MSI acaba de sufrir un ataque masivo de ransomware, pero aún peor: ¡perdió una tonelada de datos críticos a manos de los piratas informáticos! ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas! Los piratas informáticos exigen 4 millones de dólares a MSI para no divulgar datos robados El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message. Si bien aparentemente MSI ha restaurado archivos cifrados por el ransomware de Money Message, la pandilla ahora tiene acceso a aproximadamente 1,5 terabytes de datos críticos de MSI. Según BleepingComputer, las conversaciones entre Money Message y un representante de MSI muestran a la pandilla exigiendo un pago de rescate de 4 millones de dólares. De lo contrario, Money Message liberará los archivos robados. Para demostrar que efectivamente robaron esos archivos MSI, Money Message publicó capturas de pantalla de lo que describen como bases de datos de planificación de recursos empresariales (ERP) de MSI y archivos que contienen código fuente de software, claves privadas y firmware BIOS. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? Si Money Message divulga datos confidenciales de MSI, puede que no sólo sea vergonzoso para la empresa taiwanesa, sino que también podría permitir que otros actores de amenazas utilicen el código fuente y las claves privadas para crear malware dirigido a sus clientes. En vista de esto, los usuarios de MSI sólo deben descargar e instalar software o firmware BIOS desde el sitio web oficial de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Programas | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
Etiqueta: piratas informáticos
Los piratas informáticos estatales rusos están adaptando sus técnicas para atacar a las organizaciones que se trasladan a la nube, advirtió un aviso del Centro Nacional de Seguridad Cibernética del Reino Unido y agencias de seguridad internacionales. El aviso detalla cómo el grupo de ciberespionaje APT29 está apuntando directamente a las debilidades en los servicios en la nube utilizados por las organizaciones víctimas para obtener acceso inicial a sus sistemas. APT29 también está ampliando el alcance de sus ataques más allá de los gobiernos, los grupos de expertos, los proveedores de atención médica y de energía para incluir víctimas en la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares. APT29 ha sido vinculado al Servicio de Inteligencia Exterior de Rusia. El aviso insta a las organizaciones a abordar las vulnerabilidades comunes en sus entornos de nube eliminando cuentas inactivas, habilitando la autenticación multifactor y creando cuentas canary para monitorear actividades sospechosas. ¿Quién es APT29? APT29, también conocido como Cozy Bear, Midnight Blizzard o The Dukes, es un grupo de ciberespionaje que se cree que es el autor del infame ataque SolarWinds de 2020, que aprovechó las vulnerabilidades de la red Orion y tuvo un impacto devastador en las agencias gubernamentales de EE. UU. y varias empresas del sector privado. El grupo de hackers también fue culpado por el reciente ataque de difusión de contraseñas a Microsoft que resultó en el compromiso de una pequeña cantidad de cuentas de correo electrónico corporativas. Cómo APT29 está adaptando sus ciberataques para centrarse en entornos basados en la nube y «bombardeo MFA» Según el aviso, se ha observado que APT29 utiliza una serie de técnicas durante los últimos 12 meses que sugieren que se está adaptando al cambio hacia operaciones basadas en la nube. ambientes en los sectores público y privado. Específicamente, el grupo está explotando cada vez más las debilidades de los servicios en la nube utilizados por las organizaciones para obtener acceso inicial a las redes. Esto marca un alejamiento de los métodos de ataque tradicionales utilizados por el grupo, es decir, aquellos que apuntan a equipos locales. Las técnicas utilizadas por APT29 incluyen la difusión de contraseñas y ataques de fuerza bruta dirigidos a cuentas que están inactivas o no son operadas por una persona y se utilizan para administrar otras aplicaciones en la red. “Este tipo de cuenta se utiliza normalmente para ejecutar y administrar aplicaciones y servicios. No hay ningún usuario humano detrás de ellas, por lo que no pueden protegerse fácilmente con autenticación multifactor (MFA), lo que hace que estas cuentas sean más susceptibles a un compromiso exitoso”, señala el aviso. “Las cuentas de servicio a menudo también tienen muchos privilegios dependiendo de qué aplicaciones y servicios son responsables de administrar. Obtener acceso a estas cuentas proporciona a los actores de amenazas un acceso inicial privilegiado a una red para lanzar más operaciones”. APT29 también está explotando las debilidades de los protocolos MFA a través del «bombardeo MFA», que implica bombardear el dispositivo de la víctima con solicitudes de autenticación hasta que se cansa de aceptar, ya sea accidentalmente o no. Después de eludir MFA, los piratas informáticos pueden registrar su propio dispositivo en la red y obtener un acceso más profundo a los sistemas de la organización víctima. También se ha observado que los actores de SVR roban tokens de autenticación emitidos por el sistema, lo que les permite acceder a las cuentas de las víctimas sin necesidad de una contraseña. Toby Lewis, jefe de análisis de amenazas de la empresa británica de ciberseguridad Darktrace, dijo que el cambio en las tácticas de APT29 destacó algunos de los «desafíos inherentes» a la seguridad de la infraestructura de la nube. «La creciente migración de datos y cargas de trabajo a la nube ha abierto nuevas superficies de ataque que los ciberdelincuentes están ansiosos por explotar», dijo Lewis a TechRepublic por correo electrónico. “Los entornos de nube contienen enormes cantidades de datos confidenciales que atraen tanto a los malos actores como a los grupos de estados-nación. La naturaleza distribuida de la infraestructura de la nube, el rápido aprovisionamiento de recursos y la prevalencia de configuraciones erróneas han planteado importantes desafíos de seguridad”. Cómo los piratas informáticos de SVR pasan desapercibidos Los servidores proxy residenciales y las cuentas inactivas también están demostrando ser herramientas muy útiles para los piratas informáticos de SVR, señala el aviso. Las cuentas inactivas generalmente se crean cuando un empleado deja una organización pero su cuenta permanece activa. Los piratas informáticos que tienen acceso a una cuenta inactiva pueden eludir cualquier restablecimiento de contraseña impuesto por una organización luego de una violación de seguridad, señala el aviso; simplemente inician sesión en la cuenta inactiva o inactiva y siguen las instrucciones para restablecer la contraseña. «Esto ha permitido al actor recuperar el acceso tras las actividades de desalojo en respuesta a incidentes», dice. Del mismo modo, los actores de SVR utilizan servidores proxy residenciales para enmascarar su ubicación y hacer que parezca que el tráfico de su red se origina en una dirección IP cercana. Esto hace que sea más difícil para una organización víctima detectar actividad sospechosa en la red y hace que las defensas de ciberseguridad que utilizan direcciones IP como indicadores de actividad sospechosa sean menos efectivas. «A medida que las defensas a nivel de red mejoran la detección de actividades sospechosas, los actores de SVR han buscado otras formas de permanecer encubiertos en Internet», dice el aviso. Cobertura de seguridad de lectura obligada Los desafíos de proteger las redes en la nube Si bien no se menciona específicamente en el aviso, Lewis dijo que los avances en la inteligencia artificial generativa plantean desafíos adicionales para proteger los entornos en la nube, es decir, que los atacantes están aprovechando la tecnología para diseñar ataques de phishing e ingeniería social más sofisticados. técnicas. También sugirió que muchas organizaciones rebasan la seguridad en la nube porque asumen que es responsabilidad del proveedor de servicios en la nube, cuando en realidad es una responsabilidad compartida. DESCARGAR: Esta política de capacitación y concientización sobre seguridad de TechRepublic Premium “Muchas organizaciones asumen erróneamente que el proveedor de la nube se encargará de todos los aspectos de la seguridad. Sin embargo, aunque el proveedor protege la infraestructura subyacente, el cliente sigue siendo responsable de configurar adecuadamente los recursos, la gestión de identidades y accesos y la seguridad a nivel de aplicaciones”, dijo. “Los líderes empresariales deben tomarse en serio la seguridad en la nube invirtiendo en habilidades, herramientas y procesos adecuados. Deben asegurarse de que los empleados tengan capacitación en seguridad y arquitectura de la nube para evitar configuraciones erróneas básicas. También deberían adoptar el modelo de responsabilidad compartida, para saber exactamente qué es de su competencia”. Consejos del NCSC para mantenerse seguro con respecto al aviso SVR El aviso del NCSC enfatiza la importancia de los fundamentos de la ciberseguridad, que incluyen: Implementación de MFA. Usar contraseñas seguras y únicas para las cuentas. Reducir la duración de las sesiones para tokens y sesiones de usuario. Implementar un principio de privilegio mínimo para las cuentas de sistema y servicio, mediante el cual a cada cuenta se le otorgan solo los niveles mínimos de acceso necesarios para realizar sus funciones. Esto minimiza el daño potencial de las cuentas comprometidas y restringe el nivel de acceso que podrían obtener los atacantes. «Una buena base de los fundamentos de la seguridad cibernética puede negar incluso una amenaza tan sofisticada como el SVR, un actor capaz de llevar a cabo un compromiso de la cadena de suministro global como el compromiso de SolarWinds de 2020», señala el aviso. DESCARGAR: Esta política de seguridad en la nube de TechRepublic Premium Más allá de esto, el aviso sugiere configurar cuentas de servicio canary, es decir, cuentas que parecen legítimas pero que en realidad se utilizan para monitorear actividades sospechosas en la red. Se deben implementar políticas de inscripción sin intervención siempre que sea posible para que solo los dispositivos autorizados puedan agregarse automáticamente a la red, y las organizaciones deben «considerar una variedad de fuentes de información, como eventos de aplicaciones y registros basados en host, para ayudar a prevenir, detectar e investigar posibles ataques maliciosos». comportamiento.» Lewis destacó la importancia de la colaboración para responder al panorama de amenazas en evolución, así como para garantizar que las empresas cuenten con las habilidades, las personas y los procesos adecuados para defenderse contra amenazas nuevas y emergentes. “La colaboración global entre agencias y empresas de ciberseguridad es fundamental para identificar y responder a amenazas sofisticadas. Los atacantes como APT29 piensan globalmente, por lo que los defensores también deben hacerlo”, dijo. “Compartir inteligencia sobre nuevas tácticas permite a las organizaciones de todo el mundo mejorar sus defensas y responder rápidamente. Ninguna agencia o empresa tiene visibilidad completa por sí sola”.