Etiqueta: noticias de hackers Página 5 de 44

La ciberseguridad en el sector sanitario nunca ha sido tan urgente. Como sector más vulnerable y el mayor objetivo de los ciberdelincuentes, el sector sanitario se enfrenta a una creciente ola de ciberataques. Cuando los sistemas de un hospital son tomados como rehenes por un ransomware, no solo están en riesgo los datos, sino también la atención de los pacientes que dependen de tratamientos que les salvan la vida. Imagine un ataque que obligue a detener la atención de urgencia, a posponer las cirugías o a utilizar la información sanitaria privada de un paciente con cáncer para extorsionar. Esta es la realidad a la que se enfrenta el sector sanitario cuando los ciberdelincuentes explotan a las personas que necesitan atención. El sector sanitario representó el 17,8 % de todos los eventos de vulneración y el 18,2 % de los eventos de ransomware destructivos desde 20121, superando a otros sectores como el financiero, el gubernamental y el educativo. Este alarmante aumento de los ataques deja algo claro: la mala higiene en materia de ciberseguridad es la causa principal, y las consecuencias de no abordar estas vulnerabilidades son devastadoras. Las organizaciones que descuidan las prácticas básicas de ciberseguridad, como la aplicación de parches de software y la garantía de la seguridad de la red, están dejando sus sistemas expuestos a agentes maliciosos. Más importante aún, los riesgos no son solo teóricos; se manifiestan en frecuentes infracciones que causan daños en el mundo real. Vulnerabilidades de la atención médica Si bien muchas industrias sufren daños financieros y de reputación por los ciberataques, la atención médica enfrenta un riesgo mucho más grave. Los piratas informáticos saben que no solo están apuntando a datos o sistemas, tienen algo mucho más valioso en sus manos: la vida misma. El sector de la atención médica es un objetivo excepcionalmente vulnerable para los ciberdelincuentes por varias razones. Primero, la dependencia de la industria en sistemas interconectados que respaldan todo, desde registros de pacientes hasta dispositivos que salvan vidas, crea una amplia superficie de ataque. Además, los sistemas de atención médica a menudo contienen información personal confidencial, lo que los convierte en objetivos atractivos para la extorsión y el robo de datos. En un ejemplo, el ataque de ransomware CommonSpirit Health en octubre de 20241 resultó en que los hospitales tuvieran que retrasar los procedimientos médicos y redirigir la atención de emergencia, lo que afectó significativamente la seguridad del paciente. Otro caso preocupante fue la violación del Fred Hutchinson Cancer Center en noviembre de 2024, donde los delincuentes extorsionaron a los pacientes amenazando con revelar su información médica privada. Las vulnerabilidades en los sistemas de salud se ven exacerbadas por una mala higiene de ciberseguridad. Entender la correlación entre la higiene y los eventos de violación Un análisis exhaustivo de 1.454 eventos de ransomware destructivos entre 2016 y 20232 proporciona información crucial sobre el vínculo entre la mala higiene de ciberseguridad y la frecuencia de los ataques. Los hallazgos muestran que las organizaciones calificadas D o F tienen una frecuencia 35 veces mayor de eventos de ransomware destructivos en comparación con aquellas con calificaciones A. Este marcado contraste subraya la importancia de mantener sólidas prácticas de ciberseguridad. Los delincuentes apuntan a sistemas con vulnerabilidades en áreas básicas, como software sin parches, servicios de red inseguros y comunicaciones web sin cifrar. Estas debilidades proporcionan puntos de entrada fáciles para los atacantes, lo que les permite comprometer sistemas críticos y, en última instancia, tomar a las organizaciones como rehenes con ransomware. Las organizaciones con una buena higiene de ciberseguridad (aquellas que parchean regularmente las vulnerabilidades, protegen sus redes y cifran las comunicaciones confidenciales) tienen muchas menos probabilidades de sufrir violaciones. Sin embargo, muchas instituciones de atención médica no cumplen con estos estándares, lo que las convierte en objetivos principales para los atacantes. Consecuencias de una mala higiene en ciberseguridad En un entorno en el que la seguridad de los pacientes depende de la disponibilidad de los sistemas sanitarios, las consecuencias de una mala ciberseguridad pueden poner en peligro la vida. Los eventos destructivos de ransomware, que cifran los sistemas y deshabilitan las operaciones, plantean riesgos importantes. Para los hospitales, el tiempo de inactividad puede suponer la diferencia entre la vida y la muerte de los pacientes que dependen de los servicios de cuidados críticos. Los datos destacan las consecuencias de descuidar las prácticas básicas de ciberseguridad. Según Mastercard, las organizaciones sanitarias con calificaciones D o F tienen 16,6 veces más eventos de violación que las organizaciones calificadas A1. Estas organizaciones no solo se exponen a ataques más frecuentes, sino que también enfrentan resultados más graves, como la incapacidad de brindar atención durante momentos críticos. Cómo puede mejorar la atención sanitaria su higiene de ciberseguridad Mejorar la higiene de la ciberseguridad en la atención sanitaria no se trata solo de responder a los ataques; se trata de abordar de forma proactiva las vulnerabilidades antes de que puedan ser explotadas. Estas son las estrategias clave que pueden adoptar las organizaciones sanitarias: 1. Monitoreo continuo La higiene de la ciberseguridad debe monitorearse continuamente. Las organizaciones deben realizar auditorías periódicas de sus sistemas para identificar vulnerabilidades e implementar correcciones rápidamente. Esto incluye el monitoreo de riesgos de terceros, ya que los sistemas de atención médica a menudo se integran con proveedores externos cuya higiene de seguridad puede no cumplir con los estándares requeridos. Cualquier proveedor externo que esté conectado a un sistema de atención médica a través de una conexión digital/de Internet plantea un riesgo y debe evaluarse. 2. Operaciones de seguridad 24×7 Con ransomware detonando en cualquier momento, incluidos fines de semana y feriados, es fundamental que las organizaciones de atención médica mantengan operaciones de seguridad 24×72. De hecho, el 46% de los ataques de ransomware ocurren de viernes a domingo2, un período en el que muchas organizaciones han reducido el personal de ciberseguridad. Los feriados nacionales son otro de los favoritos para los piratas informáticos y, en lugar de reducir el personal, es más prudente aumentar el personal. 3. Gestión de riesgos de terceros Dada la naturaleza interconectada de la atención médica, los proveedores externos a menudo son un punto de vulnerabilidad. Los ciberdelincuentes apuntan a proveedores, socios y otras entidades de terceros que pueden tener defensas de ciberseguridad más débiles. Las organizaciones de atención médica deben examinar la higiene de ciberseguridad de sus proveedores, asegurándose de que cumplan con altos estándares de protección y monitoreándolos continuamente para detectar posibles vulnerabilidades. También se deben evaluar los proveedores conectados a proveedores externos. Si bien esto parece mucho trabajo, la solución adecuada puede priorizar los riesgos al identificar problemas críticos en lugar de agrupar todas las amenazas. La precisión de los informes es clave y es esencial actuar sobre los riesgos de manera eficiente al poder compartir evaluaciones de riesgos y planes de acción con los proveedores fácilmente. 4. Aplicación de parches y cifrado regulares Mantener el software actualizado es una práctica básica pero fundamental en materia de ciberseguridad. Las organizaciones de atención médica deben priorizar la aplicación de parches a las vulnerabilidades del software y la protección de los servicios de red como el Protocolo de escritorio remoto (RDP), que los atacantes explotan con frecuencia. Además, garantizar que los datos confidenciales se transmitan a través de canales seguros y cifrados es vital para evitar el acceso no autorizado. 5. Respuesta a incidentes y planificación de recuperación La preparación es clave. Las organizaciones de atención médica deben tener planes de respuesta a incidentes bien desarrollados que se practiquen y actualicen periódicamente. Esto incluye estrategias de respaldo para garantizar que los datos y sistemas críticos se puedan restaurar rápidamente en caso de un ataque de ransomware. Tener estos sistemas implementados minimiza el tiempo de inactividad operativa y mitiga el impacto potencial de un ciberataque. Estudio de caso: Cómo la solución RiskRecon TPRM de Mastercard Cybersecurity está marcando la diferencia La solución RiskRecon TPRM de Mastercard está desempeñando un papel fundamental en la mejora de la higiene de la ciberseguridad en todas las industrias, incluida la atención médica. A través del monitoreo continuo y evaluaciones detalladas de los riesgos de terceros, RiskRecon proporciona a las organizaciones de atención médica los conocimientos que necesitan para mejorar su postura de seguridad y mitigar los riesgos. Al asignar calificaciones de higiene de ciberseguridad de la A a la F en múltiples dominios, incluidos parches de software, filtrado de red y cifrado web, RiskRecon ayuda a las organizaciones a identificar sus vulnerabilidades y priorizar áreas de mejora. Este enfoque proactivo reduce significativamente la probabilidad de experimentar una violación o un evento de ransomware destructivo. Además, la plataforma RiskRecon permite a las organizaciones de atención médica comparar su desempeño de seguridad con el de sus pares de la industria, impulsando la mejora continua y la responsabilidad. Con la visión única de Mastercard sobre el ecosistema digital, que procesa 143 mil millones de transacciones cada año, la empresa ofrece una precisión excepcional en la evaluación y protección de los entornos digitales. El camino por delante: fortalecer la ciberseguridad en la atención médica La creciente amenaza de los ciberataques en el sector de la atención médica requiere una respuesta urgente y coordinada. Las organizaciones no pueden darse el lujo de esperar a que se produzca un ataque antes de actuar; deben adoptar una postura proactiva en materia de higiene de la ciberseguridad. Si bien la tarea puede parecer abrumadora, los datos de la investigación de Mastercard dejan en claro que una buena higiene de la ciberseguridad reduce drásticamente la probabilidad de un ataque exitoso. Las organizaciones de atención médica deben invertir en las herramientas, prácticas y asociaciones adecuadas para proteger sus sistemas y garantizar que puedan seguir brindando atención esencial sin interrupciones. RiskRecon de Mastercard ofrece las soluciones que las organizaciones de atención médica necesitan para mejorar su postura de ciberseguridad y proteger a sus pacientes. Al aprovechar las evaluaciones en tiempo real y las calificaciones detalladas de higiene de la ciberseguridad, RiskRecon ayuda a las organizaciones de atención médica y a sus proveedores a mitigar los riesgos y prevenir los ataques de ransomware. Para obtener más información sobre cómo su organización puede protegerse del ransomware, descargue el informe completo sobre ransomware o solicite una demostración para obtener más información sobre los servicios de ciberseguridad de Mastercard. «Higiene de la ciberseguridad en el sector de la atención médica: un caso para la evaluación comparativa obligatoria para la mejora del rendimiento» 16 de enero de 2024″El estado del ransomware en 2024″ Abril de 2024 ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

19 de septiembre de 2024Ravie LakshmananCryptojacking / Seguridad en la nube La operación de cryptojacking conocida como TeamTNT probablemente haya resurgido como parte de una nueva campaña dirigida a las infraestructuras de servidores privados virtuales (VPS) basadas en el sistema operativo CentOS. «El acceso inicial se logró a través de un ataque de fuerza bruta de Secure Shell (SSH) a los activos de la víctima, durante el cual el actor de la amenaza cargó un script malicioso», dijeron los investigadores de Group-IB Vito Alfano y Nam Le Phuong en un informe del miércoles. El script malicioso, señaló la empresa de ciberseguridad de Singapur, es responsable de deshabilitar las funciones de seguridad, eliminar registros, finalizar los procesos de minería de criptomonedas e inhibir los esfuerzos de recuperación. Las cadenas de ataque finalmente allanan el camino para la implementación del rootkit Diamorphine para ocultar los procesos maliciosos, al mismo tiempo que configuran un acceso remoto persistente al host comprometido. La campaña se ha atribuido a TeamTNT con moderada confianza, citando similitudes en las tácticas, técnicas y procedimientos (TTP) observados. TeamTNT fue descubierto por primera vez en 2019, realizando actividades ilícitas de minería de criptomonedas infiltrándose en entornos de nube y contenedores. Si bien el actor de amenazas se despidió en noviembre de 2021 al anunciar un «abandono total», los informes públicos han descubierto varias campañas llevadas a cabo por el equipo de piratas informáticos desde septiembre de 2022. La última actividad vinculada al grupo se manifiesta en forma de un script de shell que primero verifica si fue infectado previamente por otras operaciones de cryptojacking, después de lo cual procede a perjudicar la seguridad del dispositivo deshabilitando SELinux, AppArmor y el firewall. Cambios implementados en el servicio ssh «El script busca un daemon relacionado con el proveedor de la nube Alibaba, llamado aliyun.service», dijeron los investigadores. «Si detecta este daemon, descarga un script bash de update.aegis.aliyun.com para desinstalar el servicio». Además de eliminar todos los procesos de minería de criptomonedas que compiten entre sí, el script toma medidas para ejecutar una serie de comandos para eliminar los rastros dejados por otros mineros, finalizar los procesos en contenedores y eliminar las imágenes implementadas en conexión con cualquier minero de monedas. Además, establece la persistencia configurando trabajos cron que descargan el script de shell cada 30 minutos desde un servidor remoto (65.108.48[.]150) y modificando el archivo «/root/.ssh/authorized_keys» para agregar una cuenta de puerta trasera. «Bloquea el sistema modificando los atributos del archivo, creando un usuario de puerta trasera con acceso root y borrando el historial de comandos para ocultar sus actividades», señalaron los investigadores. «El actor de la amenaza no deja nada al azar; de hecho, el script implementa varios cambios dentro de la configuración del servicio SSH y del firewall». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Un malware no documentado anteriormente llamado SambaSpy está atacando exclusivamente a usuarios en Italia a través de una campaña de phishing orquestada por un supuesto actor de amenazas de habla portuguesa brasileña. «Los actores de amenazas generalmente intentan lanzar una red amplia para maximizar sus ganancias, pero estos atacantes se centran en un solo país», dijo Kaspersky en un nuevo análisis. «Es probable que los atacantes estén tanteando el terreno con los usuarios italianos antes de expandir su operación a otros países». El punto de partida del ataque es un correo electrónico de phishing que incluye un archivo adjunto en HTML o un enlace incrustado que inicia el proceso de infección. Si se abre el archivo adjunto en HTML, se utiliza un archivo ZIP que contiene un descargador o un dropper provisional para implementar y ejecutar la carga útil del RAT multifuncional. El descargador, por su parte, es responsable de obtener el malware de un servidor remoto. El dropper, por otro lado, hace lo mismo, pero extrae la carga útil del archivo en lugar de recuperarlo de una ubicación externa. La segunda cadena de infección con el enlace trampa es mucho más elaborada, ya que al hacer clic en él se redirige al usuario a una factura legítima alojada en FattureInCloud si no es el objetivo previsto. En un escenario alternativo, al hacer clic en la misma URL, la víctima es redirigida a un servidor web malicioso que ofrece una página HTML con código JavaScript que presenta comentarios escritos en portugués brasileño. «Redirige a los usuarios a una URL maliciosa de OneDrive, pero solo si están ejecutando Edge, Firefox o Chrome con su idioma configurado en italiano», dijo el proveedor de ciberseguridad ruso. «Si los usuarios no pasan estas comprobaciones, permanecen en la página». A los usuarios que cumplen estos requisitos se les ofrece un documento PDF alojado en Microsoft OneDrive que les indica que hagan clic en un hipervínculo para ver el documento, después de lo cual se les dirige a un archivo JAR malicioso alojado en MediaFire que contiene el descargador o el dropper como antes. SambaSpy, un troyano de acceso remoto con todas las funciones desarrollado en Java, es nada menos que una navaja suiza que puede manejar la administración del sistema de archivos, la administración de procesos, la administración de escritorio remoto, la carga y descarga de archivos, el control de la cámara web, el registro de teclas y el seguimiento del portapapeles, la captura de pantalla y el shell remoto. También está equipado para cargar complementos adicionales en tiempo de ejecución lanzando un archivo en el disco previamente descargado por el RAT, lo que le permite aumentar sus capacidades según sea necesario. Además de eso, está diseñado para robar credenciales de navegadores web como Chrome, Edge, Opera, Brave, Iridium y Vivaldi. La evidencia de la infraestructura sugiere que el actor de amenazas detrás de la campaña también está poniendo sus miras en Brasil y España, lo que apunta a una expansión operativa. «Hay varias conexiones con Brasil, como artefactos de idioma en el código y dominios que apuntan a usuarios brasileños», dijo Kaspersky. «Esto se alinea con el hecho de que los atacantes de América Latina a menudo apuntan a países europeos con idiomas estrechamente relacionados, a saber, Italia, España y Portugal». Nuevas campañas de BBTok y Mekotio dirigidas a América Latina El desarrollo llega semanas después de que Trend Micro advirtiera sobre un aumento en las campañas que distribuyen troyanos bancarios como BBTok, Grandoreiro y Mekotio dirigidas a la región de América Latina a través de estafas de phishing que utilizan transacciones comerciales y transacciones judiciales como señuelos. Mekotio «emplea una nueva técnica en la que el script PowerShell del troyano ahora está ofuscado, mejorando su capacidad para evadir la detección», dijo la compañía, destacando el uso de BBTok de enlaces de phishing para descargar archivos ZIP o ISO que contienen archivos LNK que actúan como un punto de activación para las infecciones. El archivo LNK se utiliza para avanzar al siguiente paso lanzando el binario legítimo MSBuild.exe, que está presente dentro del archivo ISO. Posteriormente carga un archivo XML malicioso también oculto dentro del archivo ISO, que luego aprovecha rundll32.exe para lanzar la carga útil DLL de BBTok. «Al usar la utilidad legítima de Windows MSBuild.exe, los atacantes pueden ejecutar su código malicioso mientras evaden la detección», señaló Trend Micro. Las cadenas de ataque asociadas con Mekotio comienzan con una URL maliciosa en el correo electrónico de phishing que, al hacer clic, dirige al usuario a un sitio web falso que entrega un archivo ZIP, que contiene un archivo por lotes diseñado para ejecutar un script de PowerShell. El script de PowerShell actúa como un descargador de segunda etapa para lanzar el troyano por medio de un script de AutoHotKey, pero no antes de realizar un reconocimiento del entorno de la víctima para confirmar que efectivamente se encuentra en uno de los países objetivo. «Las estafas de phishing más sofisticadas dirigidas a usuarios latinoamericanos para robar credenciales bancarias confidenciales y realizar transacciones bancarias no autorizadas subrayan la necesidad urgente de mejorar las medidas de ciberseguridad contra los métodos cada vez más avanzados empleados por los cibercriminales», dijeron los investigadores de Trend Micro. «Estos troyanos [have] «Los grupos criminales se han vuelto cada vez más hábiles para evadir la detección y robar información confidencial, mientras que las bandas que están detrás de ellos se vuelven más audaces a la hora de atacar a grupos más grandes para obtener más ganancias». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

19 de septiembre de 2024Ravie LakshmananSegún los nuevos hallazgos de Huntress, se ha observado que los actores de amenazas de ciberataque/piratería tienen como objetivo el sector de la construcción infiltrándose en el software de contabilidad FOUNDATION. «Se ha observado que los atacantes han forzado el software a gran escala y han obtenido acceso simplemente usando las credenciales predeterminadas del producto», dijo la empresa de ciberseguridad. Los objetivos de la amenaza emergente incluyen la plomería, la calefacción, la ventilación y el aire acondicionado (HVAC), el hormigón y otras subindustrias relacionadas. El software FOUNDATION viene con un servidor Microsoft SQL (MS SQL) para manejar las operaciones de la base de datos y, en algunos casos, tiene el puerto TCP 4243 abierto para acceder directamente a la base de datos a través de una aplicación móvil. Huntress dijo que el servidor incluye dos cuentas con altos privilegios, incluida «sa», una cuenta de administrador del sistema predeterminada, y «dba», una cuenta creada por FOUNDATION, que a menudo se dejan con las credenciales predeterminadas sin cambios. Una consecuencia de esta acción es que los actores de amenazas podrían realizar ataques de fuerza bruta al servidor y aprovechar la opción de configuración xp_cmdshell para ejecutar comandos de shell arbitrarios. «Se trata de un procedimiento almacenado extendido que permite la ejecución de comandos del sistema operativo directamente desde SQL, lo que permite a los usuarios ejecutar comandos y scripts de shell como si tuvieran acceso directamente desde el símbolo del sistema», señaló Huntress. Huntress detectó las primeras señales de la actividad el 14 de septiembre de 2024, con aproximadamente 35.000 intentos de inicio de sesión por fuerza bruta registrados contra un servidor MS SQL en un host antes de obtener acceso exitoso. De los 500 hosts que ejecutan el software FOUNDATION en los puntos finales protegidos por la empresa, se ha descubierto que 33 de ellos son accesibles públicamente con credenciales predeterminadas. Para mitigar el riesgo que plantean estos ataques, se recomienda rotar las credenciales de cuenta predeterminadas, dejar de exponer la aplicación en Internet pública si es posible y deshabilitar la opción xp_cmdshell cuando corresponda. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Hasta hace apenas un par de años, solo un puñado de profesionales de IAM sabían qué son las cuentas de servicio. En los últimos años, estas cuentas silenciosas de identidades no humanas (NHI) se han convertido en una de las superficies de ataque más específicas y comprometidas. Las evaluaciones informan que las cuentas de servicio comprometidas juegan un papel clave en el movimiento lateral en más del 70% de los ataques de ransomware. Sin embargo, existe una desproporción alarmante entre la exposición al compromiso de las cuentas de servicio y el impacto potencial, y las medidas de seguridad disponibles para mitigar este riesgo. En este artículo, exploramos qué hace que las cuentas de servicio sean un objetivo tan lucrativo, por qué están más allá del alcance de la mayoría de los controles de seguridad y cómo el nuevo enfoque de seguridad de identidad unificada puede evitar que las cuentas de servicio se vean comprometidas y se abuse de ellas. Cuentas de servicio de Active Directory 101: identidades no humanas utilizadas para M2M En un entorno de Active Directory (AD), las cuentas de servicio son cuentas de usuario que no están asociadas con seres humanos, pero se utilizan para la comunicación de máquina a máquina. Las crean los administradores para automatizar tareas repetitivas o durante el proceso de instalación de software local. Por ejemplo, si tiene un EDR en su entorno, hay una cuenta de servicio que es responsable de obtener actualizaciones para el agente EDR en su punto final y servidores. Aparte de ser un NHI, las cuentas de servicio no son diferentes a cualquier otra cuenta de usuario en AD. ¿Por qué los atacantes van tras las cuentas de servicio? Los actores de ransomware confían en las cuentas de AD comprometidas, preferiblemente las privilegiadas, para el movimiento lateral. Un actor de ransomware llevaría a cabo dicho movimiento lateral hasta obtener un punto de apoyo lo suficientemente fuerte como para cifrar varias máquinas con un solo clic. Normalmente, lo conseguirían accediendo a un controlador de dominio u otro servidor que se utilice para la distribución de software y abusando del recurso compartido de red para ejecutar la carga útil del ransomware en la mayor cantidad posible de máquinas. Aunque cualquier cuenta de usuario sería adecuada para este propósito, las cuentas de servicio son las más adecuadas debido a las siguientes razones: Altos privilegios de acceso La mayoría de las cuentas de servicio se crean para acceder a otras máquinas. Eso implica inevitablemente que tienen los privilegios de acceso necesarios para iniciar sesión y ejecutar código en estas máquinas. Esto es exactamente lo que buscan los actores de amenazas, ya que comprometer estas cuentas les daría la capacidad de acceder y ejecutar su carga maliciosa. Baja visibilidad Algunas cuentas de servicio, especialmente aquellas que están asociadas con un software local instalado, son conocidas por el personal de TI e IAM. Sin embargo, muchas son creadas ad-hoc por el personal de TI e identidad sin documentación. Esto hace que la tarea de mantener un inventario monitoreado de cuentas de servicio sea casi imposible. Esto juega bien en manos de los atacantes, ya que comprometer y abusar de una cuenta no monitoreada tiene una probabilidad mucho mayor de pasar desapercibido para la víctima del ataque. Falta de controles de seguridad Las medidas de seguridad comunes que se utilizan para la prevención del compromiso de cuentas son MFA y PAM. MFA no se puede aplicar a las cuentas de servicio porque no son humanas y no poseen un teléfono, token de hardware o cualquier otro factor adicional que pueda usarse para verificar su identidad más allá de su nombre de usuario y contraseñas. Las soluciones PAM también tienen problemas con la protección de las cuentas de servicio. La rotación de contraseñas, que es el principal control de seguridad que utilizan las soluciones PAM, no se puede aplicar a las cuentas de servicio debido a la preocupación de que su autenticación falle y se rompan los procesos críticos que administran. Esto deja a las cuentas de servicio prácticamente desprotegidas. ¿Quiere obtener más información sobre cómo proteger sus cuentas de servicio? Explore nuestro libro electrónico, Superar los puntos ciegos de seguridad de las cuentas de servicio, para obtener más información sobre los desafíos de proteger las cuentas de servicio y obtener orientación sobre cómo combatir estos problemas. Datos reales: todas las empresas son víctimas potenciales independientemente de su vertical y tamaño. Alguna vez se dijo que el ransomware es el gran democratizador que no discrimina entre víctimas en función de ninguna característica. Esto es más cierto que nunca en lo que respecta a las cuentas de servicio. En los últimos años, hemos investigado incidentes en empresas de 200 a 200.000 empleados en finanzas, fabricación, venta minorista, telecomunicaciones y muchas otras. En 8 de cada 10 casos, su intento de movimiento lateral implicó el compromiso de las cuentas de servicio. Como siempre, los atacantes nos enseñan mejor dónde están nuestros eslabones más débiles. La solución de Silverfort: Plataforma de seguridad de identidad unificada La categoría emergente de seguridad de identidad presenta una posibilidad de cambiar las tornas en el libre albedrío que los adversarios han disfrutado hasta ahora en las cuentas de servicio. La plataforma de seguridad de identidad de Silverfort está construida sobre una tecnología patentada que le permite tener visibilidad continua, análisis de riesgos y aplicación activa en cualquier autenticación de AD, incluidas, por supuesto, las realizadas por cuentas de servicio. Veamos cómo se utiliza esto para frustrar a los atacantes que las utilizan para acceso malicioso. Protección de cuentas de servicio de Silverfort: descubrimiento, perfilado y protección automatizados Silverfort permite a los equipos de identidad y seguridad mantener sus cuentas de servicio seguras de la siguiente manera: Descubrimiento automatizado Silverfort ve y analiza cada autenticación de AD. Esto hace que sea fácil para su motor de IA identificar las cuentas que presentan el comportamiento determinista y predecible que caracteriza a las cuentas de servicio. Después de un breve período de aprendizaje, Silverfort proporciona a sus usuarios un inventario completo de sus cuentas de servicio, incluidos sus niveles de privilegio, orígenes y destinos, y otros datos que mapean el comportamiento de cada una. Análisis de comportamiento Para cada cuenta de servicio identificada, Silverfort define una línea base de comportamiento que incluye las fuentes y destinos que utiliza normalmente. El motor de Silverfort aprende y enriquece continuamente esta línea base para capturar el comportamiento de la cuenta con la mayor precisión posible. Cercado virtual Basándose en la línea base de comportamiento, Silverfort crea automáticamente una política para cada cuenta de servicio que activa una acción de protección ante cualquier desviación de la cuenta de su comportamiento estándar. Esta acción puede ser una simple alerta o incluso un bloqueo de acceso total. De esa manera, incluso si las credenciales de la cuenta de servicio se ven comprometidas, el adversario no podrá usarlas para acceder a ningún recurso más allá de los incluidos en la línea base. Todo lo que el usuario de Silverfort debe hacer es habilitar la política sin ningún esfuerzo adicional. Conclusión: este es el momento de actuar. Asegúrese de que sus cuentas de servicio estén protegidas Es mejor que se haga con sus cuentas de servicio antes de que lo hagan sus atacantes. Esta es la verdadera vanguardia del panorama de amenazas actual. ¿Tiene una forma de ver, monitorear y proteger sus cuentas de servicio contra el compromiso? Si la respuesta es no, es solo cuestión de tiempo antes de que te unas a la línea de estadísticas de ransomware. ¿Quieres obtener más información sobre la protección de cuentas de servicio de Silverfort? Visita nuestro sitio web o comunícate con uno de nuestros expertos para obtener una demostración. ¿Te resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

20 de septiembre de 2024Ravie LakshmananSeguridad empresarial / Seguridad de red Ivanti ha revelado que una falla de seguridad crítica que afecta a Cloud Service Appliance (CSA) ha sido explotada activamente en la naturaleza. La nueva vulnerabilidad, a la que se le ha asignado el identificador CVE CVE-2024-8963, tiene una puntuación CVSS de 9,4 sobre un máximo de 10,0. La empresa la «abordó incidentalmente» como parte del parche 519 de CSA 4.6 y CSA 5.0. «Path Traversal en el CSA de Ivanti antes del parche 519 de 4.6 permite que un atacante remoto no autenticado acceda a una funcionalidad restringida», dijo la empresa en un boletín del jueves. También señaló que la falla podría estar encadenada con CVE-2024-8190 (puntuación CVSS: 7,2), lo que permite a un atacante eludir la autenticación de administrador y ejecutar comandos arbitrarios en el dispositivo. Ivanti ha advertido además que está «al tanto de un número limitado de clientes que han sido explotados por esta vulnerabilidad», días después de que revelara intentos de explotación activos dirigidos contra CVE-2024-8190. Esto indica que los actores de amenazas detrás de la actividad están combinando los fallos gemelos para lograr la ejecución del código en dispositivos susceptibles. El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que requiere que las agencias federales apliquen las correcciones antes del 10 de octubre de 2024. Se recomienda encarecidamente a los usuarios que actualicen a la versión 5.0 de CSA lo antes posible, ya que la versión 4.6 ha llegado al final de su vida útil y ya no recibe soporte. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

20 de septiembre de 2024Ravie LakshmananEncriptación / Seguridad digital Google presentó el jueves un PIN de Password Manager para permitir que los usuarios web de Chrome sincronicen sus claves de acceso en dispositivos Windows, macOS, Linux, ChromeOS y Android. «Este PIN agrega una capa adicional de seguridad para garantizar que sus claves de acceso estén encriptadas de extremo a extremo y nadie, ni siquiera Google, pueda acceder a ellas», dijo el gerente de productos de Chrome, Chirag Desai. El PIN es un código de seis dígitos de forma predeterminada, aunque también es posible crear un PIN alfanumérico más largo seleccionando «Opciones de PIN». Esto marca un cambio con respecto al status quo anterior, donde los usuarios solo podían guardar claves de acceso para guardar claves de acceso en Google Password Manager en Android. Si bien las claves de acceso se podían usar en otras plataformas, era necesario escanear un código QR con el dispositivo donde se generaron. El último cambio elimina ese paso, lo que hace que sea mucho más fácil para los usuarios iniciar sesión en servicios en línea usando claves de acceso simplemente escaneando sus datos biométricos. Google señaló que se espera que la compatibilidad con iOS llegue pronto. Sin embargo, esto requiere que los usuarios conozcan el PIN del Administrador de contraseñas o el bloqueo de pantalla de sus dispositivos Android antes de usar claves de acceso en un dispositivo nuevo. «Estos factores de recuperación le permitirán acceder de forma segura a sus claves de acceso guardadas y sincronizar las nuevas en sus computadoras y dispositivos Android», dijo Desai. El desarrollo se produce cuando el gigante tecnológico dijo que las claves de acceso están siendo utilizadas por más de 400 millones de cuentas de Google a partir de mayo de 2024. Dos meses después, la alternativa resistente al phishing se puso a disposición de los usuarios de alto riesgo a través de su Programa de protección avanzada (APP). ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Un actor iraní de amenazas persistentes avanzadas (APT) probablemente afiliado al Ministerio de Inteligencia y Seguridad (MOIS) está actuando ahora como un facilitador de acceso inicial que proporciona acceso remoto a las redes objetivo. Mandiant, propiedad de Google, está rastreando el grupo de actividad bajo el nombre UNC1860, que según dijo comparte similitudes con los conjuntos de intrusiones rastreados por Microsoft, Cisco Talos y Check Point como Storm-0861 (anteriormente DEV-0861), ShroudedSnooper y Scarred Manticore, respectivamente. «Una característica clave de UNC1860 es su colección de herramientas especializadas y puertas traseras pasivas que […] «El grupo apoya varios objetivos, incluido su papel como probable proveedor de acceso inicial y su capacidad para obtener acceso persistente a redes de alta prioridad, como las del gobierno y el espacio de telecomunicaciones en todo Oriente Medio», dijo la empresa. El grupo salió a la luz por primera vez en julio de 2022 en relación con los ciberataques destructivos dirigidos a Albania con una cepa de ransomware llamada ROADSWEEP, la puerta trasera CHIMNEYSWEEP y una variante de limpiador ZEROCLEAR (también conocida como Cl Wiper), con intrusiones posteriores en Albania e Israel aprovechando nuevos limpiadores denominados No-Justice y BiBi (también conocido como BABYWIPER). Mandiant describió a UNC1860 como un «formidable actor de amenazas» que mantiene un arsenal de puertas traseras pasivas diseñadas para obtener puntos de apoyo en las redes de las víctimas y establecer un acceso a largo plazo sin llamar la atención. Entre estas herramientas se incluyen dos controladores de malware operados por GUI rastreados como TEMPLEPLAY y VIROGREEN, que se dice que brindan a otros actores de amenazas asociados a MOIS acceso remoto a los entornos de las víctimas mediante el protocolo de escritorio remoto. (RDP). Específicamente, estos controladores están diseñados para proporcionar a los operadores de terceros una interfaz que ofrece instrucciones sobre las formas en que se pueden implementar cargas útiles personalizadas y se pueden llevar a cabo actividades posteriores a la explotación, como el escaneo interno, dentro de la red objetivo. Mandiant dijo que identificó superposiciones entre UNC1860 y APT34 (también conocido como Hazel Sandstorm, Helix Kitten y OilRig) en el sentido de que las organizaciones comprometidas por este último en 2019 y 2020 fueron infiltradas previamente por UNC1860, y viceversa. Además, se ha observado que ambos clústeres pivotan hacia objetivos con base en Irak, como lo destacó recientemente Check Point. Las cadenas de ataque implican aprovechar el acceso inicial obtenido mediante la explotación oportunista de servidores vulnerables que dan a Internet para colocar shells web y droppers como STAYSHANTE y SASHEYAWAY, y este último conduce a la ejecución de implantes, como TEMPLEDOOR, FACEFACE y SPARKLOAD, que están integrados en él. «VIROGREEN es un marco personalizado que se utiliza para explotar servidores SharePoint vulnerables con CVE-2019-0604», dijeron los investigadores, y agregaron que controla STAYSHANTE, junto con una puerta trasera conocida como BASEWALK. «El marco proporciona capacidades posteriores a la explotación que incluyen […] controlar las cargas útiles posteriores a la explotación, las puertas traseras (incluido el shell web STAYSHANTE y la puerta trasera BASEWALK) y la asignación de tareas; controlar un agente compatible independientemente de cómo se haya implantado el agente; y ejecutar comandos y cargar/descargar archivos. TEMPLEPLAY (denominado internamente Client Http), por su parte, sirve como el controlador basado en .NET para TEMPLEDOOR. Admite instrucciones de puerta trasera para ejecutar comandos a través de cmd.exe, cargar/descargar archivos desde y hacia el host infectado y conexión proxy a un servidor objetivo. Se cree que el adversario tiene en su posesión una colección diversa de herramientas pasivas y puertas traseras de escenario principal que se alinean con su acceso inicial, movimiento lateral y objetivos de recopilación de información. Algunas de las otras herramientas notables documentadas por Mandiant se enumeran a continuación: OATBOAT, un cargador que carga y ejecuta cargas útiles de shellcode TOFUDRV, un controlador malicioso de Windows que se superpone con WINTAPIX TOFULOAD, un implante pasivo que emplea comandos de control de entrada/salida (IOCTL) no documentados para la comunicación TEMPLEDROP, una versión reutilizada de un controlador de filtro del sistema de archivos de Windows de software antivirus iraní llamado Sheed AV que se utiliza para proteger los archivos que implementa de modificaciones TEMPLELOCK, una utilidad de evasión de defensa .NET que es capaz de matar el servicio de registro de eventos de Windows TUNNELBOI, un controlador de red capaz de establecer una conexión con un host remoto y administrar conexiones RDP «A medida que las tensiones continúan aumentando y disminuyendo en Medio Oriente, creemos que la destreza de este actor para obtener acceso inicial a los entornos objetivo representa un activo valioso para el ecosistema cibernético iraní que puede explotarse para responder a objetivos en evolución a medida que cambian las necesidades», dijeron los investigadores Stav Shulman, Matan Mimran, Sarah Bock y Mark El gobierno de Estados Unidos reveló que los actores cibernéticos iraníes están intentando influir y socavar las próximas elecciones estadounidenses robando material no público de la campaña del expresidente Donald Trump. «A finales de junio y principios de julio, los actores cibernéticos iraníes enviaron correos electrónicos no solicitados a personas asociadas en ese momento con la campaña del presidente Biden que contenían un extracto tomado de material no público robado de la campaña del expresidente Trump como texto en los correos electrónicos», dijo el gobierno. «Actualmente no hay información que indique que esos destinatarios respondieron. Además, los actores cibernéticos iraníes han continuado sus esfuerzos desde junio para enviar material no público robado asociado con la campaña del expresidente Trump a organizaciones de medios estadounidenses». La intensificación de las operaciones cibernéticas de Irán contra sus supuestos rivales también se produce en un momento en que el país se ha vuelto cada vez más activo en la región de Oriente Medio. El mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advirtió que el APT iraní Lemon Sandstorm (también conocido como Fox Kitten) ha llevado a cabo ataques de ransomware al asociarse clandestinamente con los equipos de NoEscape, RansomHouse y BlackCat (también conocido como ALPHV). El análisis de Censys de la infraestructura de ataque del grupo de piratas informáticos ha descubierto otros hosts actualmente activos que probablemente sean parte de él en función de puntos en común basados ​​en la geolocalización, números de sistemas autónomos (ASN) y patrones idénticos de puertos y certificados digitales. «A pesar de los intentos de ofuscación, desvío y aleatoriedad, los humanos aún deben instanciar, operar y desmantelar la infraestructura digital», dijo Matt Lembright de Censys. «Esos humanos, incluso si confían en la tecnología para crear aleatoriedad, casi siempre seguirán algún tipo de patrón, ya sean sistemas autónomos similares, geolocalizaciones, proveedores de alojamiento, software, distribuciones de puertos o características de certificados». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

21 de septiembre de 2024Ravie LakshmananSeguridad nacional / Ataque cibernético Ucrania ha restringido el uso de la aplicación de mensajería Telegram por parte de funcionarios gubernamentales, personal militar y otros trabajadores de defensa e infraestructura crítica, citando preocupaciones de seguridad nacional. La prohibición fue anunciada por el Centro Nacional de Coordinación para la Ciberseguridad (NCCC) en una publicación compartida en Facebook. «Siempre he defendido y defiendo la libertad de expresión, pero la cuestión de Telegram no es una cuestión de libertad de expresión, es una cuestión de seguridad nacional», dijo Kyrylo Budanov, jefe de la agencia de inteligencia militar GUR de Ucrania. El Consejo de Seguridad Nacional y Defensa de Ucrania (NSDC) dijo que Telegram es «utilizado activamente por el enemigo» para lanzar ataques cibernéticos, difundir mensajes de phishing y software malicioso, rastrear el paradero de los usuarios y recopilar inteligencia para ayudar al ejército ruso a atacar las instalaciones de Ucrania con drones y misiles. Para ello, se ha prohibido el uso de Telegram en los dispositivos oficiales de los empleados de las autoridades estatales, personal militar, empleados del sector de seguridad y defensa, así como de las empresas que sean operadoras de infraestructuras críticas. Vale la pena señalar que la prohibición no se extiende a los teléfonos personales ni a las personas que utilizan la aplicación como parte de sus funciones oficiales. En un comunicado compartido con Reuters, Telegram dijo que no ha proporcionado ningún dato personal a ningún país, incluida Rusia, y que los mensajes eliminados se eliminan de forma permanente sin posibilidad de recuperarlos. El desarrollo se produce semanas después de que el director ejecutivo de Telegram fuera arrestado en Francia y luego puesto en libertad bajo fianza en relación con una investigación sobre el uso de la popular aplicación de mensajería para pornografía infantil, tráfico de drogas y fraude. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

21 de septiembre de 2024Ravie LakshmananPrivacidad / Inteligencia artificial La Oficina del Comisionado de Información del Reino Unido (ICO) ha confirmado que la plataforma de redes sociales profesionales LinkedIn ha suspendido el procesamiento de datos de los usuarios en el país para entrenar sus modelos de inteligencia artificial (IA). «Nos complace que LinkedIn haya reflexionado sobre las preocupaciones que planteamos sobre su enfoque para entrenar modelos de IA generativos con información relacionada con sus usuarios del Reino Unido», dijo Stephen Almond, director ejecutivo de riesgo regulatorio. «Agradecemos la confirmación de LinkedIn de que ha suspendido dicho entrenamiento de modelos a la espera de un mayor compromiso con la ICO». Almond también dijo que la ICO tiene la intención de vigilar de cerca a las empresas que ofrecen capacidades de IA generativa, incluidas Microsoft y LinkedIn, para asegurarse de que cuentan con las salvaguardas adecuadas y toman medidas para proteger los derechos de información de los usuarios del Reino Unido. El desarrollo se produce después de que la empresa propiedad de Microsoft admitiera haber entrenado su propia IA con los datos de los usuarios sin buscar su consentimiento explícito como parte de una política de privacidad actualizada que entró en vigencia el 18 de septiembre de 2024, informó 404 Media. «En este momento, no estamos habilitando el entrenamiento para la IA generativa en datos de miembros del Espacio Económico Europeo, Suiza y el Reino Unido, y no proporcionaremos la configuración a los miembros de esas regiones hasta nuevo aviso», dijo Linked. La compañía también señaló en una sección de preguntas frecuentes separada que busca «minimizar los datos personales en los conjuntos de datos utilizados para entrenar los modelos, incluso mediante el uso de tecnologías de mejora de la privacidad para redactar o eliminar datos personales del conjunto de datos de entrenamiento». Los usuarios que residen fuera de Europa pueden optar por no participar en la práctica dirigiéndose a la sección «Privacidad de datos» en la configuración de la cuenta y desactivando la configuración «Datos para la mejora de la IA generativa». «Optar por no participar significa que LinkedIn y sus afiliados no usarán sus datos personales o contenido en LinkedIn para entrenar modelos en el futuro, pero no afecta el entrenamiento que ya se ha realizado», señaló LinkedIn. La decisión de LinkedIn de optar silenciosamente por que todos los usuarios entrenen sus modelos de IA se produce solo días después de que Meta reconociera que ha raspado datos de usuarios no privados para fines similares desde 2007. Desde entonces, la empresa de redes sociales ha reanudado el entrenamiento con datos de usuarios del Reino Unido. En agosto pasado, Zoom abandonó sus planes de usar el contenido de los clientes para entrenar modelos de IA después de que surgieran preocupaciones sobre cómo se podrían usar esos datos en respuesta a los cambios en los términos de servicio de la aplicación. El último desarrollo subraya el creciente escrutinio de la IA, específicamente en torno a cómo se podrían usar los datos y el contenido de las personas para entrenar grandes modelos de lenguaje de IA. También se produce cuando la Comisión Federal de Comercio de Estados Unidos (FTC) publicó un informe que básicamente decía que las grandes plataformas de transmisión de video y redes sociales han participado en una vasta vigilancia de los usuarios con controles de privacidad laxos y salvaguardas inadecuadas para niños y adolescentes. La información personal de los usuarios a menudo se combina con datos obtenidos de inteligencia artificial, píxeles de seguimiento y corredores de datos de terceros para crear perfiles de consumidores más completos antes de monetizarlos vendiéndolos a otros compradores dispuestos. «Las empresas recopilaron y pudieron retener indefinidamente grandes cantidades de datos, incluida información de corredores de datos, y sobre usuarios y no usuarios de sus plataformas», dijo la FTC, y agregó que sus prácticas de recopilación, minimización y retención de datos eran «lamentablemente inadecuadas». «Muchas empresas han compartido datos de forma masiva, lo que genera serias preocupaciones sobre la idoneidad de los controles y la supervisión del manejo de datos por parte de las empresas. Algunas empresas no eliminaron todos los datos de los usuarios en respuesta a las solicitudes de eliminación de los mismos». ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.