Estrategias probadas para salvaguardar sus datos y recuperarse de un ataque de ransomware. Los ataques de ransomware se han convertido en una amenaza de ciberseguridad cada vez más frecuente y preocupante en el panorama digital actual, y se dirigen a personas, empresas y organizaciones de todos los tamaños. Los impactos financieros y operativos de estos ataques pueden ser graves y provocar filtraciones de datos, pérdidas financieras y daños a la reputación. Ninguna organización está a salvo del daño potencial que pueden causar estos ciberataques maliciosos, ni siquiera las grandes corporaciones. Para mitigar los riesgos y navegar por el complejo panorama de los ataques de ransomware, es fundamental contar con una estrategia de defensa sólida: un plan de supervivencia bien definido. Tan solo el año pasado, se han producido múltiples ataques de ciberseguridad de alto perfil sólo en Australia. Según el informe anual State of Ransomware 2023 de Sophos, el porcentaje de empresas australianas que informaron haber sido víctimas de ataques de ransomware se redujo al 70% desde el 80% del año anterior. A escala mundial, las empresas informaron 493,33 millones de ataques de ransomware en 2022. En el blog de hoy, profundizaremos en el mundo de los ataques de ransomware y le brindaremos un plan no solo para sobrevivir sino también para prosperar ante un incidente de este tipo. Si sigue las estrategias y mejores prácticas descritas en este artículo, podrá pasar del pánico a la preparación, salvaguardando sus datos valiosos y minimizando el impacto de los ataques de ransomware. Ataque de ransomware: del pánico a la preparación Comprensión de los ataques de ransomware El ransomware es un tipo de malware diseñado para negar a un usuario u organización el acceso a datos o sistemas críticos hasta que se pague un rescate. En un ataque de ransomware, los piratas informáticos se infiltran en un sistema informático o en una red utilizando software malicioso y mantienen los datos como rehenes. A cambio de la clave de descifrado, los atacantes exigen el pago de un rescate. Específicamente, los correos electrónicos fraudulentos, los sitios web secuestrados y las redes abiertas son puntos de entrada potenciales para este tipo de ataques. Los ataques de ransomware pueden ser devastadores. En verdad, puede provocar importantes pérdidas financieras, daños a la reputación e interrupciones en las operaciones comerciales. Por eso, comprender cómo se producen los ataques de ransomware es crucial para desarrollar estrategias de defensa eficaces. El impacto devastador de un ataque de ransomware Los ataques de ransomware se han vuelto cada vez más sofisticados y dirigidos con el tiempo. Anteriormente, estos ataques eran frecuentemente indiscriminados y lanzaban una amplia red con la esperanza de infectar tantos sistemas como fuera posible. Los ataques de ransomware modernos, por otro lado, con frecuencia se planifican meticulosamente y están destinados precisamente a víctimas de alto valor. Los ciberdelincuentes utilizan diversas formas de obtener acceso no autorizado a las redes de sus objetivos, incluida la ingeniería social, los correos electrónicos de phishing y los kits de explotación. Empresas de todos los tamaños son vulnerables a las devastadoras consecuencias financieras de los ataques de ransomware. Se prevé que los costos globales de los daños causados por el ransomware superarán los 265 mil millones de dólares para 2031, según Cybersecurity Ventures. Un ataque de ransomware generará gastos que incluyen no solo el pago del rescate exigido sino también los costos involucrados en responder al incidente, restaurar el sistema, obtener servicios legales y cumplir con los mandatos regulatorios. Además, existen costos intangibles, como el daño a la reputación de una marca y la pérdida de confianza de los clientes, todo lo cual puede tener impactos a largo plazo en los resultados de una organización. Un plan para sobrevivir a un ataque de ransomware Es esencial contar con una estrategia de defensa integral para sobrevivir y mitigar el daño de un ataque de ransomware. Los siguientes son los cinco pilares de un plan de defensa sólido: 1. Implementar medidas sólidas de ciberseguridad Uno de los pilares clave de la preparación contra los ataques de ransomware es implementar medidas sólidas de ciberseguridad. Esto implica un enfoque de múltiples niveles que abarca controles tanto preventivos como de detección. Las medidas eficaces de ciberseguridad constituyen la base de una defensa sólida contra los ataques de ransomware. Considere los siguientes pasos clave: Mantenga actualizado todo el software y los sistemas operativos. Utilice software antivirus y antimalware robusto. Implemente firewalls avanzados y sistemas de detección de intrusiones. Haga una copia de seguridad de sus datos periódicamente y garantice el almacenamiento fuera de línea. 2. Invierta en concienciación y formación de los empleados Como hemos mencionado una y otra vez, el error humano es un punto de entrada común para los ataques de ransomware. Representa un eslabón débil cuando se trata de ciberseguridad. Por eso es esencial invertir en programas integrales de capacitación en concientización sobre la seguridad para construir una cultura de seguridad sólida y crear un enfoque proactivo hacia la ciberseguridad dentro de su organización. Las mejores prácticas básicas de ciberseguridad incluyen: Reconocer correos electrónicos de phishing y enlaces sospechosos. Practique hábitos de navegación seguros. Cambie las contraseñas con regularidad y utilice contraseñas seguras y únicas. Informe cualquier actividad sospechosa o posibles violaciones de seguridad. 3. Establecer un plan de respuesta a incidentes y planes de recuperación. Un plan sólido de respuesta a incidentes describe los pasos a seguir en un ataque de rescate. Este plan debe incluir acciones claras y predefinidas para aislar, investigar y recuperarse de un ataque. Tener un plan de respuesta a incidentes bien definido es esencial para gestionar y mitigar eficazmente el impacto de un ataque de ransomware. Por lo tanto, actualice periódicamente sus planes de recuperación y respuesta a incidentes para optimizar su respuesta a los ataques de ransomware. Incluya los siguientes elementos: Funciones y responsabilidades claras para los miembros del equipo de respuesta a incidentes. Canales y protocolos de comunicación definidos. Procedimientos de copia de seguridad y recuperación probados periódicamente. Ejercicios de capacitación para simular escenarios de ataques de ransomware 4. Implementar una protección sólida para terminales Utilice soluciones avanzadas de protección de terminales que incluyan capacidades avanzadas de monitoreo y detección de amenazas. Realice auditorías de seguridad periódicas para evaluar la eficacia de sus medidas de seguridad e identificar áreas de mejora. La detección temprana de una infección de ransomware puede evitar daños mayores. Implementar medidas sólidas de monitoreo y detección, que incluyen: Sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS). Monitoreo y análisis de registros en tiempo real. Sistemas de detección basados en el comportamiento. Segmentación de la red para limitar la propagación del ransomware. 5. Colabore con expertos en ciberseguridad La ciberseguridad es un campo en constante evolución y puede resultar un desafío para las organizaciones mantenerse al día con las últimas amenazas y tendencias. Sin duda, colaborar con expertos en ciberseguridad puede proporcionar información y orientación invaluables para desarrollar e implementar una estrategia sólida de preparación contra ransomware. Su postura de seguridad y sus capacidades de respuesta pueden beneficiarse de la colaboración con expertos en ciberseguridad. Considere asociarse con empresas o consultores de ciberseguridad acreditados, como Caliber One, que se especializan en prevención de ransomware y respuesta a incidentes. Su experiencia puede ayudar a identificar vulnerabilidades en sus sistemas, brindar orientación sobre las mejores prácticas, realizar evaluaciones integrales y pruebas de penetración para descubrir vulnerabilidades con anticipación y ayudar a responder a un ataque. Cómo afrontar un ataque de ransomware Es imposible garantizar una inmunidad absoluta frente a los ataques de ransomware. En tal situación, es crucial responder con rapidez y eficacia para minimizar el impacto y ayudar en la recuperación. El Centro Australiano de Seguridad Cibernética (ACSC) presentó una guía sencilla sobre qué hacer si sufre un ataque de ransomware. Paso 1: registre los detalles importantes. Paso 2: apaga el dispositivo infectado. Paso 3: desconecte sus otros dispositivos en su red. Paso 4: cambie sus contraseñas importantes. Paso 5: recupere su información (desde una copia de seguridad segura). Paso 6: elimine el ransomware de las unidades y dispositivos afectados. Paso 7: Restaure su información (solo si está seguro de que está libre de ransomware) Paso 8: Notifique y reporte el incidente al ACSC a través de ReportCyber. Paso 9: Protéjase de futuros ataques de ransomware Cómo proteger su negocio en la era digital Un ataque de ransomware es inevitable, pero puede prevenirse si toma las precauciones necesarias y fortalece sus defensas. El rastro que deja puede ser catastrófico y podría significar un desastre para todo su arduo trabajo. Esto es lo que debe hacer después de un ataque de ransomware: Mantenga la calma mientras evalúa el alcance del ataque. No pagues el rescate. Informe el incidente a los organismos encargados de hacer cumplir la ley y a las autoridades pertinentes. Aprenda del ataque y refuerce las medidas de seguridad. Colaborar con los equipos de respuesta de expertos en ciberseguridad para ayudar con el análisis de contención y erradicación del ransomware. Después de sobrevivir a un ataque de ransomware, es fundamental aprender de la experiencia y reforzar las medidas de seguridad. Además, realice un análisis exhaustivo posterior al ataque, identifique vulnerabilidades e implemente controles de seguridad adicionales para evitar incidentes futuros. Conclusión: construir una base sólida para la supervivencia de los ataques de ransomware Los ataques de ransomware siguen representando una amenaza importante para organizaciones de todos los tamaños en todo el mundo. Si sigue un plan integral para sobrevivir a estos ataques, podrá afrontar los desafíos con confianza y desarrollar resiliencia contra cualquier forma de ataque de ransomware. Implementar medidas sólidas de ciberseguridad, tener un plan claro para afrontar un ataque de ransomware, realizar copias de seguridad de datos periódicas, educar a los empleados y colaborar con expertos en ciberseguridad son pasos clave para minimizar el riesgo y el impacto de los ataques de ransomware. Al priorizar la preparación y mantenerse alerta, puede transformar el pánico en preparación y salvaguardar los datos valiosos y la reputación de su organización de las consecuencias devastadoras de este tipo de incidentes. La prevención, la preparación y un enfoque proactivo son clave para sobrevivir y superar los ataques de ransomware. Calibre One se dedica a mantener sus datos seguros y a su equipo vigilante. Hemos hecho de la seguridad una consideración integral en todo lo que hacemos. Descubra lo que nuestro equipo puede hacer por su negocio. Explore los servicios de seguridad de Calibre One y póngase en contacto hoy. Preguntas frecuentes (FAQ) ¿Se pueden prevenir los ataques de ransomware? Si bien ninguna medida preventiva puede garantizar una protección absoluta, las prácticas sólidas de ciberseguridad, las actualizaciones periódicas de software, la educación de los empleados, los sistemas avanzados de detección de amenazas y la colaboración con profesionales de la ciberseguridad pueden reducir el riesgo de ataques de ransomware. ¿Debo pagar el rescate si mi empresa es víctima de ransomware? La decisión de pagar el rescate no debe tomarse a la ligera. Se recomienda no pagar el rescate. Pagar no garantiza la recuperación de datos, fomenta más ataques y respalda actividades delictivas. Consulte con profesionales encargados de hacer cumplir la ley y de ciberseguridad antes de tomar cualquier decisión. ¿Es posible recuperar archivos cifrados sin pagar el rescate? En algunos casos, es posible recuperar archivos cifrados sin pagar el rescate. Consulte a especialistas en ciberseguridad sobre la restauración de datos a partir de copias de seguridad, herramientas de descifrado y análisis forense. ¿Están las pequeñas empresas en riesgo de sufrir ataques de ransomware? Sí. Los atacantes de ransomware se dirigen cada vez más a las pequeñas empresas. Con frecuencia son atacados porque los ciberdelincuentes creen que tienen pocas defensas contra los ciberataques. Por supuesto, todas las empresas, especialmente las más pequeñas, deberían priorizar la ciberseguridad. ¿Cómo puedo detectar un ataque de ransomware? La detección temprana de un ataque de ransomware es crucial para contener el daño. La seguridad de los terminales puede detectar y prevenir ataques de ransomware. ¿Qué importancia tiene la formación de los empleados para prevenir ataques de ransomware? La capacitación de los empleados es vital para crear conciencia sobre los riesgos de los ataques de ransomware y enseñar las mejores prácticas de ciberseguridad, como la identificación de correos electrónicos de phishing y enlaces sospechosos. ¿Cuál es el paso más crucial para sobrevivir a un ataque de ransomware? El paso más crucial es tener copias de seguridad periódicas de los datos almacenadas de forma segura fuera de línea o en redes aisladas. Esto le permite restaurar sus sistemas sin pagar un rescate
Etiqueta: Secuestro de datos
Por qué es más importante priorizar la seguridad digital. En una era dominada por la tecnología, la importancia de proteger los activos digitales nunca ha sido más crítica. Sin embargo, a pesar de las crecientes amenazas cibernéticas, muchas personas y empresas todavía dan prioridad a la seguridad física sobre la seguridad digital, y a menudo subestiman las posibles consecuencias. En esta publicación de blog, exploraremos las razones comunes para esta priorización y arrojaremos luz sobre las repercusiones de descuidar la seguridad digital, particularmente en el contexto sudafricano. Además, presentaremos la solución integral de DaVinci Forensics, que ofrece sólidas medidas de seguridad digital respaldadas por tecnología de vanguardia. El sesgo de seguridad física:1. **Amenazas tangibles**: una de las razones por las que las personas priorizan la seguridad física es la percepción de amenazas tangibles. Los robos, los allanamientos y el vandalismo son eventos que se pueden ver y sentir, lo que los convierte en preocupaciones más identificables y aparentemente inmediatas.2. **Falta de alfabetización cibernética**: una barrera importante para priorizar la seguridad digital es la falta de conciencia y comprensión. Es posible que muchas personas y empresas no comprendan los riesgos y consecuencias potenciales asociados con las amenazas cibernéticas, lo que les lleva a restar importancia a su importancia.3. **Percepción de costos**: Existe la idea errónea de que invertir en seguridad digital es más costoso que las medidas de seguridad física. Esta creencia a menudo surge de una falta de comprensión de las posibles pérdidas financieras resultantes de los ataques cibernéticos. El dilema de la seguridad digital: si bien la seguridad física sigue siendo crucial, el ámbito digital presenta un conjunto diferente de desafíos. En Sudáfrica, casos recientes resaltan la gravedad de las amenazas cibernéticas y lo inadecuado de depender únicamente de la seguridad física. Casos del mundo real en Sudáfrica:1. **Ransomware Rampage**: En 2023, varias empresas sudafricanas fueron víctimas de un ataque de ransomware generalizado, lo que paralizó sus operaciones. Sin medidas adecuadas de ciberseguridad, estas organizaciones enfrentaron no solo pérdidas financieras sino también daños a su reputación.2. **Debacle de la filtración de datos**: una importante institución financiera de Sudáfrica experimentó una importante filtración de datos, que comprometió información confidencial de sus clientes. Las consecuencias incluyeron multas regulatorias y una pérdida de confianza entre los clientes. El enigma de los seguros: Las compañías de seguros desempeñan un papel crucial en la mitigación del impacto financiero de los incidentes cibernéticos. Sin embargo, están examinando cada vez más las medidas de ciberseguridad de los clientes. En los casos en los que las medidas de seguridad digital son insuficientes, las compañías de seguros pueden denegar las reclamaciones, dejando a las empresas cargadas con todo el peso de las pérdidas. DaVinci Forensics and Cybersecurity: A Comprehensive Digital Security Solution:Reconociendo la creciente necesidad de una seguridad digital sólida, DaVinci Forensics y Cybersecurity ofrece una solución multifacética adaptada al panorama sudafricano:1. **Seguridad de copia de seguridad**: Implementación de copias de seguridad de datos periódicas y seguras para proteger contra ataques de ransomware y pérdida de datos.2. **Monitoreo en tiempo real**: la vigilancia constante a través del monitoreo en tiempo real garantiza la detección inmediata de actividades sospechosas, lo que permite una respuesta proactiva a posibles amenazas.3. **Tecnología de IA**: Aprovechar la inteligencia artificial para la detección y el análisis de amenazas, proporcionando una defensa dinámica y adaptable contra las ciberamenazas en evolución.4. **Asequibilidad y flexibilidad**: DaVinci Forensics and Cybersecurity comprende las limitaciones financieras que enfrentan las empresas. Al ofrecer modelos de suscripción mensual y de pago por uso, hacen que la seguridad digital sólida sea accesible para organizaciones de todos los tamaños. Conclusión: A medida que navegamos en un mundo cada vez más digitalizado, no se puede subestimar la importancia de priorizar la seguridad digital. Aprendiendo de casos recientes en Sudáfrica, es evidente que las consecuencias de descuidar la ciberseguridad pueden ser graves. DaVinci Forensics and Cybersecurity se erige como un faro de defensa, que brinda soluciones integrales de seguridad digital que permiten a las empresas salvaguardar sus activos digitales de manera asequible y flexible. Ahora es el momento de fortalecer sus defensas digitales, y DaVinci Forensics and Cybersecurity es su socio de confianza en este esfuerzo crítico. El artículo anterior de: Gary WestLink: El bufete de abogados más grande de África acaba de ser castigado por no detener un hack de 5,5 millones de rands.
Source link
MSI acaba de sufrir un ataque masivo de ransomware, pero aún peor: ¡perdió una tonelada de datos críticos a manos de los piratas informáticos! ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas! Los piratas informáticos exigen 4 millones de dólares a MSI para no divulgar datos robados El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message. Si bien aparentemente MSI ha restaurado archivos cifrados por el ransomware de Money Message, la pandilla ahora tiene acceso a aproximadamente 1,5 terabytes de datos críticos de MSI. Según BleepingComputer, las conversaciones entre Money Message y un representante de MSI muestran a la pandilla exigiendo un pago de rescate de 4 millones de dólares. De lo contrario, Money Message liberará los archivos robados. Para demostrar que efectivamente robaron esos archivos MSI, Money Message publicó capturas de pantalla de lo que describen como bases de datos de planificación de recursos empresariales (ERP) de MSI y archivos que contienen código fuente de software, claves privadas y firmware BIOS. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? Si Money Message divulga datos confidenciales de MSI, puede que no sólo sea vergonzoso para la empresa taiwanesa, sino que también podría permitir que otros actores de amenazas utilicen el código fuente y las claves privadas para crear malware dirigido a sus clientes. En vista de esto, los usuarios de MSI sólo deben descargar e instalar software o firmware BIOS desde el sitio web oficial de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Programas | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas, después de que los piratas informáticos se apoderaron de sus códigos fuente, claves privadas y firmware de BIOS. ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware de BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡MSI afectada por un ataque de ransomware de 4 millones de dólares + robo de datos! ¡Los datos robados exponen a los usuarios de MSI a actualizaciones de firmware y BIOS no autorizadas! El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message, que ha amenazado con liberar los 1,5 terabytes de datos críticos que exfiltró de los servidores de MSI. Si bien MSI aparentemente ha restaurado archivos cifrados por el ransomware, la exposición de las claves privadas y los códigos fuente probablemente permitirá que Money Message u otros actores de amenazas desarrollen BIOS o actualizaciones de firmware no autorizadas. La instalación de actualizaciones de BIOS/firmware no autorizadas le dará al malware el nivel de acceso de un rootkit de nivel súper bajo, dándole control total sobre su computadora, con la capacidad de espiar casi todo lo que hace. Este tipo de malware también será extremadamente difícil de detectar y eliminar. Después de todo, ¡se inicia antes que el sistema operativo! Hoy en día, las actualizaciones de BIOS o firmware no autorizadas son un problema mucho menor porque generalmente están firmadas digitalmente por el proveedor, MSI en este caso. Incluso si los actores de amenazas distribuyen descargas troyanizadas para usuarios de MSI, no pueden crear las firmas digitales adecuadas para esos archivos. Sin embargo, ahora que las claves privadas de MSI han sido robadas, se pueden usar para crear actualizaciones de firmware o BIOS no autorizadas con firmas digitales auténticas. Los usuarios de MSI que descarguen e instalen esas actualizaciones nunca notarán la diferencia. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? El mayor riesgo en este momento lo enfrentan los entusiastas del hardware de PC que disfrutan instalando actualizaciones de firmware no oficiales para obtener acceso a configuraciones especiales. Precisamente por eso MSI insta a sus usuarios a descargar archivos únicamente desde su sitio web oficial. Por supuesto, esto supone que los servidores de descarga MSI son seguros y no han sido comprometidos. Si los actores de amenazas tienen acceso a los servidores de descarga de MSI, pueden insertar descargas troyanizadas con las firmas adecuadas, ¡y es posible que los administradores del sistema MSI no se den cuenta! Esperemos que este incidente obligue a MSI a examinar mucho más de cerca sus medidas de ciberseguridad y realizar pruebas de penetración para garantizar que sus servidores de descarga sean seguros. De lo contrario, es probable que algunos actores de amenazas se queden con los usuarios de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Computadora | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
Como director senior y jefe global de la oficina del director de seguridad de la información (CISO) de Google Cloud, Nick Godfrey supervisa la educación de los empleados sobre ciberseguridad, así como el manejo de la detección y mitigación de amenazas. Realizamos una entrevista con Godfrey a través de una videollamada sobre cómo los CISO y otros líderes empresariales centrados en la tecnología pueden asignar sus recursos finitos, conseguir la aceptación de la seguridad por parte de otras partes interesadas y los nuevos desafíos y oportunidades que introduce la IA generativa. Dado que Godfrey reside en el Reino Unido, también le preguntamos su perspectiva sobre consideraciones específicas del Reino Unido. Cómo pueden los CISO asignar recursos de acuerdo con las amenazas de ciberseguridad más probables Megan Crouse: ¿Cómo pueden los CISO evaluar las amenazas de ciberseguridad más probables que su organización pueda enfrentar, además de considerar el presupuesto y los recursos? Nick Godfrey: Una de las cosas más importantes en las que pensar al determinar cómo asignar mejor los recursos finitos que tiene cualquier CISO o cualquier organización es el equilibrio entre comprar productos y servicios de seguridad exclusivos versus pensar en el tipo de tecnología subyacente. riesgos que tiene la organización. En particular, en el caso de una organización que tiene tecnología heredada, la capacidad de hacer que la tecnología heredada sea defendible incluso con productos de seguridad encima se está volviendo cada vez más difícil. Entonces, el desafío y la compensación son: ¿compramos más productos de seguridad? ¿Invertimos en más gente de seguridad? ¿Compramos más servicios de seguridad? Versus: ¿Invertimos en infraestructura moderna, que es intrínsecamente más defendible? La respuesta y la recuperación son claves para responder a las ciberamenazas Megan Crouse: En términos de priorizar el gasto con un presupuesto de TI, a menudo se habla del ransomware y el robo de datos. ¿Diría que es bueno centrarse en ellos, o los CISO deberían centrarse en otra parte, o depende en gran medida de lo que ha visto en su propia organización? Nick Godfrey: El robo de datos y los ataques de ransomware son muy comunes; por lo tanto, como CISO, equipo de seguridad y CPO, debe concentrarse en ese tipo de cosas. El ransomware en particular es un riesgo interesante de intentar gestionar y, de hecho, puede ser muy útil en términos de enmarcar la forma de pensar sobre el programa de seguridad de un extremo a otro. Requiere que piense en un enfoque integral de los aspectos de respuesta y recuperación del programa de seguridad y, en particular, su capacidad para reconstruir la infraestructura crítica para restaurar datos y, en última instancia, restaurar servicios. Centrarse en esas cosas no sólo mejorará su capacidad para responder a esas cosas específicamente, sino que también mejorará su capacidad para administrar su TI y su infraestructura porque se mudará a un lugar donde, en lugar de no comprender su TI y cómo está vas a reconstruirlo, tienes la capacidad de reconstruirlo. Si tiene la capacidad de reconstruir su TI y restaurar sus datos de forma regular, eso en realidad crea una situación en la que le resultará mucho más fácil gestionar agresivamente las vulnerabilidades y parchear la infraestructura subyacente. ¿Por qué? Porque si lo parcheas y se rompe, no tienes que restaurarlo y hacerlo funcionar. Por lo tanto, centrarse en la naturaleza específica del ransomware y en lo que le hace pensar en realidad tiene un efecto positivo más allá de su capacidad para gestionar el ransomware. VER: Una amenaza de botnet en EE. UU. apuntó a infraestructura crítica. (TechRepublic) Los CISO necesitan la aceptación de otros tomadores de decisiones presupuestarias Megan Crouse: ¿Cómo deberían los profesionales y ejecutivos de tecnología educar a otros tomadores de decisiones presupuestarias sobre las prioridades de seguridad? Nick Godfrey: Lo primero es encontrar formas de hacerlo de manera integral. Si hay una conversación desconectada sobre un presupuesto de seguridad versus un presupuesto de tecnología, entonces se puede perder una enorme oportunidad de tener esa conversación conjunta. Se pueden crear condiciones en las que se hable de seguridad como un porcentaje del presupuesto de tecnología, lo cual no creo que sea necesariamente muy útil. Tener al CISO y al CPO trabajando juntos y presentando juntos a la junta directiva cómo la cartera combinada de proyectos de tecnología y seguridad está mejorando en última instancia el perfil de riesgo tecnológico, además de lograr otros objetivos comerciales y de negocios, es el enfoque correcto. No deberían pensar simplemente en el gasto en seguridad como gasto en seguridad; deberían pensar en una gran parte del gasto en tecnología como gasto en seguridad. Cuanto más podamos integrar la conversación sobre seguridad, ciberseguridad y riesgo tecnológico en las otras conversaciones que siempre tienen lugar en la junta directiva, más podremos convertirla en un riesgo y una consideración general de la misma manera que las juntas directivas piensan sobre temas financieros y financieros. riesgos operacionales. Sí, el director financiero hablará periódicamente sobre la situación financiera general de la organización y la gestión de riesgos, pero también verá al CIO en el contexto de TI y al CISO en el contexto de seguridad hablando sobre los aspectos financieros de su negocio. Cobertura de seguridad de lectura obligada Consideraciones de seguridad en torno a la IA generativa Megan Crouse: Uno de esos cambios tecnológicos globales más importantes es la IA generativa. ¿A qué consideraciones de seguridad en torno a la IA generativa deberían estar atentas las empresas hoy en día? Nick Godfrey: En un nivel alto, la forma en que pensamos sobre la intersección de la seguridad y la IA es dividirla en tres categorías. El primero es el uso de la IA para defender. ¿Cómo podemos incorporar la IA en herramientas y servicios de ciberseguridad que mejoren la fidelidad del análisis o la velocidad del análisis? El segundo grupo es el uso de la IA por parte de los atacantes para mejorar su capacidad de hacer cosas que antes necesitaban mucha participación humana o procesos manuales. El tercer grupo es: ¿Cómo piensan las organizaciones sobre el problema de proteger la IA? Cuando hablamos con nuestros clientes, el primer segmento es algo que perciben que los proveedores de productos de seguridad deberían resolver. Nosotros lo somos y otros también. El segundo segmento, en términos del uso de la IA por parte de los actores de amenazas, es algo que nuestros clientes están vigilando, pero no es exactamente un territorio nuevo. Siempre hemos tenido que evolucionar nuestros perfiles de amenazas para reaccionar ante lo que sucede en el ciberespacio. Esta es quizás una versión ligeramente diferente de ese requisito de evolución, pero sigue siendo fundamentalmente algo que hemos tenido que hacer. Debe ampliar y modificar sus capacidades de inteligencia de amenazas para comprender ese tipo de amenaza y, en particular, debe ajustar sus controles. Es el tercer segmento (cómo pensar en el uso de la IA generativa dentro de su empresa) el que está provocando muchas conversaciones en profundidad. Este grupo llega a varias áreas diferentes. Uno, de hecho, es la TI en la sombra. El uso de IA generativa de consumo es un problema de TI en la sombra, ya que crea una situación en la que la organización intenta hacer cosas con IA y utilizando tecnología de consumo. Abogamos firmemente por que los CISO no siempre deberían bloquear la IA del consumidor; Puede haber situaciones en las que sea necesario, pero es mejor intentar descubrir qué está tratando de lograr su organización e intentar habilitarlo de la manera correcta en lugar de tratar de bloquearlo todo. Pero la IA comercial entra en áreas interesantes en torno al linaje de datos y la procedencia de los datos en la organización, cómo se han utilizado para entrenar modelos y quién es responsable de la calidad de los datos, no de su seguridad… de su calidad. Las empresas también deberían plantearse preguntas sobre la gobernanza general de los proyectos de IA. ¿Qué partes de la empresa son, en última instancia, responsables de la IA? Como ejemplo, formar un equipo rojo en una plataforma de IA es bastante diferente a formar un equipo rojo en un sistema puramente técnico en el sentido de que, además de realizar el equipo rojo técnico, también es necesario pensar en el equipo rojo de las interacciones reales con el LLM (lenguaje grande). modelo) y la IA generativa y cómo romperla en ese nivel. En realidad, asegurar el uso de la IA parece ser lo que más nos desafía en la industria. Ciberamenazas y tendencias internacionales y del Reino Unido Megan Crouse: En términos del Reino Unido, ¿cuáles son las amenazas de seguridad más probables a las que se enfrentan las organizaciones del Reino Unido? ¿Y hay algún consejo particular que les daría con respecto al presupuesto y la planificación en torno a la seguridad? Nick Godfrey: Creo que probablemente sea bastante consistente con otros países similares. Obviamente, hubo cierto trasfondo político para ciertos tipos de ataques cibernéticos y ciertos actores de amenazas, pero creo que si se comparara el Reino Unido con los EE. UU. y los países de Europa occidental, creo que todos están viendo amenazas similares. Las amenazas se dirigen en parte a líneas políticas, pero también muchas de ellas son oportunistas y se basan en la infraestructura que gestiona una determinada organización o país. No creo que en muchas situaciones los actores de amenazas con motivaciones comerciales o económicas estén necesariamente demasiado preocupados por el país en particular que persiguen. Creo que están motivados principalmente por el tamaño de la recompensa potencial y la facilidad con la que podrían lograr ese resultado.
Imagen: StackCommerce TL;DR: Proteja su computadora de virus comunes y otras formas de malware, incluidos ransomware y rootkits, con ESET NOD32 Antivirus Edición 2024, a la venta por solo $24,99 hasta el 14 de enero. El cibercrimen ha sido durante mucho tiempo un problema para las empresas. Sin embargo, ahora que los piratas informáticos tienen acceso a la inteligencia artificial y la tecnología de aprendizaje automático, los analistas de seguridad esperan que la tasa de crecimiento aumente exponencialmente. ¿Están los ordenadores de su empresa adecuadamente protegidos para el nuevo año? De lo contrario, considere actualizar a ESET NOD32 Antivirus Edición 2024, que se ofrece a un precio con descuento hasta el 14 de enero. ESET NOD32 Antivirus es un software galardonado que fue diseñado desde cero para proteger a los usuarios del malware sin afectar el rendimiento. Funciona muy bien para proteger su sistema mientras juega, transmite películas o realiza presentaciones en línea. Y dado que el software se desarrolló teniendo en cuenta la funcionalidad, su PC no sufrirá ninguna ralentización por motivos de seguridad. Se trata de una protección de múltiples capas de la que nadie debería prescindir. No sólo defiende su computadora de virus sino también de ransomware, spyware, rootkits y gusanos. También tiene una ingeniosa función antiphishing que evita que los sitios web fraudulentos accedan ilegalmente a su información personal, una característica importante para cualquiera que no quiera que le roben su identidad. ESET NOD32 Antivirus se puede instalar en cualquier PC con Windows o Mac compatible. Su compra le da derecho a utilizar el software durante un año, puede acceder a su cuenta a través de su computadora de escritorio o dispositivo móvil y todas las actualizaciones están incluidas sin cargo adicional. Y funciona muy bien, razón por la cual PCMag le otorgó una impresionante calificación de 4 sobre 5 estrellas en su revisión. Los riesgos acechan prácticamente en todos los rincones de la web. Son tan comunes que no tiene ningún sentido hacer funcionar un ordenador de empresa sin algún tipo de protección. Por eso, si desea preservar su seguridad sin obstaculizar el rendimiento, ESET NOD32 Antivirus Edición 2024 puede ser su mejor opción. Obtenga ESET NOD32 Antivirus Edición 2024 por solo $ 24,99 (regular: $ 39,99) hasta el 14 de enero a las 11:59 p. m., hora del Pacífico. Los precios y la disponibilidad están sujetos a cambios.
SysAid ha parcheado una vulnerabilidad de día cero que podría permitir a los atacantes filtrar datos y lanzar ransomware. El 8 de noviembre, SysAid, una empresa de software de gestión de servicios de TI con sede en Israel, informó sobre una vulnerabilidad de día cero potencialmente explotada en su software local. Se alentó a los usuarios de sus instalaciones de servidor local a ejecutar la versión 23.3.36, que contenía una solución. Microsoft Threat Intelligence analizó la amenaza y descubrió que Lace Tempest la había explotado. La vulnerabilidad fue explotada por el grupo de amenazas Lace Tempest, que distribuye el malware Clop, dijo Microsoft Threat Intelligence el 8 de noviembre en X (anteriormente Twitter). Los expertos en seguridad de Microsoft escribieron, en parte, «…Lace Tempest probablemente utilizará su acceso para filtrar datos e implementar el ransomware Clop». El objetivo final de ataques como este suele ser el movimiento lateral a través de un sistema, el robo de datos y el ransomware. Saltar a: Profero diagnosticó y SysAid parchó el ransomware Después de descubrir la vulnerabilidad potencial el 2 de noviembre, SysAid llamó a la empresa de respuesta rápida a incidentes Profero, con sede en Israel, que descubrió los detalles de la vulnerabilidad. Profero descubrió que el atacante utilizó una vulnerabilidad de recorrido de ruta para cargar un archivo WAR que contenía un WebShell y otras cargas útiles en la raíz web del servicio web SysAid Tomcat. A partir de ahí, Lace Tempest entregó un cargador de malware para el malware Gracewire. MITRE registró esta vulnerabilidad como CVE-2023-47246. Más cobertura de seguridad en la nube Cómo protegerse contra esta vulnerabilidad Clop SysAid proporcionó una lista de indicadores de compromiso y pasos a seguir en su publicación de blog sobre esta vulnerabilidad. Para proteger su organización contra este malware, SysAid enfatizó la importancia de descargar el parche. Las organizaciones deben revisar qué información puede haberse almacenado dentro de su servidor SysAid que podría resultar atractiva para los atacantes y verificar sus registros de actividad para detectar comportamientos no autorizados. Otras acciones recomendadas incluyen actualizar los sistemas SysAid y realizar una evaluación exhaustiva del compromiso de su servidor SysAid. El malware Clop se ha utilizado en rescates de alto perfil. El ransomware Clop entregado por atacantes al software local SysAid a través de la vulnerabilidad de recorrido de ruta apareció por primera vez en 2019. El malware Clop está asociado con un grupo de actores de amenazas alineado con Rusia conocido con el mismo nombre. que, según Microsoft, se «superpone» con Lace Tempest. En junio de 2023, Microsoft descubrió que Lace Tempest ejecutaba el sitio de extorsión que utiliza el malware Clop. VER: ¿Cómo será la ciberseguridad el próximo año? Las tendencias de ciberseguridad de Google Cloud a tener en cuenta en 2024 incluyen ataques generativos basados en IA (TechRepublic). El grupo de ransomware Clop se ha atribuido la responsabilidad de varios ataques importantes en 2023. En junio, amenazaron con exponer datos de British Airways, BBC y el minorista británico Boots. También supuestamente estuvieron detrás del ataque de ransomware MOVEit Transfer en junio.
Un peatón pasa por una sucursal del Banco Industrial y Comercial de China (ICBC) en Fuzhou, provincia china de Fujian.VCG | Getty Images La división estadounidense de servicios financieros del banco chino ICBC sufrió un ciberataque que supuestamente interrumpió la negociación de bonos del Tesoro. El Banco Industrial y Comercial de China, el mayor prestamista del mundo por activos, dijo el jueves que su brazo de servicios financieros, llamado ICBC Financial Services, experimentó un ataque de ransomware «que resultó en la interrupción de ciertos» sistemas. Inmediatamente después de descubrir el ataque, ICBC «aisló los sistemas afectados para contener el incidente», dijo el banco. El ransomware es un tipo de ataque cibernético. Implica que los piratas informáticos tomen el control de los sistemas o la información y solo los dejen ir una vez que la víctima haya pagado un rescate. Es un tipo de ataque que ha experimentado una explosión de popularidad entre los malos actores en los últimos años. ICBC no reveló quién estaba detrás del ataque, pero dijo que ha estado «llevando a cabo una investigación exhaustiva y está avanzando en sus esfuerzos de recuperación con el apoyo de sus profesionales». equipo de expertos en seguridad de la información». El banco chino también dijo que está trabajando con las autoridades. ICBC dijo que «autorizó con éxito» las operaciones del Tesoro estadounidense ejecutadas el miércoles y las operaciones de financiación de repos realizadas el jueves. Un repo es un acuerdo de recompra, un tipo de préstamo a corto plazo para los comerciantes de bonos gubernamentales. Sin embargo, varios medios de comunicación informaron que hubo interrupciones en las operaciones del Tesoro de Estados Unidos. El Financial Times, citando a comerciantes y bancos, dijo el viernes que el ataque de ransomware impidió a la división ICBC liquidar transacciones del Tesoro en nombre de otros participantes del mercado. El Departamento del Tesoro de Estados Unidos dijo a CNBC: «Somos conscientes del problema de la ciberseguridad y estamos en contacto regular «Con participantes clave del sector financiero, además de los reguladores federales. Seguimos monitoreando la situación». ICBC dijo que los sistemas comerciales y de correo electrónico de su brazo de servicios financieros de EE. UU. operan independientemente de las operaciones de ICBC en China. Los sistemas de su oficina central, la sucursal de ICBC en Nueva York y otras instituciones afiliadas nacionales y extranjeras no se vieron afectados por el ciberataque, dijo ICBC.¿Qué dijo el gobierno chino?Wang Wenbin, portavoz del Ministerio de Asuntos Exteriores de China, dijo el viernes que ICBC se está esforzando por minimizar el impacto y las pérdidas después del ataque, según un informe de Reuters. En una conferencia de prensa habitual, Wang dijo que ICBC ha prestado mucha atención al asunto y ha manejado bien la respuesta de emergencia y la supervisión, según Reuters. .¿Qué sabemos sobre el ataque de ransomware? Nadie se ha atribuido la responsabilidad del ataque todavía y el ICBC no ha dicho quién podría estar detrás del ataque. En el mundo de la ciberseguridad, descubrir quién está detrás de un ciberataque suele ser muy difícil debido a las técnicas Los piratas informáticos utilizan para enmascarar sus ubicaciones e identidades. Pero hay pistas sobre qué tipo de software se utilizó para llevar a cabo el ataque. Marcus Murray, fundador de la firma sueca de ciberseguridad Truesec, dijo que el ransomware utilizado se llama LockBit 3.0. Murray dijo que esta información proviene de fuentes relacionadas con Truesec, pero no pudo revelar quiénes son esas fuentes por razones de confidencialidad. El Financial Times informó, citando dos fuentes, que LockBit 3.0 también era el software detrás del ataque. CNBC no pudo verificar la información de forma independiente. Este tipo de ransomware puede llegar a una organización de muchas maneras. Por ejemplo, cuando alguien hace clic en un enlace malicioso de un correo electrónico. Una vez dentro, su objetivo es extraer información confidencial sobre una empresa. El equipo de ciberseguridad de VMWare dijo en un blog el año pasado que LockBit 3.0 es un «desafío para los investigadores de seguridad porque cada instancia del malware requiere una contraseña única para ejecutarse sin la cual el análisis es extremadamente difícil o imposible.» Los investigadores agregaron que el ransomware está «fuertemente protegido» contra el análisis. La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de EE. UU. califica a LockBit 3.0 como «más modular y evasivo», lo que lo hace más difícil de detectar. LockBit es la cepa más popular de ransomware y representa alrededor de El 28% de todos los ataques de ransomware conocidos entre julio de 2022 y junio de 2023, según datos de la empresa de ciberseguridad Flashpoint. ¿Qué es LockBit? LockBit es el grupo detrás del software. Su modelo de negocio se conoce como «ransomware como servicio». De hecho, vende su software malicioso a otros piratas informáticos, conocidos como afiliados, quienes luego llevan a cabo los ataques cibernéticos. El líder del grupo se conoce en línea con el nombre de «LockBitSup» en los foros de piratería de la web oscura. «El grupo publica principalmente en ruso e inglés, pero según su sitio web, el grupo afirma estar ubicado en los Países Bajos y no tener motivaciones políticas», dijo Flashpoint en una publicación de blog. Se sabe que el malware del grupo apunta a pequeñas y medianas empresas. LockBit ha se atribuyó la responsabilidad de los ataques de ransomware a Boeing y al Reino Unido. Royal Mail. En junio, el Departamento de Justicia de EE. UU. acusó a un ciudadano ruso por su participación en «implementar numerosos ransomware LockBit y otros ataques cibernéticos» contra computadoras en EE. UU., Asia, Europa y África. «Los actores de LockBit han ejecutado más de 1.400 ataques contra víctimas en los Estados Unidos y en todo el mundo, emitiendo más de 100 millones de dólares en demandas de rescate y recibiendo al menos decenas de millones de dólares en pagos de rescate reales realizados en forma de bitcoin», dijo el Departamento de Justicia en un comunicado de prensa en junio. — Steve Kopack de CNBC contribuyó a este artículo.
Source link