phishing es engañar a los destinatarios para que revelen información confidencial, como credenciales de inicio de sesión, datos financieros o datos personales. Los atacantes utilizan una variedad de tácticas psicológicas y técnicas para engañar a los usuarios para que realicen acciones que sirvan a sus intereses. El manual de phishing: cómo funcionan los ataques de phishing ¿Alguna vez te has preguntado cómo estos estafadores cibernéticos ejercen su magia oscura? Los ataques de phishing suelen llevarse a cabo a través de canales aparentemente legítimos, como correos electrónicos, mensajes de texto, llamadas telefónicas, plataformas de redes sociales o sitios web que parecen legítimos. El atacante se hace pasar por una entidad confiable, como una empresa acreditada, una institución financiera o una agencia gubernamental, para manipular a la víctima para que revele información confidencial o haga clic en enlaces maliciosos. Los ataques de ingeniería social, como el phishing, se utilizan muy comúnmente como parte de los ciberataques porque es mucho más fácil engañar a alguien para que haga clic en un enlace malicioso en un correo electrónico de phishing aparentemente legítimo que penetrar las defensas cibernéticas de una empresa. Esto hace que sea importante que cualquier organización comprenda el phishing y aprenda cómo detectarlo y prevenirlo. Establecer un enfoque eficaz para prevenir, detectar y mitigar el phishing requiere comprender cómo funciona el phishing y las numerosas estrategias utilizadas en los ataques de phishing. El escuadrón de ataques de phishing: tipos comunes de ataques de phishing Estos atacantes son como un grupo versátil de actores que cambian sus roles para engañarlo mejor. ¡Abróchate el cinturón mientras nos sumergimos en su manual y exponemos sus tácticas furtivas! Así es como lo hacen: 1. Phishing por correo electrónico: la estafa clásica El phishing por correo electrónico es el OG de los ataques de phishing, que lo atrae con un mensaje aparentemente inofensivo de una fuente legítima, pero en realidad, estos mensajes son como caballos de Troya, que contienen amenazas ocultas. que pueden causar estragos en su vida digital. Imagínese esto: está navegando por su bandeja de entrada y ahí está: un correo electrónico que parece ser de su banco o de una empresa de confianza, instándolo a hacer clic en un enlace, abrir un archivo adjunto o incluso entregar sus valiosos datos de inicio de sesión. El objetivo final es atraerte a una conversación, engañándote para que reveles tus datos confidenciales. 2. Spear Phishing: la estafa personalizada El Spear phishing es un ataque personalizado dirigido a personas específicas, que a menudo utiliza información personal para parecer legítimo. Piense en el Spear Phishing como el James Bond de los ciberataques. Los atacantes no sólo lanzan una amplia red; todo es cuestión de precisión. Profundizan en su información personal y luego desatan estafas que están tan hechas a medida que juraría que son legítimas. 3. Caza de ballenas: Atrapando al pez gordo La caza de ballenas es un ataque de phishing altamente dirigido diseñado para obtener información corporativa confidencial de puestos de alta dirección o empleados de alto perfil. Es el equivalente de alto riesgo del phishing. Los atacantes no buscan objetivos comunes. Han puesto sus ojos en los peces gordos (los ejecutivos corporativos) y buscan un tesoro escondido de secretos corporativos confidenciales. 4. Pharming: Cyber Garden of Deceit Pharming es una forma técnica de phishing que implica código malicioso para redirigir a las víctimas a sitios web falsos (incluso si ingresan la dirección web correcta) para robar sus contraseñas y datos. En este retorcido juego, los atacantes alteran tu navegación. Son los titiriteros y te desvían en secreto a su malicioso patio de recreo. De manera similar, es como intentar encontrar la salida en un laberinto que cambia constantemente. 5. Sonrisas y vishing: mentiras en la línea Estos son ataques de phishing que utilizan el teléfono en lugar de la comunicación escrita. El smishing es como un truco astuto de mensajes de texto, mientras que el vishing es una hechicería basada en la voz. Si pensaba que el phishing se limitaba a los correos electrónicos, piénselo de nuevo. Los atacantes son maestros del disfraz y utilizan SMS fraudulentos y llamadas o conversaciones telefónicas automatizadas para robar su información confidencial. Te encantarán como a tu abuela mientras planean su atraco digital. 6. Angler Phishing: la trampa de las redes sociales El Angler phishing es un tipo de ataque de phishing en el que un atacante se hace pasar por un agente de servicio al cliente en las redes sociales, ya sea para robar su información personal o infectar su dispositivo con malware. Imagínate esto: te estás quejando con una marca en las redes sociales y ¡bam! Estás interactuando con la cuenta falsa del atacante. Estos ciberdelincuentes son maestros de la manipulación y dirigen tus interacciones a su guarida malvada. Es posible que le soliciten su información personal o incluso le envíen a un sitio web malicioso. ¡Hablamos de una emboscada digital! A esta altura, ya cuenta con el conocimiento necesario para detectar estas tácticas de phishing a una milla de distancia. Estos atacantes son los mejores cambiaformas y cambian su juego para engañarte. ¡Pero no temas! ¡Recuerde siempre mantener la guardia alta y su escudo cibernético fuerte! Manténgase alerta, manténgase informado y no se deje engañar por sus trucos. Indicadores comunes de un intento de phishing Para defenderse eficazmente contra los intentos de phishing, es fundamental reconocer los indicadores comunes que sugieren que una comunicación puede ser fraudulenta. Entonces, ¿cómo es un ataque de phishing? Pongámonos manos a la obra y expongamos esas tácticas engañosas utilizadas por los phishers. Estas son las señales que deberían hacer sonar las alarmas en línea: 1. Saludos genéricos: los correos electrónicos de phishing de alerta «Estimado usuario» a menudo utilizan saludos genéricos como «Estimado usuario» en lugar de dirigirse a usted por su nombre. Las organizaciones legítimas suelen personalizar sus comunicaciones. 2. Dirección de correo electrónico del remitente inusual: un juego de dominios Preste mucha atención a la dirección de correo electrónico del remitente y tenga cuidado con esas pequeñas variaciones. Son como dobles digitales que intentan imitar el negocio real. Los ciberdelincuentes suelen utilizar direcciones de correo electrónico que se parecen a las legítimas pero que contienen ligeras variaciones o errores ortográficos. 3. Lenguaje urgente o amenazante: el lema “¡Actúe ahora o perezca!” Los correos electrónicos de alerta de phishing aprovechan la urgencia para crear una sensación de pánico o miedo. Tenga cuidado con los mensajes que amenazan con la suspensión de la cuenta, sanciones financieras o pérdida de datos a menos que tome medidas inmediatas. 4. Enlaces o archivos adjuntos sospechosos: un atajo hacia los problemas Los ciberatacantes suelen incorporar malware en archivos adjuntos o enlaces a sitios web falsos diseñados para robar su información. Pase el cursor sobre esos enlaces antes de hacer clic. Si te llevan a rincones dudosos de Internet, es hora de abortar la misión. 5. Errores ortográficos y gramaticales: un ejemplo Posiblemente la forma más fácil de reconocer un correo electrónico fraudulento es la mala gramática, los errores ortográficos o las frases incómodas. Sin embargo, hoy en día los estafadores han mejorado su juego con correos electrónicos de phishing que parecen convincentes y están libres de errores. Pero aún así, los piratas informáticos se aprovechan de personas sin educación y desprevenidas, creyendo que son menos observadores y, por lo tanto, objetivos más fáciles. 6. Petición de información: sus datos no están disponibles Es como si alguien llamara a su puerta digital y le preguntara sus secretos. Las organizaciones legítimas normalmente no solicitan información confidencial, como contraseñas o números de Seguro Social, por correo electrónico. Tenga cuidado si un correo electrónico le solicita que proporcione dichos detalles. 7. Demasiado bueno para ser verdad: The Cyber Jackpot Mirage ¡Imagínese recibir un correo electrónico afirmando que ha ganado la ciberlotería! Pero detén tus caballos. Si suena demasiado bueno para ser verdad (como un príncipe compartiendo su riqueza), lo más probable es que sea solo la quimera de un phisher. 8. Sitios web no seguros: sin candado, no se puede entrar Una puerta sin cerradura: ¿entrarías? Lo mismo ocurre con los sitios web a los que les falta el símbolo “https://” o candado. A modo de ejemplo, coloque el cursor sobre cualquier enlace para asegurarse de que lo llevará al sitio correcto y no haga clic en enlaces que no utilicen HTTPS. Su próximo paso: mejores prácticas para protegerlo a usted y a su negocio Ahora que es un experto en radares de phishing, hablemos sobre su próximo paso en este juego de ajedrez digital en la Parte 2 de esta guía: Descubriendo la sabiduría en ciberseguridad: mejores prácticas para la prevención del phishing mientras tanto , si cree que recibe un correo electrónico de phishing, infórmelo inmediatamente al departamento de TI de su organización y a las autoridades pertinentes. La presentación de informes ayuda a identificar patrones y tomar medidas preventivas. Conclusión: mantenga la calma y sea cibernéticamente inteligente Los ataques de phishing son una amenaza persistente y en evolución en el panorama digital. Sin embargo, las personas y las empresas pueden fortalecer sus defensas contra estos esquemas malévolos comprendiendo las tácticas utilizadas por los atacantes y adoptando las mejores prácticas de prevención. Si se mantiene informado, está atento a las señales de alerta y adopta prácticas cibernéticas inteligentes, estará en camino de convertirse en un profesional en esquivar estas trampas digitales. Por encima de todo, recuerde que el conocimiento es poder y, en el ámbito cibernético, ser el búho sabio vale la pena. En Caliber One nos dedicamos a crear conciencia pública sobre los problemas de ciberseguridad y brindarle las herramientas y el conocimiento necesarios para navegar en el mundo digital de manera segura. Contáctenos para saber cómo podemos ayudarlo a proteger su negocio. Manténgase alerta e informado y juntos podremos garantizar un entorno en línea más seguro. Preguntas frecuentes (FAQ) sobre Phishing ¿Los ataques de phishing sólo se realizan a través de correos electrónicos? No, los ataques de phishing pueden ocurrir a través de varios canales, incluidos correos electrónicos, SMS, llamadas de voz y mensajes de redes sociales. ¿Cómo puedo diferenciar entre un correo electrónico legítimo y un intento de phishing? Preste atención a la dirección de correo electrónico del remitente, el tono del idioma y la presencia de enlaces o archivos adjuntos inesperados. En caso de duda, contacte con el remitente utilizando los canales de comunicación oficiales. ¿Pueden los ataques de phishing dirigirse tanto a personas como a organizaciones? Sí, tanto los individuos como las organizaciones son susceptibles. Los atacantes se dirigen a cualquiera que pueda proporcionar información valiosa o acceso a sistemas confidenciales. ¿Qué debo hacer si accidentalmente caigo en un ataque de phishing? Si cree que ha caído en este tipo de ataque, cambie sus contraseñas inmediatamente y notifique a las partes pertinentes, como su banco o el departamento de TI. ¿Son suficientes las herramientas de ciberseguridad para proteger contra todos los ataques de phishing? Si bien las herramientas de ciberseguridad desempeñan un papel crucial, la concienciación y la vigilancia de los usuarios son igualmente importantes. Una combinación de herramientas de seguridad y usuarios informados proporciona la mejor defensa contra cualquier tipo de ataque de ingeniería social. Enlaces relacionados sobre phishing:
Se han descubierto dos vulnerabilidades de día cero en Ivanti Secure VPN, una popular solución VPN utilizada por organizaciones de todo el mundo. Actualmente, las vulnerabilidades están siendo explotadas en estado salvaje por al menos un actor de amenazas de estado-nación chino denominado UTA0178. El encadenamiento de las dos vulnerabilidades permite a cualquier atacante ejecutar código remoto sin ninguna autenticación y comprometer los sistemas afectados. ¿Cuáles son las vulnerabilidades de día cero de Ivanti Secure VPN? Ivanti publicó un artículo oficial de base de conocimientos y asesoramiento de seguridad sobre dos vulnerabilidades de día cero, CVE-2023-46805 y CVE-2024-21887, que afectan a todas las versiones compatibles de Ivanti Connect Secure (anteriormente conocido como Pulse Connect Secure) y Ivanti Policy Secure Gateways. . CVE-2023-46805 es una vulnerabilidad de omisión de autenticación en el componente web de Ivanti Connect Secure e Ivanti Policy Secure. Permite a un atacante acceder a recursos restringidos eludiendo los controles. CVE-2024-21887 es una inyección de comando en componentes web de Ivanti Connect Secure e Ivanti Policy Secure. Permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo y puede explotarse a través de Internet. Cuando se combinan, estas dos vulnerabilidades permiten a un atacante ejecutar comandos en los dispositivos afectados. Patrice Auffret, fundador, director ejecutivo y director de tecnología de ONYPHE, un motor de búsqueda de ciberdefensa francés dedicado al descubrimiento y gestión de superficies de ataque, dijo a TechRepublic en una entrevista por correo electrónico hoy que 29,664 dispositivos Ivanti Secure VPN están conectados a Internet. , con más del 40% de los sistemas expuestos en EE.UU., seguido por Japón (14,3%) y Alemania (8,48%) (Figura A). Figura A Direcciones IP únicas de Ivanti Secure VPN en Internet. Imagen: ONYPHE Explotación de estas vulnerabilidades de día cero en la naturaleza La empresa de ciberseguridad Volexity, con sede en EE. UU., descubrió ambas vulnerabilidades durante una investigación de respuesta a incidentes en múltiples sistemas. La respuesta al incidente reveló que un actor de amenazas modificó varios archivos ubicados en el dispositivo Ivanti Connect Secure VPN (Figura B). Figura B Archivos modificados en un dispositivo Ivanti Secure VPN comprometido. Imagen: Volexity Volexity también cree que se han creado y utilizado/ejecutado una serie de archivos en la carpeta temporal del sistema (/tmp) pero que ya no estaban disponibles para su investigación en el momento de la respuesta al incidente, como por ejemplo: /tmp/rev /tmp /s.py /tmp/s.jar /tmp/b /tmp/kill Se encontró una utilidad proxy basada en Python, PySoxy, que se cree que es s.py, en una imagen de disco. Es un script proxy SOCKS5 disponible gratuitamente en Internet. Más cobertura de seguridad en la nube El actor de amenazas, denominado UTA0178 por Volexity, implementó webshells y modificó archivos para permitir el robo de credenciales antes de pasar de un sistema a otro utilizando las credenciales comprometidas. El actor de amenazas siguió recopilando credenciales recién recopiladas en cada sistema al que atacaba y se le observó volcando una imagen completa de la base de datos de Active Directory. Finalmente, el atacante modificó el JavaScript cargado por la página de inicio de sesión web del dispositivo VPN para capturar cualquier credencial que se le haya proporcionado. El script legítimo lastauthserverused.js se modificó para enviar las credenciales robadas a un dominio controlado por el atacante: symantke(.)com. Una vez en posesión de las credenciales, el actor de amenazas exploró la red, examinó los archivos de usuario y los archivos de configuración, e implementó más webshells en la red, incluido un webshell personalizado denominado GLASSTOKEN. Webshell GLASSTOKEN personalizado Si bien el actor de amenazas hizo uso de varias herramientas públicas y conocidas, GLASSTOKEN se implementó en dos versiones ligeramente diferentes. La primera versión incluye dos rutas de código, según los parámetros proporcionados en la solicitud. La primera ruta se usa para transmitir una conexión, mientras que la segunda se usa para ejecutar código que se decodifica en hexadecimal antes de decodificarse en base64. Según las observaciones de Volexity, el actor de amenazas lo usó principalmente para ejecutar comandos de PowerShell. La segunda versión del webshell es similar a la primera, excepto que carece de la función de proxy y solo permite la ejecución de código. Volexity ha proporcionado el código completo para esos webshells. Detección de amenazas Análisis del tráfico de red Un análisis cuidadoso del tráfico saliente del dispositivo VPN puede detectar actividad sospechosa. Aparte de la conexión legítima a pulsesecure.net y cualquier otra integración configurada relacionada con el cliente (SSO, MFA, etc.), se debe analizar cualquier actividad sospechosa. Los ejemplos observados por Volexity son solicitudes curl a sitios web remotos, conexiones SSH a direcciones IP remotas o comunicaciones cifradas a hosts que no están asociados con proveedores o actualizaciones de dispositivos. También se debe verificar cuidadosamente la actividad en el tráfico de red entrante desde las direcciones IP asociadas con el dispositivo VPN. El tráfico sospechoso que podría observarse en dichas conexiones puede ser actividad RDP o SMB en sistemas internos, intentos de conexión SSH o escaneo de puertos, por nombrar algunos. Análisis de registros de dispositivos VPN Cualquier indicación de que los archivos de registro de los dispositivos VPN se han borrado o deshabilitado es un fuerte indicador de compromiso, en caso de que estuvieran activos anteriormente. Las solicitudes de archivos en rutas atípicas en los registros también deben ser preocupantes y analizadas, ya que los actores de amenazas podrían almacenar o manipular archivos fuera de las carpetas habituales. Herramienta Integrity Checker La herramienta In-Build Integrity Check se puede utilizar para ejecutarse automáticamente y detectar archivos nuevos o no coincidentes. Como escribieron los investigadores de Volexity, «si aparece algún archivo nuevo o que no coincide, el dispositivo debe considerarse comprometido». Ivanti proporciona una versión externa de la herramienta Integrity Checker, que debe usarse en caso de que se sospeche que el sistema está comprometido. La herramienta solo debe instalarse e iniciarse después de que se hayan recopilado todas las pruebas forenses del sistema, en particular una imagen de memoria, porque la ejecución de la herramienta reiniciará el dispositivo y posiblemente sobrescribirá los datos de las pruebas. Mitigación de amenazas Ivanti proporciona un método de mitigación hasta que esté disponible un parche completo. Ivanti indica que «los parches se lanzarán en un cronograma escalonado con la primera versión prevista para estar disponible para los clientes la semana del 22 de enero y la versión final prevista para la semana del 19 de febrero». La mitigación consiste en importar un archivo mitigation.release.20240107.1.xml a través del portal de descargas. Dependiendo de la configuración, esta operación podría provocar una degradación del sistema, como se indica en la página dedicada de Ivanti. Se recomienda encarecidamente seguir cuidadosamente todas las instrucciones de Ivanti y comprobar que la mitigación funciona correctamente. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
McAfee, una empresa de ciberseguridad, ha lanzado el Proyecto Mockingbird. Esta es una tecnología de detección de audio Deepfake impulsada por IA. Con este proyecto, la empresa espera proteger a los consumidores contra la creciente amenaza de las estafas de audio generadas por IA. La tecnología utiliza una combinación de modelos de detección contextuales, conductuales y categóricos basados en IA para identificar si el audio de un vídeo probablemente haya sido generado por IA, con una tasa de precisión del 90%. Según el director de tecnología de McAfee, Steve Grobman, esta tecnología se anunciará oficialmente durante la exposición CES 2024. Steve Grobman dijo que combatir las «falsificaciones profundas» tiene una gran importancia técnica. «Es como el pronóstico del tiempo y puede ayudar a las personas a tomar decisiones informadas en la participación digital». En cuanto al precio de “Mockingbird”, Grobman dijo que el plan actual no es cobrar tarifas adicionales a los usuarios sino incluirlo en McAfee+. ¿Qué es el Proyecto Ruiseñor? Project Mockingbird es una tecnología de detección de audio Deepfake impulsada por IA. Fue desarrollado por McAfee para ayudar a defender a los consumidores contra la creciente amenaza del audio generado por IA. Estos audios se utilizan para realizar estafas que roban a las personas dinero e información personal. También permiten el ciberacoso y la manipulación de la imagen pública de figuras destacadas. ¿Por qué es importante el Proyecto Mockingbird? El uso de tecnología deepfake se ha convertido en una preocupación creciente. Esto se debe a que los ciberdelincuentes aprovechan la IA generativa para clonar las voces de celebridades, personas influyentes e incluso de sus seres queridos. El objetivo principal de esto es defraudar a personas desprevenidas. La tecnología también se puede utilizar para manipular vídeos auténticos, como noticieros o entrevistas con celebridades, añadiendo audio falso para cambiar las palabras que salen de la boca de alguien. Project Mockingbird está diseñado para mantener a los usuarios seguros en línea contra estafas engañosas de deepfake. Según la Comisión Federal de Comercio de EE. UU., en noviembre del año pasado, nuevas estafas basadas en tecnología de inteligencia artificial defraudaron a los ancianos locales de sus propiedades. A lo largo de 2022, las personas mayores en todo Estados Unidos perdieron 1.600 millones de dólares debido a estafas. Muchas de estas estafas utilizaron tecnología de inteligencia artificial para “clonar” las voces de conocidos. Estas estafas también utilizan otros trucos que se basan en la generación de IA. Gizchina Noticias de la semana Entre varios tipos de fraude, incluida la suplantación de identidad y el fraude financiero, las llamadas automáticas, el fraude informático, el engaño en los perfiles de citas y la suplantación de identidad, el uso de tecnología de inteligencia artificial para imitar voces se ha convertido en la estafa más destacada. En una audiencia del comité sobre estafas de IA, varios testigos dijeron que “recibían llamadas que parecían como si sus seres queridos estuvieran en peligro, heridos o retenidos como rehenes”. Entre ellos, una pareja de ancianos recibió una llamada y la voz en el teléfono sonaba como si su hija estuviera llorando “mamá” pidiendo ayuda. Gary Schildhorn, un abogado de Filadelfia, también dijo en la audiencia que casi envió $9,000 al estafador hasta que él y su nuera confirmaron que se trataba de una estafa de extorsión. ¿Cómo funciona el Proyecto Mockingbird? Según McAfee, este proyecto combinará un par de modelos para detectar audio falso. El proyecto investigará el comportamiento del hablante para comprobar si el audio del vídeo proviene de IA. La tecnología también analiza el contexto, el comportamiento y la categoría para determinar la autenticidad de los clips de audio dentro de los videos. Las primeras demostraciones públicas del Proyecto Mockingbird se mantuvieron en CES 2024 y se espera una mayor disponibilidad. Conclusión Project Mockingbird es una tecnología de detección de audio Deepfake impulsada por IA. Fue desarrollado por McAfee para proteger a los consumidores contra la creciente amenaza de estafas de audio generadas por IA. La tecnología utiliza una combinación de modelos de detección contextuales, conductuales y categóricos basados en IA. También los utiliza para identificar si es probable que un audio sea generado por IA. El uso de tecnología deepfake se ha convertido en una preocupación creciente. Por lo tanto, Project Mockingbird está diseñado para mantener a los usuarios seguros en línea contra estafas engañosas de deepfake. El autor de Bio Efe Udin es un escritor de tecnología experimentado con más de siete años de experiencia. Cubre una amplia gama de temas en la industria tecnológica, desde la política industrial hasta el rendimiento de los teléfonos móviles. Desde móviles hasta tablets, Efe también ha estado atenta a los últimos avances y tendencias. Proporciona análisis y reseñas perspicaces para informar y educar a los lectores. Efe es un apasionado de la tecnología y cubre historias interesantes, además de ofrecer soluciones cuando es posible. Descargo de responsabilidad: Es posible que algunas de las empresas de cuyos productos hablamos nos compensen, pero nuestros artículos y reseñas son siempre nuestras opiniones honestas. Para obtener más detalles, puede consultar nuestras pautas editoriales y conocer cómo utilizamos los enlaces de afiliados.
La transformación digital ha sido un imperativo continuo para las empresas a nivel mundial y, a medida que nos acercamos a 2024, varias tendencias importantes están preparadas para redefinir el terreno. Estas tendencias desempeñarán un papel crucial en la configuración de cómo las organizaciones en los EE. UU. utilizan la tecnología para fomentar la innovación, sostener la competitividad y responder a las preferencias cambiantes de los clientes y la dinámica del mercado. Según estadísticas recientes del Departamento de Comercio de EE. UU., más del 70% de las empresas del país se han embarcado en iniciativas de transformación digital. Además, se prevé que aumente la adopción de la computación en la nube, y las estimaciones indican que casi el 80% de las empresas estadounidenses habrán migrado a la nube para 2024. Se prevé que la inteligencia artificial (IA) y el aprendizaje automático se conviertan en componentes integrales de las estrategias comerciales, con Se espera que el 60% de las empresas estadounidenses incorporen aplicaciones impulsadas por IA en sus operaciones. Además, la ciberseguridad seguirá siendo una preocupación primordial a medida que las amenazas cibernéticas sigan aumentando. Exploremos las principales tendencias en transformación digital a tener en cuenta. Hiperautomatización y toma de decisiones impulsada por IA La evolución de la automatización está avanzando con la llegada de la hiperautomatización. Esta tendencia combina la automatización de procesos robóticos (RPA) con la inteligencia artificial (IA) y el aprendizaje automático, lo que lleva a la automatización de procesos comerciales complejos, mejorando su eficiencia y precisión. Las organizaciones se apoyarán progresivamente en procedimientos de toma de decisiones impulsados por la IA, lo que les permitirá aprovechar el potencial del análisis de datos para una toma de decisiones más rápida y mejor informada. Ecosistemas digitales integrados La trayectoria de la digitalización empresarial está preparada para pasar de iniciativas aisladas a ecosistemas integrados. Esto marcará el comienzo del surgimiento de plataformas digitales diseñadas para unir una amplia gama de socios, tecnologías y salidas de datos. Estos ecosistemas interconectados permitirán a las empresas forjar nuevos canales de ingresos, elevar las interacciones con los clientes y promover la colaboración en un espectro expansivo. En consecuencia, se prevé que la floreciente economía de plataformas digitales ejerza una influencia transformadora en numerosos sectores, lo que indica un cambio profundo en la forma en que las empresas operan e innovan en la era digital. A medida que las organizaciones aprovechen cada vez más estas plataformas para mejorar la conectividad y la colaboración, obtendrán una ventaja competitiva al desbloquear nuevas oportunidades, optimizar sus operaciones y ofrecer un mayor valor a sus clientes. Privacidad de datos y ciberseguridad La privacidad y seguridad de los datos también son preocupaciones importantes. Para afrontar este desafío, se espera que las empresas realicen inversiones sustanciales en medidas de ciberseguridad de vanguardia. Adoptar la tecnología blockchain se convertirá en una práctica común por su capacidad para garantizar transacciones seguras y registros de datos inmutables. Se prevé que las empresas estadounidenses destinen una parte sustancial de sus presupuestos de TI a fortalecer sus medidas de seguridad digital. Además, la privacidad de los datos y el cumplimiento de regulaciones como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) serán puntos focales para las organizaciones que operan en el panorama digital de EE. UU. en 2024. Además, la aplicación de estrictas regulaciones de protección de datos obligará a las organizaciones a fortalecer sus prácticas de manejo de datos. En este entorno, generar y preservar la confianza con los clientes dependerá del establecimiento y mantenimiento de protocolos sólidos de seguridad de datos. Estas medidas proactivas no solo salvaguardarán la información confidencial sino que también reafirmarán el compromiso de las empresas con la confidencialidad y la integridad de los datos que se les confían, asegurando a los clientes que sus datos están en buenas manos. 5G y Edge Computing La proliferación de redes 5G se acelerará, ofreciendo mayor velocidad y conectividad inquebrantable. Los atributos excepcionales de 5G, que incluyen una latencia mínima y un ancho de banda expansivo, potenciarán el procesamiento instantáneo de datos, revolucionando la IoT y las exigentes aplicaciones en tiempo real. Esto, junto con el aumento de la computación de punta, respaldará los avances en vehículos autónomos, ciudades inteligentes e industrias impulsadas por tecnologías de IoT. En conjunto, estos avances tecnológicos prometen remodelar el panorama de la conectividad y allanar el camino para innovaciones sin precedentes en diversos sectores. Sostenibilidad en la transformación digital Las empresas están colocando la sostenibilidad a la vanguardia de sus iniciativas de transformación digital, reconociéndola como un impulsor fundamental y no como una mera palabra de moda. Este cambio fundamental implica la integración de prácticas ecológicas en sus estrategias. El enfoque se extiende a adoptar tecnologías verdes, frenar el uso de energía y defender la responsabilidad social corporativa. Este movimiento hacia la transformación digital sostenible significa un doble compromiso: no solo con la gestión ambiental sino también con la obtención de una ventaja competitiva en un mundo donde las cuestiones ecológicas cobran gran importancia. Al aprovechar el poder de las prácticas sostenibles, las organizaciones se están posicionando como líderes responsables, cumpliendo con las expectativas de los consumidores conscientes del medio ambiente y garantizando un futuro próspero a largo plazo. En este panorama, la transformación digital sostenible no es simplemente una opción; se ha convertido en una vía fundamental para que las empresas prosperen, innoven y generen un impacto positivo en el planeta. Charter Global se dedica a unir a la comunidad global a través de la tecnología. Nuestro equipo está formado por solucionadores de problemas con visión de futuro impulsados por el deseo de proporcionar soluciones de vanguardia a nuestros clientes. Haciendo hincapié en resultados tangibles, nos hemos convertido en líderes en la industria de TI, reconocidos por nuestro compromiso con la excelencia. Nuestro grupo diverso de personas proviene de varios rincones del mundo, unidos por una visión común y una dedicación para lograr cambios positivos. En Charter Global, hacemos que la TI suceda; Póngase en contacto con nosotros para ayudar a dar forma al futuro de la innovación digital.
Cualquier empresa que sea estratégica podría ser blanco de acciones del mismo tipo que este ciberataque. Siga estos consejos para mitigar el riesgo de su empresa ante esta amenaza de ciberseguridad. Mandiant, una empresa de ciberseguridad propiedad de Google, ha revelado los detalles de un ciberataque de 2022 dirigido por el actor de amenazas ruso Sandworm. El actor de amenazas comprometió una organización ucraniana de infraestructura crítica para manipular su entorno tecnológico operativo, lo que provocó un corte de energía que coincidió con ataques masivos con misiles. Luego, Sandworm intentó causar más interrupciones y eliminar toda evidencia de su funcionamiento dos días después implementando y ejecutando una variante del malware CADDYWIPER. Este ciberataque es un ejemplo sorprendente de la evolución de los objetivos OT durante tiempos de guerra. Cualquier empresa que sea estratégica para un atacante podría ser objetivo del mismo tipo de acciones. Saltar a: Cronología de este ataque de ciberseguridad Todo comenzó alrededor de junio de 2022, cuando Sandworm obtuvo acceso al entorno de TI de una organización de infraestructura crítica ucraniana. El actor de amenazas implementó un conocido webshell, Neo-reGeorg, en un servidor de Internet de la víctima. Aproximadamente un mes después, el grupo implementó GOGETTER, un conocido software de creación de túneles personalizado utilizado anteriormente por el grupo. El malware representaba las comunicaciones entre el sistema objetivo y el servidor de comando y control del atacante y se volvía persistente en caso de que se reiniciara el servidor. Luego, el grupo de amenazas accedió al entorno OT «a través de un hipervisor que albergaba una instancia de gestión de control de supervisión y adquisición de datos (SCADA) para el entorno de la subestación de la víctima», según los investigadores de Mandiant, quienes afirmaron que el atacante potencialmente tuvo acceso al sistema SCADA durante hasta a tres meses. El 10 de octubre de 2022, el actor de amenazas ejecutó repentinamente comandos MicroSCADA en el sistema. La acción se realizó aprovechando un archivo ISO, un CD-ROM virtual que contenía dos scripts y un archivo de texto. El sistema fue configurado para permitir que los CD-ROM insertados se inicien automáticamente cuando se insertan. Esos archivos se utilizaron para ejecutar un binario MicroSCADA nativo dentro del sistema, scilc.exe (Figura A). Figura A Cadena de ejecución en el entorno SCADA del objetivo. Imagen: Mandiant El archivo legítimo scilc.exe del paquete de software MicroSCADA permite la ejecución de comandos escritos en el lenguaje de implementación de control de supervisión, que generalmente son declaraciones basadas en texto. Aunque los investigadores de Mandiant no pudieron identificar los comandos SCIL ejecutados por Sandoworm, creen que los comandos probablemente fueron emitidos para abrir disyuntores en los entornos de la subestación de las víctimas, apagando así la subestación de la víctima. Cobertura de seguridad de lectura obligada Según Mandiant, el ataque provocó un corte de energía no programado. Dos días después de este evento, el actor de amenazas instaló una nueva variante del malware CADDYWIPER en el entorno del objetivo para causar más interrupciones y potencialmente eliminar artefactos forenses que podrían conducir al descubrimiento de la operación. CADDYWIPER está limpiando software que Sandworm utilizó anteriormente contra objetivos ucranianos y que se observó en operaciones disruptivas en múltiples intrusiones. En el ataque reportado, el limpiador no alcanzó el hipervisor de la máquina virtual SCADA que estaba comprometida, lo cual es inusual, según Mandiant. Los investigadores de seguridad concluyen que esta falta de eliminación de pruebas «podría deberse a una falta de coordinación entre los diferentes individuos o subequipos operativos involucrados en el ataque». VER: Tendencias de ciberseguridad de Google Cloud a tener en cuenta en 2024 (TechRepublic) ¿Quién es Sandworm? Sandworm es un actor de amenaza destructiva que ha sido atribuido a la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de Rusia, Unidad Militar 74455. El grupo ha estado activo desde al menos 2009. Seis oficiales de la Unidad 74455 asociados con Sandworm fueron acusados en 2020 de varias operaciones: ataques contra empresas eléctricas y organizaciones gubernamentales ucranianas; los objetivos de la campaña presidencial francesa de 2017, el ataque del Destructor Olímpico de 2018 contra los Juegos Olímpicos, la operación de 2018 contra la Organización para la Prohibición de Armas Químicas y los ataques contra Georgia en 2018 y 2019. Sandworm expone las capacidades cibernéticas ofensivas orientadas a OT de Rusia Sandworm El último ataque, además de los ataques anteriores originados en Rusia, como los incidentes de Industroyer, que también apuntaron a OT, muestran los esfuerzos de Rusia para optimizar las capacidades de ataque de OT a través de funciones de implementación simplificadas, según Mandiant. Los investigadores mencionaron “una inversión continua en capacidades cibernéticas ofensivas orientadas a OT y un enfoque general para atacar los sistemas de TI” (Figura B). Figura B Actividad histórica del nexo entre Rusia y el impacto en OT. Imagen: Mandiant Un cambio significativo en las técnicas utilizadas por Sandworm es el uso del binario nativo Living Off The Land, también conocido como LotLBin, que ahora utilizan tanto para entornos OT como para entornos TI habituales. Este cambio probablemente disminuyó los recursos necesarios para los ataques de Sandworms y al mismo tiempo dificultó que los defensores detectaran la actividad fraudulenta. El momento de este ataque de Sandworm también es intrigante. Como reveló Mandiant, los atacantes potencialmente desarrollaron la capacidad disruptiva tres semanas antes del incidente de OT, pero es posible que hayan estado esperando un momento específico para desplegar la capacidad. «La eventual ejecución del ataque coincidió con el inicio de una serie de ataques coordinados con misiles de varios días de duración contra infraestructura crítica en varias ciudades ucranianas, incluida la ciudad en la que se encontraba la víctima», escribe Mandiant. Cómo protegerse de esta amenaza de ciberseguridad Los administradores de seguridad o los profesionales de TI deben seguir estos consejos para mitigar el riesgo de esta amenaza de ciberseguridad. Harden MicroSCADA y otros hosts de gestión SCADA. Estos sistemas deben estar actualizados, parcheados y configurados para requerir autenticación y restringir el acceso solo a los usuarios obligatorios de los sistemas. Implementar la segmentación de la red entre los sistemas SCADA y el resto de la red de la organización. Agregar archivos de registro a un servidor central y analizarlos cuidadosamente y constantemente para detectar posibles usos fraudulentos o alteraciones de los sistemas SCADA. Monitorear y analizar cualquier transferencia de archivos relacionados con los sistemas SCADA. Es necesario investigar cualquier cambio sospechoso en la configuración o los datos de SCADA. Realizar auditorías periódicas de seguridad de los sistemas SCADA para identificar posibles vulnerabilidades o malas configuraciones que puedan afectar la seguridad de los sistemas. Realice copias de seguridad periódicas para facilitar la recuperación en caso de algún incidente de seguridad o ciberataque a los sistemas SCADA. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Imagen: Adobe/immimagery El sector sin fines de lucro es uno de los mayores empleadores y fuentes de ingresos de Australia. 1,4 millones de personas trabajan en el sector sin fines de lucro en Australia y otros 3,2 millones de personas son voluntarias. Los ingresos totales del sector son de 190 mil millones de dólares y ese dinero se destina directamente a apoyar causas críticas en todo el país. Desafortunadamente, según una nueva investigación de Infoxchange, el sector no está bien equipado para manejar los requisitos de seguridad de los entornos de TI modernos, y eso no sólo está poniendo en riesgo a cerca de cinco millones de personas, sino que también está inhibiendo la capacidad del sector NFP para abordar los problemas de Australia. desafíos humanitarios y de justicia social más apremiantes. Saltar a: Información sobre seguridad cibernética de NFP de Infoxchange Tecnología digital en el sector sin fines de lucro de Infoxchange ofrece una inmersión profunda en las tendencias dominantes que enfrentan las organizaciones benéficas y sin fines de lucro con la tecnología, según una encuesta de más de 1,000 organizaciones del sector. Las estadísticas incluyen: Una de cada ocho organizaciones encuestadas había experimentado un incidente de seguridad cibernética durante el año pasado. Solo el 23% contaba con procesos efectivos de seguridad de la información, lo que permitía al personal y a los voluntarios salvaguardar los datos de la organización. Sólo el 39% había implementado la autenticación multifactor para sistemas conectados a Internet con datos confidenciales, mientras que sólo el 13% tenía un plan documentado para mejorar la protección de la seguridad cibernética. Sólo el 12% de los PFN realizaron periódicamente capacitaciones sobre concientización sobre seguridad cibernética, y solo uno de cada cinco contaba con una política de seguridad cibernética. Estas PFN comprenden la importancia de la modernización digital. En otra parte del informe, el 45% dijo que ya había trasladado la “mayoría” de su TI a la nube. Los PFN también están profundamente interesados en el potencial de la tecnología para mejorar sus comunicaciones, y el 38% afirmó que mejorar su sitio web era su principal prioridad de cara al futuro. Mientras tanto, el 32% dijo que hacer un mejor uso del marketing digital era el principal objetivo tecnológico. La falta de apoyo deja a los PFN con prácticas de seguridad deficientes. Y, sin embargo, sin ninguna pregunta sobre seguridad cibernética, la mayoría “estuvo de acuerdo” en que estaban operando de acuerdo con las mejores prácticas (Figura A). Figura A El estado de preparación en materia de seguridad cibernética entre los PFN. Imagen: Infoxchange «A pesar de esta enorme huella en nuestra economía y en nuestras vidas, las organizaciones benéficas y sin fines de lucro no han recibido el apoyo que necesitan para hacer frente a un nivel cada vez más sofisticado de ataques cibernéticos», dijeron David Crosbie y Tim Costello. AO, del Consejo Comunitario de Australia, en un comunicado conjunto. “A diferencia de las empresas, las organizaciones benéficas gastan cada dólar extra que pueden encontrar en servir a sus comunidades. “Asignar más recursos para fortalecer la seguridad cibernética significaría reducir el nivel de servicios disponibles en nuestras comunidades. Muchas organizaciones benéficas y NFP luchan por retirar sus servicios, a pesar de que la seguridad cibernética es claramente una prioridad importante”. El impacto de la mala seguridad En agosto, se supo que los datos de hasta 50.000 donantes (que afectaban a hasta 70 NFP, incluidas importantes organizaciones benéficas como la Fundación Fred Hollows, el Cancer Council y Canteen) se habían filtrado y publicado en la web oscura. Esto se debió a que los NFP se asociaron con la organización equivocada (en este caso, Pareto Phone para servicios de telemercadeo), pero resalta los bajos niveles de preocupación o conciencia sobre la seguridad entre muchas organizaciones benéficas. Las organizaciones están obligadas a garantizar que los socios externos sean responsables de los datos de los clientes. Por otra parte, en 2022, otra importante organización benéfica australiana, The Smith Family, fue atacada directamente por piratas informáticos y le robaron datos críticos de alrededor de 80.000 donantes, incluidas tarjetas de crédito e información personal. La falta de conciencia de seguridad de las NFP los está exponiendo a responsabilidad legal. Como señaló Moores, una firma legal que se especializa en apoyar organizaciones benéficas y otras organizaciones de “bien social”, los impactos de las infracciones cibernéticas en las NFP son particularmente dañinos. VER: Las empresas australianas están adoptando un enfoque de «asumir una infracción» en materia de seguridad cibernética. «Desafortunadamente, muchas organizaciones benéficas y NFP son susceptibles a ataques de seguridad cibernética debido a los bajos niveles de resiliencia cibernética», señaló la firma en un blog. “Para una organización benéfica o un PFN, no tomar las medidas adecuadas para proteger los datos podría significar: La exposición de información confidencial de los beneficiarios, donantes o miembros; la pérdida de fondos y recursos de caridad; daño reputacional; e incumplimiento de obligaciones legales”. Más cobertura en Australia Y, sin embargo, a pesar de estas preocupaciones y las dificultades que enfrentan los PFN para financiar la seguridad, parece haber pocos esfuerzos a cualquier nivel para abordar el desafío. Por ejemplo, el Consejo Comunitario de Australia está utilizando el informe de Infoxchange para presionar al Primer Ministro, alegando que el documento de debate sobre la Estrategia Australiana de Seguridad Cibernética 2023-2030 (incluido el concepto de “seis escudos”) no reconoce específicamente a las organizaciones benéficas y sin fines de lucro. , a pesar de sus importantes contribuciones a la fuerza laboral, el PIB y el bienestar de la comunidad australianos. «Nunca ha sido más importante desarrollar las capacidades digitales y la resiliencia del sector sin fines de lucro», dijo en un comunicado el director ejecutivo de Infoxchange, David Spriggs, apoyando los llamados a un apoyo más estratégico y nacional para las NFP y la seguridad cibernética. “A medida que los australianos son los más afectados por la crisis del costo de vida, esto está ejerciendo una mayor presión sobre las organizaciones comunitarias locales y sin fines de lucro que están en primera línea para responder a niveles récord de demanda de servicios”. Un enfoque de regreso a lo básico Es poco probable que los PFN vean una repentina afluencia de presupuesto para mejorar su situación de seguridad. En lugar de eso, los profesionales de TI que trabajan en NFP deberían adoptar un enfoque de “vuelta a lo básico” en materia de seguridad de TI y asegurarse de que, como mínimo, las organizaciones sigan estas mejores prácticas. Educar y capacitar al personal La primera línea de defensa en ciberseguridad suelen ser los propios usuarios. Los profesionales de TI deben realizar sesiones de capacitación periódicas para educar al personal sobre las últimas ciberamenazas y cómo reconocerlas. Esto incluye estafas de phishing, malware y ataques de ransomware. Implementar políticas de contraseñas seguras Un área donde existe una gran conciencia entre los PFN es el valor de las políticas de contraseñas y de administración de contraseñas seguras que incluyan autenticación de dos y múltiples factores. Los profesionales de TI deberían buscar implementar las políticas de confianza cero más sólidas posibles, especialmente para aquellas NFP que operan predominantemente en la nube. Actualice y aplique parches a los sistemas con regularidad. Las ciberamenazas evolucionan constantemente y el software obsoleto puede tener vulnerabilidades que los piratas informáticos pueden aprovechar. Actualizar y aplicar parches periódicamente a todos los sistemas es fundamental para mantenerlos seguros. PREMIUM: Aprovecha esta política de gestión de parches. Instale y actualice software de seguridad Utilice software de seguridad confiable que ofrezca protección en tiempo real contra malware y otras ciberamenazas. Muchos paquetes de software de seguridad modernos tienen inteligencia artificial incorporada, lo cual es fundamental aprovechar cuando los recursos humanos son escasos. Realice copias de seguridad de los datos periódicamente Las copias de seguridad periódicas de los datos son esenciales para recuperarse de los ciberataques. Las copias de seguridad deben realizarse con frecuencia y probarse periódicamente para garantizar que puedan restaurarse si es necesario. También es importante almacenar copias de seguridad de forma segura, ya sea fuera del sitio o en la nube, para protegerlas contra daños físicos o robos. Como defensa contra el ransomware, los equipos de seguridad deberían buscar copias de seguridad que también tengan un «espacio de aire» que impida que el ransomware llegue a los datos de la copia de seguridad. Invertir en servicios gestionados Los PFN deberían considerar invertir en servicios gestionados para apoyar a sus equipos internos. El resultado de seguridad de trasladar el trabajo a la nube es que los equipos de seguridad pueden brindar soporte a la organización de forma remota, y muchos MSP con inclinación por la seguridad se especializan en brindar soporte a organizaciones pequeñas y con pocos recursos.
SysAid ha parcheado una vulnerabilidad de día cero que podría permitir a los atacantes filtrar datos y lanzar ransomware. El 8 de noviembre, SysAid, una empresa de software de gestión de servicios de TI con sede en Israel, informó sobre una vulnerabilidad de día cero potencialmente explotada en su software local. Se alentó a los usuarios de sus instalaciones de servidor local a ejecutar la versión 23.3.36, que contenía una solución. Microsoft Threat Intelligence analizó la amenaza y descubrió que Lace Tempest la había explotado. La vulnerabilidad fue explotada por el grupo de amenazas Lace Tempest, que distribuye el malware Clop, dijo Microsoft Threat Intelligence el 8 de noviembre en X (anteriormente Twitter). Los expertos en seguridad de Microsoft escribieron, en parte, «…Lace Tempest probablemente utilizará su acceso para filtrar datos e implementar el ransomware Clop». El objetivo final de ataques como este suele ser el movimiento lateral a través de un sistema, el robo de datos y el ransomware. Saltar a: Profero diagnosticó y SysAid parchó el ransomware Después de descubrir la vulnerabilidad potencial el 2 de noviembre, SysAid llamó a la empresa de respuesta rápida a incidentes Profero, con sede en Israel, que descubrió los detalles de la vulnerabilidad. Profero descubrió que el atacante utilizó una vulnerabilidad de recorrido de ruta para cargar un archivo WAR que contenía un WebShell y otras cargas útiles en la raíz web del servicio web SysAid Tomcat. A partir de ahí, Lace Tempest entregó un cargador de malware para el malware Gracewire. MITRE registró esta vulnerabilidad como CVE-2023-47246. Más cobertura de seguridad en la nube Cómo protegerse contra esta vulnerabilidad Clop SysAid proporcionó una lista de indicadores de compromiso y pasos a seguir en su publicación de blog sobre esta vulnerabilidad. Para proteger su organización contra este malware, SysAid enfatizó la importancia de descargar el parche. Las organizaciones deben revisar qué información puede haberse almacenado dentro de su servidor SysAid que podría resultar atractiva para los atacantes y verificar sus registros de actividad para detectar comportamientos no autorizados. Otras acciones recomendadas incluyen actualizar los sistemas SysAid y realizar una evaluación exhaustiva del compromiso de su servidor SysAid. El malware Clop se ha utilizado en rescates de alto perfil. El ransomware Clop entregado por atacantes al software local SysAid a través de la vulnerabilidad de recorrido de ruta apareció por primera vez en 2019. El malware Clop está asociado con un grupo de actores de amenazas alineado con Rusia conocido con el mismo nombre. que, según Microsoft, se «superpone» con Lace Tempest. En junio de 2023, Microsoft descubrió que Lace Tempest ejecutaba el sitio de extorsión que utiliza el malware Clop. VER: ¿Cómo será la ciberseguridad el próximo año? Las tendencias de ciberseguridad de Google Cloud a tener en cuenta en 2024 incluyen ataques generativos basados en IA (TechRepublic). El grupo de ransomware Clop se ha atribuido la responsabilidad de varios ataques importantes en 2023. En junio, amenazaron con exponer datos de British Airways, BBC y el minorista británico Boots. También supuestamente estuvieron detrás del ataque de ransomware MOVEit Transfer en junio.
Un peatón pasa por una sucursal del Banco Industrial y Comercial de China (ICBC) en Fuzhou, provincia china de Fujian.VCG | Getty Images La división estadounidense de servicios financieros del banco chino ICBC sufrió un ciberataque que supuestamente interrumpió la negociación de bonos del Tesoro. El Banco Industrial y Comercial de China, el mayor prestamista del mundo por activos, dijo el jueves que su brazo de servicios financieros, llamado ICBC Financial Services, experimentó un ataque de ransomware «que resultó en la interrupción de ciertos» sistemas. Inmediatamente después de descubrir el ataque, ICBC «aisló los sistemas afectados para contener el incidente», dijo el banco. El ransomware es un tipo de ataque cibernético. Implica que los piratas informáticos tomen el control de los sistemas o la información y solo los dejen ir una vez que la víctima haya pagado un rescate. Es un tipo de ataque que ha experimentado una explosión de popularidad entre los malos actores en los últimos años. ICBC no reveló quién estaba detrás del ataque, pero dijo que ha estado «llevando a cabo una investigación exhaustiva y está avanzando en sus esfuerzos de recuperación con el apoyo de sus profesionales». equipo de expertos en seguridad de la información». El banco chino también dijo que está trabajando con las autoridades. ICBC dijo que «autorizó con éxito» las operaciones del Tesoro estadounidense ejecutadas el miércoles y las operaciones de financiación de repos realizadas el jueves. Un repo es un acuerdo de recompra, un tipo de préstamo a corto plazo para los comerciantes de bonos gubernamentales. Sin embargo, varios medios de comunicación informaron que hubo interrupciones en las operaciones del Tesoro de Estados Unidos. El Financial Times, citando a comerciantes y bancos, dijo el viernes que el ataque de ransomware impidió a la división ICBC liquidar transacciones del Tesoro en nombre de otros participantes del mercado. El Departamento del Tesoro de Estados Unidos dijo a CNBC: «Somos conscientes del problema de la ciberseguridad y estamos en contacto regular «Con participantes clave del sector financiero, además de los reguladores federales. Seguimos monitoreando la situación». ICBC dijo que los sistemas comerciales y de correo electrónico de su brazo de servicios financieros de EE. UU. operan independientemente de las operaciones de ICBC en China. Los sistemas de su oficina central, la sucursal de ICBC en Nueva York y otras instituciones afiliadas nacionales y extranjeras no se vieron afectados por el ciberataque, dijo ICBC.¿Qué dijo el gobierno chino?Wang Wenbin, portavoz del Ministerio de Asuntos Exteriores de China, dijo el viernes que ICBC se está esforzando por minimizar el impacto y las pérdidas después del ataque, según un informe de Reuters. En una conferencia de prensa habitual, Wang dijo que ICBC ha prestado mucha atención al asunto y ha manejado bien la respuesta de emergencia y la supervisión, según Reuters. .¿Qué sabemos sobre el ataque de ransomware? Nadie se ha atribuido la responsabilidad del ataque todavía y el ICBC no ha dicho quién podría estar detrás del ataque. En el mundo de la ciberseguridad, descubrir quién está detrás de un ciberataque suele ser muy difícil debido a las técnicas Los piratas informáticos utilizan para enmascarar sus ubicaciones e identidades. Pero hay pistas sobre qué tipo de software se utilizó para llevar a cabo el ataque. Marcus Murray, fundador de la firma sueca de ciberseguridad Truesec, dijo que el ransomware utilizado se llama LockBit 3.0. Murray dijo que esta información proviene de fuentes relacionadas con Truesec, pero no pudo revelar quiénes son esas fuentes por razones de confidencialidad. El Financial Times informó, citando dos fuentes, que LockBit 3.0 también era el software detrás del ataque. CNBC no pudo verificar la información de forma independiente. Este tipo de ransomware puede llegar a una organización de muchas maneras. Por ejemplo, cuando alguien hace clic en un enlace malicioso de un correo electrónico. Una vez dentro, su objetivo es extraer información confidencial sobre una empresa. El equipo de ciberseguridad de VMWare dijo en un blog el año pasado que LockBit 3.0 es un «desafío para los investigadores de seguridad porque cada instancia del malware requiere una contraseña única para ejecutarse sin la cual el análisis es extremadamente difícil o imposible.» Los investigadores agregaron que el ransomware está «fuertemente protegido» contra el análisis. La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de EE. UU. califica a LockBit 3.0 como «más modular y evasivo», lo que lo hace más difícil de detectar. LockBit es la cepa más popular de ransomware y representa alrededor de El 28% de todos los ataques de ransomware conocidos entre julio de 2022 y junio de 2023, según datos de la empresa de ciberseguridad Flashpoint. ¿Qué es LockBit? LockBit es el grupo detrás del software. Su modelo de negocio se conoce como «ransomware como servicio». De hecho, vende su software malicioso a otros piratas informáticos, conocidos como afiliados, quienes luego llevan a cabo los ataques cibernéticos. El líder del grupo se conoce en línea con el nombre de «LockBitSup» en los foros de piratería de la web oscura. «El grupo publica principalmente en ruso e inglés, pero según su sitio web, el grupo afirma estar ubicado en los Países Bajos y no tener motivaciones políticas», dijo Flashpoint en una publicación de blog. Se sabe que el malware del grupo apunta a pequeñas y medianas empresas. LockBit ha se atribuyó la responsabilidad de los ataques de ransomware a Boeing y al Reino Unido. Royal Mail. En junio, el Departamento de Justicia de EE. UU. acusó a un ciudadano ruso por su participación en «implementar numerosos ransomware LockBit y otros ataques cibernéticos» contra computadoras en EE. UU., Asia, Europa y África. «Los actores de LockBit han ejecutado más de 1.400 ataques contra víctimas en los Estados Unidos y en todo el mundo, emitiendo más de 100 millones de dólares en demandas de rescate y recibiendo al menos decenas de millones de dólares en pagos de rescate reales realizados en forma de bitcoin», dijo el Departamento de Justicia en un comunicado de prensa en junio. — Steve Kopack de CNBC contribuyó a este artículo.
Source link