¿Conoce a Dmitri Yuryevich Khoroshev? Si lo hace, existe la posibilidad de que esté en camino de recibir una recompensa de hasta 10 millones de dólares. Lea más en mi artículo en el blog Exponential-e.
Etiqueta: Secuestro de datos Página 1 de 2
La cantidad de dispositivos infectados con malware de robo de datos en 2023 fue de 9,8 millones, siete veces más que la misma cifra de 2020, según una nueva investigación de Kaspersky Digital Footprint Intelligence. Sin embargo, los investigadores creen que la cifra real podría llegar a 16 millones, ya que es posible que las credenciales de los dispositivos infectados en 2023 no se filtren a la web oscura hasta finales de este año (Figura A). Figura A: Número de infecciones de malware de robo de datos de 2020 a 2023. Imagen: Kaspersky Digital Footprint Intelligence Los ciberdelincuentes robaron un promedio de 50,9 credenciales por dispositivo comprometido y se filtró información de usuarios en 443.000 sitios web en los últimos cinco años. Los datos se obtuvieron de archivos de registro que registran las actividades de los «ladrones de información». Los infostealers son un tipo de malware que extrae datos de forma encubierta de dispositivos infectados sin cifrarlos. Estos archivos de registro se “negocian activamente en mercados clandestinos” y Kaspersky los supervisa como parte de su servicio de protección de riesgos digitales. Sergey Shcherbel, experto de Kaspersky Digital Footprint Intelligence, dijo en un comunicado de prensa: «Las credenciales filtradas conllevan una gran amenaza, ya que permiten a los ciberdelincuentes ejecutar diversos ataques, como acceso no autorizado para robo, ingeniería social o suplantación de identidad». ¿Por qué está aumentando el número de casos de malware que roba datos? Los ladrones de información son más accesibles Según un informe de IBM, hubo un aumento del 266% en el malware de robo de información en 2023 con respecto al año anterior. También parece ser eficaz, ya que la incidencia de delincuentes que obtuvieron acceso utilizando credenciales de inicio de sesión válidas aumentó en un 71%. Se considera ampliamente que la popularidad de los ladrones de información está relacionada con el valor cada vez mayor de los datos corporativos y la creciente accesibilidad del malware. En una investigación independiente, Kaspersky Digital Footprint Intelligence descubrió que el 24% del malware vendido como servicio entre 2015 y 2022 eran ladrones de información, que permiten a los ciberdelincuentes aficionados utilizar ladrones de información desarrollados por otro grupo y distribuidos a través de la web oscura. Luke Stevenson, gerente de productos de seguridad cibernética del proveedor de servicios administrados Redcentric, dijo a TechRepublic en un correo electrónico: “El malware ladrón reduce significativamente la barrera de entrada para los posibles ciberdelincuentes, lo que facilita las violaciones de datos. Los datos extraídos tienen un valor inmediato independientemente de los recursos financieros de la víctima directa y pueden venderse rápidamente en una variedad de foros criminales ilícitos. “El malware es relativamente fácil de compilar e implementar con códigos fuente accesibles para quienes comienzan. A diferencia del ransomware, que tiene su propio ecosistema empresarial, los que operan ladrones de información generalmente tienen costos generales mucho más bajos”. Aamil Karimi, líder de inteligencia de amenazas de la firma de ciberseguridad Optiv, dijo a TechRepublic en un correo electrónico: “Hubo un aumento notable en el nuevo malware ladrón introducido en el ecosistema cibercriminal a partir de 2019, incluidas cepas muy populares como RedLine, Lumma y Raccoon. Algunas de estas variantes de malware ladrón se han utilizado en operaciones de ransomware que han mostrado una mayor actividad en los últimos años. Estas variantes son muy económicas y han demostrado funcionar, por lo que existe un incentivo para que más delincuentes potenciales se unan a estas operaciones de malware como servicio y programas de afiliados”. Además, la proliferación de “sitios dedicados a la filtración”, donde se publican credenciales robadas, proporciona más objetivos para los ladrones de información. Cuantos más sitios de esta naturaleza estén activos (y el número creció un 83%, según el informe Hi-Tech Crime Trends 2022/2023 de Group-IB), mayor será el riesgo de que las empresas vean comprometidos sus dispositivos. Una investigación del Group-IB reveló que la cantidad de empresas a las que se cargaron sus datos en sitios de filtración en 2023 aumentó un 74% con respecto al año anterior. Las cadenas de suministro se están volviendo más complejas y vulnerables. Otra razón por la que están aumentando los casos de malware de robo de datos se debe a la cadena de suministro. Los proveedores externos a menudo tienen acceso a datos internos o utilizan sistemas vinculados y pueden proporcionar un punto de entrada más fácil que conduzca a datos confidenciales que pertenecen a la organización objetivo. El Dr. Stuart Madnick, profesor de TI e investigador de ciberseguridad en el Instituto de Tecnología de Massachusetts, escribió en Harvard Business Review: “La mayoría de las empresas han aumentado la protección cibernética de sus ‘puertas de entrada’ a través de medidas como firewalls, contraseñas más seguras, múltiples identificación de factores, etc. Por eso, los atacantes buscan otras formas (y a veces más peligrosas) de conseguirlo. A menudo, eso significa ingresar a través de los sistemas de los proveedores. “La mayoría de las empresas dependen de proveedores para que les ayuden, desde el mantenimiento del aire acondicionado hasta el suministro de software, incluidas las actualizaciones automáticas de ese software. Para brindar esos servicios, estos proveedores necesitan un fácil acceso a los sistemas de su empresa; me refiero a ellos como las «puertas laterales». Sin embargo, estos proveedores suelen ser pequeñas empresas con recursos limitados de ciberseguridad. “Los atacantes aprovechan las vulnerabilidades de los sistemas de estos proveedores. Una vez que tengan cierto control sobre los sistemas de estos proveedores, pueden utilizar la puerta lateral para acceder a los sistemas de sus clientes”. Una investigación del Banco de Pagos Internacionales sugiere que las cadenas de suministro globales se están volviendo más largas y complejas, lo que aumenta el número de posibles puntos de entrada para los atacantes. Un informe del Identity Theft Resource Center encontró que la cantidad de organizaciones afectadas por ataques a la cadena de suministro aumentó en más de 2600 puntos porcentuales entre 2018 y 2023. Los tipos de malware están aumentando en número. La cantidad de malware disponible para los ciberdelincuentes está aumentando exponencialmente, según McKade Ivancic, analista senior de malware de Optiv, facilitando más ataques de robo de datos. Le dijo a TechRepublic en un correo electrónico: «Cuanto más se cree el malware de la familia de ladrones, más bases de códigos de esas familias serán robadas y reescritas en ladrones de datos similares, aunque ligeramente diferentes». Añadió: “Los equipos de seguridad, los productos, las firmas y similares no pueden crecer exponencialmente como lo hace el malware. Hasta que se encuentre una solución más permanente, los ‘buenos’ serán naturalmente superados debido a los números, el crecimiento compuesto, la facilidad de acceso, la falta de aplicación de la ley y la expansión de la superficie de ataque a través de crecientes inversiones en tecnología y software”. Los modelos WFH y BYOD son más comunes. Karimi dijo a TechRepublic: «El aumento de los modelos de trabajo desde casa y de traer su propio dispositivo desde 2020 probablemente también contribuyó a un mayor riesgo para las empresas cuyos dispositivos de los empleados no estaban administrados de manera centralizada o responsable». .” Los dispositivos personales tienden a carecer de las mismas medidas de seguridad que los dispositivos proporcionados por la empresa, lo que crea una mayor superficie de ataque para los delincuentes que buscan implementar malware para robar datos. El Informe de defensa digital 2023 de Microsoft indicó que hasta el 90% de los ataques de ransomware en 2023 se originaron en dispositivos no administrados o propios. Cobertura de seguridad de lectura obligada ¿A qué tipo de credenciales se dirigen los ciberdelincuentes? Las credenciales que suelen atacar los atacantes que utilizan malware de robo de datos son aquellas que podrían conducir a datos valiosos, dinero o acceso privilegiado. Según la investigación de Kaspersky, dichos detalles pueden incluir inicios de sesión corporativos para correos electrónicos o sistemas internos, así como redes sociales, banca en línea o billeteras de criptomonedas. VER: Predicciones de amenazas persistentes avanzadas de Kaspersky para 2024 Otro estudio de la empresa encontró que más de la mitad (53%) de los dispositivos infectados con malware de robo de datos en 2023 eran corporativos. Esta conclusión se extrajo del hecho de que la mayoría de los dispositivos infectados con software Windows 10 ejecutan específicamente Windows 10 Enterprise (Figura B). Figura B: Porcentajes de dispositivos infectados con malware de robo de datos que ejecutan diferentes versiones de Windows 10 de 2020 a 2023. Imagen: Kaspersky Digital Footprint Intelligence ¿Cuántos datos se pueden extraer con malware de robo de datos? Cada archivo de registro analizado por Kaspersky Digital Footprint Intelligence en este estudio contenía credenciales de cuenta para un promedio de 1,85 aplicaciones web corporativas, incluidos correos electrónicos, portales internos y sistemas de procesamiento de datos de clientes. Esto significa que los delincuentes suelen poder acceder a varias cuentas, tanto comerciales como personales, después de infectar un solo dispositivo. Los datos del archivo de registro también revelaron que una quinta parte de los empleados volvería a abrir el malware en su dispositivo más de una vez, dando a los ciberdelincuentes acceso a sus datos en múltiples ocasiones sin necesidad de reinfección. Shcherbel dijo en el comunicado de prensa: «Esto puede indicar varios problemas subyacentes, incluida una conciencia insuficiente de los empleados, medidas de respuesta y detección de incidentes ineficaces, la creencia de que cambiar la contraseña es suficiente si la cuenta ha sido comprometida y una renuencia a investigar el incidente». ¿Qué hacen los ciberdelincuentes con los datos robados? Según Kaspersky Digital Footprint Intelligence, los actores de amenazas utilizarán las credenciales robadas de dispositivos infectados con malware para diversos fines. Estos incluyen: perpetrar ciberataques a otras partes. Venderlos a otras personas en la web oscura o en los canales ocultos de Telegram. Filtrarlos de forma gratuita para sabotear una organización o mejorar su propia reputación. Shcherbel dijo en el comunicado de prensa: “El valor de los archivos de registro con credenciales de inicio de sesión en la web oscura varía según el atractivo de los datos y la forma en que se venden allí. “Las credenciales pueden venderse a través de un servicio de suscripción con cargas periódicas, un llamado ‘agregador’ para solicitudes específicas, o mediante una ‘tienda’ que vende credenciales de inicio de sesión adquiridas recientemente exclusivamente a compradores seleccionados. Los precios suelen comenzar en 10 dólares por archivo de registro en estas tiendas. «Esto pone de relieve lo crucial que es tanto para los individuos como para las empresas -especialmente aquellas que manejan grandes comunidades de usuarios en línea- mantenerse alerta». ¿Cómo pueden las empresas protegerse del malware que roba datos? Para protegerse contra el malware que roba datos, los investigadores de Kaspersky Digital Footprint Intelligence recomendaron lo siguiente: Monitorear los mercados de la web oscura en busca de cuentas comprometidas asociadas con la empresa. Cambie las contraseñas de las cuentas comprometidas y vigílelas para detectar actividades sospechosas. Aconseje a los empleados potencialmente infectados que ejecuten software antivirus en todos los dispositivos y eliminen cualquier malware. Instale soluciones de seguridad en los dispositivos de la empresa que alerten a los usuarios sobre peligros como sitios sospechosos o correos electrónicos de phishing. TechRepublic consultó a otros expertos para obtener consejos adicionales. Controles de cifrado y acceso Matthew Corwin, director general de la firma de ciberseguridad Guidepost Solutions, dijo a TechRepublic en un correo electrónico: «El cifrado de datos tanto en reposo como en tránsito es fundamental para prevenir el robo de datos y los ataques de exposición, pero para que esto sea efectivo se necesita una solución integral». También se requiere una arquitectura de seguridad de defensa en profundidad alrededor de los activos cifrados”. Stevenson agregó que “proteger las cuentas mediante administradores de contraseñas y autenticación multifactor” es un paso básico importante para proteger las credenciales de las cuentas contra el uso no autorizado. VER: Los 6 mejores administradores de contraseñas de código abierto para Windows en 2024 Evaluaciones de riesgos Corwin dijo a TechRepublic: «Las evaluaciones periódicas de riesgos y seguridad pueden ayudar a identificar debilidades específicas en la postura de seguridad de una organización que podrían ser explotadas por actores de amenazas que utilizan malware de robo de datos». Educación Karimi dijo a TechRepublic: “Desarrollar un enfoque más proactivo para la gestión de riesgos requiere educación y concientización, tanto para el equipo de TI como para los administradores de seguridad, así como para los usuarios en general. “La concienciación sobre la seguridad a menudo se promociona como una recomendación predeterminada, pero la concienciación sobre los riesgos no. Es más completo que un único módulo de capacitación en concientización sobre seguridad en línea… Es importante establecer procesos para identificar y rastrear las amenazas más relevantes que son exclusivas de su entorno”. Añadió que “redactar, actualizar y hacer cumplir casos de uso empresarial y políticas de usuario para la actividad web” puede proporcionar garantía de seguridad adicional al garantizar que todo el personal maneje sus credenciales de manera segura.
Las organizaciones que han realizado copias de seguridad de sus datos confidenciales pueden creer que están relativamente a salvo de ataques de ransomware; sin embargo, según los resultados de un nuevo estudio de la empresa de seguridad informática Sophos, este no es el caso. El informe mostró que los ciberdelincuentes intentaron comprometer las copias de seguridad del 94% de las empresas afectadas por ransomware el año pasado. Los atacantes son conscientes de que quienes son víctimas del ransomware deben optar por pagar el rescate o recuperar sus sistemas ahora cifrados a partir de una copia de seguridad. Para ejercer más presión sobre los responsables de la toma de decisiones para que paguen, cada vez es más común que se centren en los datos duplicados además de en los datos de producción. De hecho, el informe mostró que la víctima tiene casi el doble de probabilidades de pagar si su copia de seguridad se ve comprometida, y la recuperación del ataque es ocho veces más costosa. La investigación de Sophos reveló el alcance de la popularidad y eficacia de los grupos de ransomware dirigidos a copias de seguridad corporativas (Figura A). Figura A Porcentaje de víctimas de ransomware que pagaron el rescate para recuperar sus datos de los ciberdelincuentes. Imagen: Sophos VER: ¿Qué es el ransomware? Lea esta hoja de trucos de TechRepublic ¿Cuánto cuesta recuperarse de un ataque de ransomware en la copia de seguridad? La investigación de Sophos encontró que la demanda media de rescate para las organizaciones cuyas copias de seguridad están comprometidas es de 2,3 millones de dólares (£1,8 millones) (Figura B). Cuando la copia de seguridad no está comprometida, la demanda media de rescate es de 1 millón de dólares (790.000 libras esterlinas), ya que el atacante tiene menos influencia. Figura B El rescate medio exigido por los ciberdelincuentes cuando tienen acceso o no a las copias de seguridad de sus víctimas. Imagen: Sophos «Las interrupciones provocadas por ransomware suelen tener un impacto considerable en las transacciones comerciales diarias, mientras que la tarea de restaurar los sistemas de TI suele ser compleja y costosa», escribió en el informe Sally Adam, directora senior de marketing de Sophos. . Las empresas sin copias de seguridad comprometidas también tienen más probabilidades de poder negociar el pago del rescate, pagando un promedio del 82% de la demanda inicial. Aquellos cuyas copias de seguridad se vean comprometidas pagarán, en promedio, el 98% de la suma exigida. El costo total de un ataque de ransomware suele ser más que solo el rescate, ya que incorpora la recuperación de cualquier sistema afectado y las pérdidas sufridas por cualquier tiempo de inactividad. Las empresas con copias de seguridad comprometidas pagaron ocho veces más por el esfuerzo total de recuperación que aquellas cuyas copias de seguridad permanecieron intactas. Además, solo el 26 % de las empresas con copias de seguridad comprometidas se recuperaron por completo en una semana, en comparación con el 46 % de las que no tenían copias de seguridad comprometidas. Los analistas de Sophos predijeron que esto se debe al trabajo adicional necesario para restaurar los sistemas a partir de datos de respaldo descifrados, y es menos probable que las organizaciones con respaldos vulnerables cuenten con un plan de recuperación sólido. ¿Qué industrias corren mayor riesgo de que sus copias de seguridad sean atacadas durante ataques de ransomware? Los gobiernos estatales y locales y los sectores de medios, ocio y entretenimiento son los que corren mayor riesgo de que sus copias de seguridad se vean comprometidas durante un ataque de ransomware; El estudio encontró que el 99% de las organizaciones de estas industrias que fueron afectadas por ransomware en los últimos 12 meses tuvieron sus copias de seguridad atacadas por ciberdelincuentes (Figura C). Figura C El porcentaje de ataques de ransomware en los que los adversarios intentaron comprometer las copias de seguridad en diferentes industrias. Imagen: Sophos A pesar de que el sector de distribución y transporte experimentó la tasa más baja de intentos de copia de seguridad comprometida durante un ataque de ransomware, el 82% de las organizaciones aún se vieron afectadas. Un informe de septiembre de 2023 del Centro Nacional de Seguridad Cibernética y la Agencia Nacional contra el Crimen del Reino Unido destacó que el sector logístico es un objetivo particular del ransomware porque depende en gran medida de los datos. ¿Cuáles son las tasas de éxito de los intentos de comprometer la copia de seguridad? La tasa de éxito promedio de los intentos de comprometer la copia de seguridad fue del 57 %, aunque esto varió significativamente según el sector (Figura D). El sector de energía, petróleo/gas y servicios públicos y el sector educativo fueron los objetivos más fáciles, con tasas de éxito del 79% y 71%, respectivamente. Figura D La tasa de éxito del compromiso de copia de seguridad intentado en diferentes industrias. Fuente: Sophos Los analistas de Sophos sospecharon que el primero podría haber experimentado una mayor proporción de ciberataques sofisticados, dado que comprometer la infraestructura nacional crítica puede provocar una interrupción generalizada, lo que lo convierte en un objetivo principal para el ransomware. El NCSC declaró que es “muy probable” que la amenaza cibernética al CNI del Reino Unido aumente en 2023, en parte debido a su dependencia de tecnología heredada. Las instalaciones educativas tienden a albergar una gran cantidad de datos confidenciales sobre el personal y los estudiantes, que pueden ser valiosos para los atacantes, aunque tienen un presupuesto limitado para medidas preventivas de ciberseguridad. Sus redes suelen ser accesibles para una gran cantidad de personas y dispositivos, y esta apertura hace que sea más difícil protegerlas. Según el gobierno del Reino Unido, el 85% de las universidades del país identificaron violaciones o ataques de seguridad en 2023. La tasa más baja de compromiso exitoso de las copias de seguridad la reportó el sector de TI, tecnología y telecomunicaciones, con una tasa de éxito del 30%. Sophos afirmó que esto probablemente se deba a una protección de respaldo más sólida gracias a su experiencia y recursos. Además, el informe de Sophos encontró que las organizaciones cuyas copias de seguridad se vieron comprometidas durante el ataque de ransomware tenían un 63% más de probabilidades de que los ciberdelincuentes cifraran sus datos (Figura E). Los analistas de Sophos especularon que tener copias de seguridad vulnerables es indicativo de una postura de seguridad general más débil, por lo que las organizaciones que las tienen comprometidas tienen más probabilidades de ser víctimas en otras etapas del ataque de ransomware. Figura E La tasa de ciberataques cifraron los datos de sus víctimas durante un ataque de ransomware. Si los atacantes pueden acceder a la copia de seguridad, es más probable que también apliquen cifrado. Imagen: Sophos La creciente amenaza del ransomware El ransomware es una amenaza creciente en todo el mundo: el número de empresas atacadas aumentó un 27 % el año pasado y los pagos superaron los mil millones de dólares (790 millones de libras esterlinas). En enero de 2024, el Centro Nacional de Seguridad Cibernética del Reino Unido advirtió que se esperaba que esta amenaza aumentara aún más debido a la nueva disponibilidad de tecnologías de inteligencia artificial, lo que reduciría la barrera de entrada. El ransomware como servicio también se está generalizando, ya que permite a los ciberdelincuentes aficionados utilizar malware desarrollado por otro grupo. Los efectos de los ataques de ransomware pueden ir más allá de lo financiero y afectar la salud física y mental del personal. Cobertura de seguridad de lectura obligada Cómo las empresas pueden defender sus copias de seguridad contra ataques de ransomware La realidad es que la mayoría de las empresas del Reino Unido son vulnerables a los ciberataques. Sin embargo, existen medidas que se pueden tomar para proteger los datos de producción y de respaldo del ransomware, especialmente porque este último generalmente no se beneficia del mismo nivel de protección que el primero. Estrategia 3-2-1 y copias de seguridad fuera de línea «La estrategia 3-2-1 implica mantener tres copias de los datos (de producción) en dos tipos de medios diferentes, con una copia almacenada fuera del sitio», explicó Shawn Loveland, director de operaciones de seguridad cibernética. empresa Resecurity, en un correo electrónico a TechRepublic. El almacenamiento externo puede realizarse a través de servicios en la nube o en una cinta o disco. También es importante considerar una copia de seguridad fuera de línea, según Sam Kirkman, director para EMEA de la firma de servicios de seguridad de TI NetSPI. Le dijo a TechRepublic en un correo electrónico: “Aunque son más difíciles de administrar e integrar dentro de las operaciones comerciales, las copias de seguridad fuera de línea son inmunes a la piratería ya que están desconectadas de los sistemas activos. Esto hace que las copias de seguridad fuera de línea, cuando se implementan correctamente, sean la defensa más sólida contra los ataques de ransomware. “El NCSC recomienda prácticas específicas para realizar copias de seguridad fuera de línea efectivas, como limitar las conexiones a sistemas activos solo a períodos esenciales y garantizar que no todas las copias de seguridad estén en línea simultáneamente. Sin embargo, también es fundamental validar cada copia de seguridad fuera de línea antes de volver a conectarla para actualizar los datos y evitar posibles daños por parte de los atacantes”. Almacenamiento inmutable e instantáneas El almacenamiento inmutable se refiere a un método de almacenamiento de datos en el que, una vez que se escriben los datos, no se pueden modificar ni eliminar, lo que los protege contra manipulaciones o ransomware. «Lo ideal es que cada copia de seguridad sea inmutable para evitar modificaciones y simplemente caduque cuando ya no sea relevante», dijo Kirkman. Se pueden tomar instantáneas inmutables (una copia de solo lectura de los datos tomadas en un momento específico) desde un almacenamiento inmutable. Don Foster, director de atención al cliente del proveedor de plataformas de gestión de datos en la nube Panzura, dijo a TechRepublic en un correo electrónico: «Con la capacidad de restaurar un conjunto de datos impecable en caso de un ataque de ransomware, puede realizar una recuperación completa en un punto específico en tiempo sin perder datos. “Volver a una instantánea anterior toma una fracción del tiempo que se tarda en restaurar desde una copia de seguridad y le permite ser preciso sobre qué archivos y carpetas revertir. El tiempo promedio que tardan las organizaciones en recuperarse de un ataque de ransomware y volver a funcionar como de costumbre es de 21 días, pero a menudo puede llevar mucho más tiempo”. Pruebas periódicas de respaldo «Las pruebas periódicas (de respaldo) garantizan respaldos funcionales y completos y varios tipos de restauraciones», dijo Loveland a TechRepublic. Practicar la recuperación a partir de copias de seguridad también facilitará el proceso si alguna vez es necesario hacerlo después de un incidente de ransomware. Kirkman añadió: “Las pruebas de respaldo son esenciales para garantizar la eficacia en la restauración de los sistemas después del ataque. Probar cada copia de seguridad confirma su capacidad para facilitar la recuperación de un incidente de ransomware. “Sin embargo, es imperativo realizar estas pruebas de forma segura, garantizando que los entornos de respaldo permanezcan protegidos de ataques directos durante los intentos de recuperación. De lo contrario, sus intentos iniciales de recuperarse de un ataque pueden permitir que un atacante imposibilite una mayor recuperación”. Controles de acceso y políticas de uso de respaldo Loveland dijo a TechRepublic: «Los controles de acceso limitan el acceso a los datos de respaldo y reducen el riesgo de que el ransomware se propague a los sistemas de respaldo». Incluyen la configuración de permisos de usuario y mecanismos de autenticación para garantizar que solo las personas y los sistemas autorizados puedan acceder a los archivos de respaldo. Kirkman añadió: “La gestión de acceso privilegiado (PAM) es vital para evitar el acceso no autorizado a copias de seguridad en línea, un objetivo inicial común para los grupos de ransomware. PAM eficaz implica otorgar acceso por tiempo limitado y autorizado de forma independiente, donde las solicitudes deben ser verificadas por otra persona dentro de la organización a través de un canal de comunicación confiable. Este enfoque eleva significativamente el nivel para los atacantes que intentan violar los entornos de respaldo”. VER: Las 6 mejores herramientas de IAM de código abierto en 2024 Pero no basta con tener controles de acceso implementados, ya que las credenciales que los desbloquean aún podrían caer fácilmente en las manos equivocadas. Foster dijo: “Guarde de cerca las claves del almacenamiento backend, especialmente cuando se encuentra en la nube. Si bien los ataques a sistemas de archivos y archivos de respaldo son comunes, los ataques de ransomware pueden incluir el acceso al almacenamiento en la nube utilizando credenciales de administrador robadas”. Las políticas sólidas que rigen el uso de copias de seguridad también son esenciales para garantizar la solidez de los controles de acceso contra los atacantes de ransomware. Kirkman dijo: “No se puede lograr una buena implementación de respaldo solo con tecnología. Las prácticas que rodean el uso de copias de seguridad influyen tanto en su eficacia como en su seguridad, y se les debe prestar tanta, si no mayor, atención que a la tecnología misma”. Cifrado de respaldo y monitoreo en tiempo real El cifrado avanzado de los datos de respaldo y garantizar que el software de respaldo esté actualizado y parcheado son los pasos más fundamentales que las empresas pueden tomar para protegerlos de los atacantes. Los expertos con los que habló TechRepublic también destacaron el monitoreo de actividades sospechosas que podrían indicar un intento de compromiso. Foster dijo a TechRepublic: «Implemente un producto con detección de ransomware casi en tiempo real para minimizar el impacto de los datos y acelerar la recuperación identificando los primeros signos de actividad de archivos sospechosos, que a menudo ocurre mucho antes del ataque principal». Metodología del estudio Sophos encargó a la agencia de investigación independiente Vanson Bourne que encuestara a 2.974 profesionales de TI/seguridad cibernética cuyas organizaciones habían sido afectadas por ransomware en el último año. Los participantes fueron encuestados a principios de 2024 y sus respuestas reflejan sus experiencias de los 12 meses anteriores.
Estrategias probadas para salvaguardar sus datos y recuperarse de un ataque de ransomware. Los ataques de ransomware se han convertido en una amenaza de ciberseguridad cada vez más frecuente y preocupante en el panorama digital actual, y se dirigen a personas, empresas y organizaciones de todos los tamaños. Los impactos financieros y operativos de estos ataques pueden ser graves y provocar filtraciones de datos, pérdidas financieras y daños a la reputación. Ninguna organización está a salvo del daño potencial que pueden causar estos ciberataques maliciosos, ni siquiera las grandes corporaciones. Para mitigar los riesgos y navegar por el complejo panorama de los ataques de ransomware, es fundamental contar con una estrategia de defensa sólida: un plan de supervivencia bien definido. Tan solo el año pasado, se han producido múltiples ataques de ciberseguridad de alto perfil sólo en Australia. Según el informe anual State of Ransomware 2023 de Sophos, el porcentaje de empresas australianas que informaron haber sido víctimas de ataques de ransomware se redujo al 70% desde el 80% del año anterior. A escala mundial, las empresas informaron 493,33 millones de ataques de ransomware en 2022. En el blog de hoy, profundizaremos en el mundo de los ataques de ransomware y le brindaremos un plan no solo para sobrevivir sino también para prosperar ante un incidente de este tipo. Si sigue las estrategias y mejores prácticas descritas en este artículo, podrá pasar del pánico a la preparación, salvaguardando sus datos valiosos y minimizando el impacto de los ataques de ransomware. Ataque de ransomware: del pánico a la preparación Comprensión de los ataques de ransomware El ransomware es un tipo de malware diseñado para negar a un usuario u organización el acceso a datos o sistemas críticos hasta que se pague un rescate. En un ataque de ransomware, los piratas informáticos se infiltran en un sistema informático o en una red utilizando software malicioso y mantienen los datos como rehenes. A cambio de la clave de descifrado, los atacantes exigen el pago de un rescate. Específicamente, los correos electrónicos fraudulentos, los sitios web secuestrados y las redes abiertas son puntos de entrada potenciales para este tipo de ataques. Los ataques de ransomware pueden ser devastadores. En verdad, puede provocar importantes pérdidas financieras, daños a la reputación e interrupciones en las operaciones comerciales. Por eso, comprender cómo se producen los ataques de ransomware es crucial para desarrollar estrategias de defensa eficaces. El impacto devastador de un ataque de ransomware Los ataques de ransomware se han vuelto cada vez más sofisticados y dirigidos con el tiempo. Anteriormente, estos ataques eran frecuentemente indiscriminados y lanzaban una amplia red con la esperanza de infectar tantos sistemas como fuera posible. Los ataques de ransomware modernos, por otro lado, con frecuencia se planifican meticulosamente y están destinados precisamente a víctimas de alto valor. Los ciberdelincuentes utilizan diversas formas de obtener acceso no autorizado a las redes de sus objetivos, incluida la ingeniería social, los correos electrónicos de phishing y los kits de explotación. Empresas de todos los tamaños son vulnerables a las devastadoras consecuencias financieras de los ataques de ransomware. Se prevé que los costos globales de los daños causados por el ransomware superarán los 265 mil millones de dólares para 2031, según Cybersecurity Ventures. Un ataque de ransomware generará gastos que incluyen no solo el pago del rescate exigido sino también los costos involucrados en responder al incidente, restaurar el sistema, obtener servicios legales y cumplir con los mandatos regulatorios. Además, existen costos intangibles, como el daño a la reputación de una marca y la pérdida de confianza de los clientes, todo lo cual puede tener impactos a largo plazo en los resultados de una organización. Un plan para sobrevivir a un ataque de ransomware Es esencial contar con una estrategia de defensa integral para sobrevivir y mitigar el daño de un ataque de ransomware. Los siguientes son los cinco pilares de un plan de defensa sólido: 1. Implementar medidas sólidas de ciberseguridad Uno de los pilares clave de la preparación contra los ataques de ransomware es implementar medidas sólidas de ciberseguridad. Esto implica un enfoque de múltiples niveles que abarca controles tanto preventivos como de detección. Las medidas eficaces de ciberseguridad constituyen la base de una defensa sólida contra los ataques de ransomware. Considere los siguientes pasos clave: Mantenga actualizado todo el software y los sistemas operativos. Utilice software antivirus y antimalware robusto. Implemente firewalls avanzados y sistemas de detección de intrusiones. Haga una copia de seguridad de sus datos periódicamente y garantice el almacenamiento fuera de línea. 2. Invierta en concienciación y formación de los empleados Como hemos mencionado una y otra vez, el error humano es un punto de entrada común para los ataques de ransomware. Representa un eslabón débil cuando se trata de ciberseguridad. Por eso es esencial invertir en programas integrales de capacitación en concientización sobre la seguridad para construir una cultura de seguridad sólida y crear un enfoque proactivo hacia la ciberseguridad dentro de su organización. Las mejores prácticas básicas de ciberseguridad incluyen: Reconocer correos electrónicos de phishing y enlaces sospechosos. Practique hábitos de navegación seguros. Cambie las contraseñas con regularidad y utilice contraseñas seguras y únicas. Informe cualquier actividad sospechosa o posibles violaciones de seguridad. 3. Establecer un plan de respuesta a incidentes y planes de recuperación. Un plan sólido de respuesta a incidentes describe los pasos a seguir en un ataque de rescate. Este plan debe incluir acciones claras y predefinidas para aislar, investigar y recuperarse de un ataque. Tener un plan de respuesta a incidentes bien definido es esencial para gestionar y mitigar eficazmente el impacto de un ataque de ransomware. Por lo tanto, actualice periódicamente sus planes de recuperación y respuesta a incidentes para optimizar su respuesta a los ataques de ransomware. Incluya los siguientes elementos: Funciones y responsabilidades claras para los miembros del equipo de respuesta a incidentes. Canales y protocolos de comunicación definidos. Procedimientos de copia de seguridad y recuperación probados periódicamente. Ejercicios de capacitación para simular escenarios de ataques de ransomware 4. Implementar una protección sólida para terminales Utilice soluciones avanzadas de protección de terminales que incluyan capacidades avanzadas de monitoreo y detección de amenazas. Realice auditorías de seguridad periódicas para evaluar la eficacia de sus medidas de seguridad e identificar áreas de mejora. La detección temprana de una infección de ransomware puede evitar daños mayores. Implementar medidas sólidas de monitoreo y detección, que incluyen: Sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS). Monitoreo y análisis de registros en tiempo real. Sistemas de detección basados en el comportamiento. Segmentación de la red para limitar la propagación del ransomware. 5. Colabore con expertos en ciberseguridad La ciberseguridad es un campo en constante evolución y puede resultar un desafío para las organizaciones mantenerse al día con las últimas amenazas y tendencias. Sin duda, colaborar con expertos en ciberseguridad puede proporcionar información y orientación invaluables para desarrollar e implementar una estrategia sólida de preparación contra ransomware. Su postura de seguridad y sus capacidades de respuesta pueden beneficiarse de la colaboración con expertos en ciberseguridad. Considere asociarse con empresas o consultores de ciberseguridad acreditados, como Caliber One, que se especializan en prevención de ransomware y respuesta a incidentes. Su experiencia puede ayudar a identificar vulnerabilidades en sus sistemas, brindar orientación sobre las mejores prácticas, realizar evaluaciones integrales y pruebas de penetración para descubrir vulnerabilidades con anticipación y ayudar a responder a un ataque. Cómo afrontar un ataque de ransomware Es imposible garantizar una inmunidad absoluta frente a los ataques de ransomware. En tal situación, es crucial responder con rapidez y eficacia para minimizar el impacto y ayudar en la recuperación. El Centro Australiano de Seguridad Cibernética (ACSC) presentó una guía sencilla sobre qué hacer si sufre un ataque de ransomware. Paso 1: registre los detalles importantes. Paso 2: apaga el dispositivo infectado. Paso 3: desconecte sus otros dispositivos en su red. Paso 4: cambie sus contraseñas importantes. Paso 5: recupere su información (desde una copia de seguridad segura). Paso 6: elimine el ransomware de las unidades y dispositivos afectados. Paso 7: Restaure su información (solo si está seguro de que está libre de ransomware) Paso 8: Notifique y reporte el incidente al ACSC a través de ReportCyber. Paso 9: Protéjase de futuros ataques de ransomware Cómo proteger su negocio en la era digital Un ataque de ransomware es inevitable, pero puede prevenirse si toma las precauciones necesarias y fortalece sus defensas. El rastro que deja puede ser catastrófico y podría significar un desastre para todo su arduo trabajo. Esto es lo que debe hacer después de un ataque de ransomware: Mantenga la calma mientras evalúa el alcance del ataque. No pagues el rescate. Informe el incidente a los organismos encargados de hacer cumplir la ley y a las autoridades pertinentes. Aprenda del ataque y refuerce las medidas de seguridad. Colaborar con los equipos de respuesta de expertos en ciberseguridad para ayudar con el análisis de contención y erradicación del ransomware. Después de sobrevivir a un ataque de ransomware, es fundamental aprender de la experiencia y reforzar las medidas de seguridad. Además, realice un análisis exhaustivo posterior al ataque, identifique vulnerabilidades e implemente controles de seguridad adicionales para evitar incidentes futuros. Conclusión: construir una base sólida para la supervivencia de los ataques de ransomware Los ataques de ransomware siguen representando una amenaza importante para organizaciones de todos los tamaños en todo el mundo. Si sigue un plan integral para sobrevivir a estos ataques, podrá afrontar los desafíos con confianza y desarrollar resiliencia contra cualquier forma de ataque de ransomware. Implementar medidas sólidas de ciberseguridad, tener un plan claro para afrontar un ataque de ransomware, realizar copias de seguridad de datos periódicas, educar a los empleados y colaborar con expertos en ciberseguridad son pasos clave para minimizar el riesgo y el impacto de los ataques de ransomware. Al priorizar la preparación y mantenerse alerta, puede transformar el pánico en preparación y salvaguardar los datos valiosos y la reputación de su organización de las consecuencias devastadoras de este tipo de incidentes. La prevención, la preparación y un enfoque proactivo son clave para sobrevivir y superar los ataques de ransomware. Calibre One se dedica a mantener sus datos seguros y a su equipo vigilante. Hemos hecho de la seguridad una consideración integral en todo lo que hacemos. Descubra lo que nuestro equipo puede hacer por su negocio. Explore los servicios de seguridad de Calibre One y póngase en contacto hoy. Preguntas frecuentes (FAQ) ¿Se pueden prevenir los ataques de ransomware? Si bien ninguna medida preventiva puede garantizar una protección absoluta, las prácticas sólidas de ciberseguridad, las actualizaciones periódicas de software, la educación de los empleados, los sistemas avanzados de detección de amenazas y la colaboración con profesionales de la ciberseguridad pueden reducir el riesgo de ataques de ransomware. ¿Debo pagar el rescate si mi empresa es víctima de ransomware? La decisión de pagar el rescate no debe tomarse a la ligera. Se recomienda no pagar el rescate. Pagar no garantiza la recuperación de datos, fomenta más ataques y respalda actividades delictivas. Consulte con profesionales encargados de hacer cumplir la ley y de ciberseguridad antes de tomar cualquier decisión. ¿Es posible recuperar archivos cifrados sin pagar el rescate? En algunos casos, es posible recuperar archivos cifrados sin pagar el rescate. Consulte a especialistas en ciberseguridad sobre la restauración de datos a partir de copias de seguridad, herramientas de descifrado y análisis forense. ¿Están las pequeñas empresas en riesgo de sufrir ataques de ransomware? Sí. Los atacantes de ransomware se dirigen cada vez más a las pequeñas empresas. Con frecuencia son atacados porque los ciberdelincuentes creen que tienen pocas defensas contra los ciberataques. Por supuesto, todas las empresas, especialmente las más pequeñas, deberían priorizar la ciberseguridad. ¿Cómo puedo detectar un ataque de ransomware? La detección temprana de un ataque de ransomware es crucial para contener el daño. La seguridad de los terminales puede detectar y prevenir ataques de ransomware. ¿Qué importancia tiene la formación de los empleados para prevenir ataques de ransomware? La capacitación de los empleados es vital para crear conciencia sobre los riesgos de los ataques de ransomware y enseñar las mejores prácticas de ciberseguridad, como la identificación de correos electrónicos de phishing y enlaces sospechosos. ¿Cuál es el paso más crucial para sobrevivir a un ataque de ransomware? El paso más crucial es tener copias de seguridad periódicas de los datos almacenadas de forma segura fuera de línea o en redes aisladas. Esto le permite restaurar sus sistemas sin pagar un rescate
Por qué es más importante priorizar la seguridad digital. En una era dominada por la tecnología, la importancia de proteger los activos digitales nunca ha sido más crítica. Sin embargo, a pesar de las crecientes amenazas cibernéticas, muchas personas y empresas todavía dan prioridad a la seguridad física sobre la seguridad digital, y a menudo subestiman las posibles consecuencias. En esta publicación de blog, exploraremos las razones comunes para esta priorización y arrojaremos luz sobre las repercusiones de descuidar la seguridad digital, particularmente en el contexto sudafricano. Además, presentaremos la solución integral de DaVinci Forensics, que ofrece sólidas medidas de seguridad digital respaldadas por tecnología de vanguardia. El sesgo de seguridad física:1. **Amenazas tangibles**: una de las razones por las que las personas priorizan la seguridad física es la percepción de amenazas tangibles. Los robos, los allanamientos y el vandalismo son eventos que se pueden ver y sentir, lo que los convierte en preocupaciones más identificables y aparentemente inmediatas.2. **Falta de alfabetización cibernética**: una barrera importante para priorizar la seguridad digital es la falta de conciencia y comprensión. Es posible que muchas personas y empresas no comprendan los riesgos y consecuencias potenciales asociados con las amenazas cibernéticas, lo que les lleva a restar importancia a su importancia.3. **Percepción de costos**: Existe la idea errónea de que invertir en seguridad digital es más costoso que las medidas de seguridad física. Esta creencia a menudo surge de una falta de comprensión de las posibles pérdidas financieras resultantes de los ataques cibernéticos. El dilema de la seguridad digital: si bien la seguridad física sigue siendo crucial, el ámbito digital presenta un conjunto diferente de desafíos. En Sudáfrica, casos recientes resaltan la gravedad de las amenazas cibernéticas y lo inadecuado de depender únicamente de la seguridad física. Casos del mundo real en Sudáfrica:1. **Ransomware Rampage**: En 2023, varias empresas sudafricanas fueron víctimas de un ataque de ransomware generalizado, lo que paralizó sus operaciones. Sin medidas adecuadas de ciberseguridad, estas organizaciones enfrentaron no solo pérdidas financieras sino también daños a su reputación.2. **Debacle de la filtración de datos**: una importante institución financiera de Sudáfrica experimentó una importante filtración de datos, que comprometió información confidencial de sus clientes. Las consecuencias incluyeron multas regulatorias y una pérdida de confianza entre los clientes. El enigma de los seguros: Las compañías de seguros desempeñan un papel crucial en la mitigación del impacto financiero de los incidentes cibernéticos. Sin embargo, están examinando cada vez más las medidas de ciberseguridad de los clientes. En los casos en los que las medidas de seguridad digital son insuficientes, las compañías de seguros pueden denegar las reclamaciones, dejando a las empresas cargadas con todo el peso de las pérdidas. DaVinci Forensics and Cybersecurity: A Comprehensive Digital Security Solution:Reconociendo la creciente necesidad de una seguridad digital sólida, DaVinci Forensics y Cybersecurity ofrece una solución multifacética adaptada al panorama sudafricano:1. **Seguridad de copia de seguridad**: Implementación de copias de seguridad de datos periódicas y seguras para proteger contra ataques de ransomware y pérdida de datos.2. **Monitoreo en tiempo real**: la vigilancia constante a través del monitoreo en tiempo real garantiza la detección inmediata de actividades sospechosas, lo que permite una respuesta proactiva a posibles amenazas.3. **Tecnología de IA**: Aprovechar la inteligencia artificial para la detección y el análisis de amenazas, proporcionando una defensa dinámica y adaptable contra las ciberamenazas en evolución.4. **Asequibilidad y flexibilidad**: DaVinci Forensics and Cybersecurity comprende las limitaciones financieras que enfrentan las empresas. Al ofrecer modelos de suscripción mensual y de pago por uso, hacen que la seguridad digital sólida sea accesible para organizaciones de todos los tamaños. Conclusión: A medida que navegamos en un mundo cada vez más digitalizado, no se puede subestimar la importancia de priorizar la seguridad digital. Aprendiendo de casos recientes en Sudáfrica, es evidente que las consecuencias de descuidar la ciberseguridad pueden ser graves. DaVinci Forensics and Cybersecurity se erige como un faro de defensa, que brinda soluciones integrales de seguridad digital que permiten a las empresas salvaguardar sus activos digitales de manera asequible y flexible. Ahora es el momento de fortalecer sus defensas digitales, y DaVinci Forensics and Cybersecurity es su socio de confianza en este esfuerzo crítico. El artículo anterior de: Gary WestLink: El bufete de abogados más grande de África acaba de ser castigado por no detener un hack de 5,5 millones de rands.
Source link
MSI acaba de sufrir un ataque masivo de ransomware, pero aún peor: ¡perdió una tonelada de datos críticos a manos de los piratas informáticos! ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas! Los piratas informáticos exigen 4 millones de dólares a MSI para no divulgar datos robados El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message. Si bien aparentemente MSI ha restaurado archivos cifrados por el ransomware de Money Message, la pandilla ahora tiene acceso a aproximadamente 1,5 terabytes de datos críticos de MSI. Según BleepingComputer, las conversaciones entre Money Message y un representante de MSI muestran a la pandilla exigiendo un pago de rescate de 4 millones de dólares. De lo contrario, Money Message liberará los archivos robados. Para demostrar que efectivamente robaron esos archivos MSI, Money Message publicó capturas de pantalla de lo que describen como bases de datos de planificación de recursos empresariales (ERP) de MSI y archivos que contienen código fuente de software, claves privadas y firmware BIOS. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? Si Money Message divulga datos confidenciales de MSI, puede que no sólo sea vergonzoso para la empresa taiwanesa, sino que también podría permitir que otros actores de amenazas utilicen el código fuente y las claves privadas para crear malware dirigido a sus clientes. En vista de esto, los usuarios de MSI sólo deben descargar e instalar software o firmware BIOS desde el sitio web oficial de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Programas | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas, después de que los piratas informáticos se apoderaron de sus códigos fuente, claves privadas y firmware de BIOS. ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware de BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡MSI afectada por un ataque de ransomware de 4 millones de dólares + robo de datos! ¡Los datos robados exponen a los usuarios de MSI a actualizaciones de firmware y BIOS no autorizadas! El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message, que ha amenazado con liberar los 1,5 terabytes de datos críticos que exfiltró de los servidores de MSI. Si bien MSI aparentemente ha restaurado archivos cifrados por el ransomware, la exposición de las claves privadas y los códigos fuente probablemente permitirá que Money Message u otros actores de amenazas desarrollen BIOS o actualizaciones de firmware no autorizadas. La instalación de actualizaciones de BIOS/firmware no autorizadas le dará al malware el nivel de acceso de un rootkit de nivel súper bajo, dándole control total sobre su computadora, con la capacidad de espiar casi todo lo que hace. Este tipo de malware también será extremadamente difícil de detectar y eliminar. Después de todo, ¡se inicia antes que el sistema operativo! Hoy en día, las actualizaciones de BIOS o firmware no autorizadas son un problema mucho menor porque generalmente están firmadas digitalmente por el proveedor, MSI en este caso. Incluso si los actores de amenazas distribuyen descargas troyanizadas para usuarios de MSI, no pueden crear las firmas digitales adecuadas para esos archivos. Sin embargo, ahora que las claves privadas de MSI han sido robadas, se pueden usar para crear actualizaciones de firmware o BIOS no autorizadas con firmas digitales auténticas. Los usuarios de MSI que descarguen e instalen esas actualizaciones nunca notarán la diferencia. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? El mayor riesgo en este momento lo enfrentan los entusiastas del hardware de PC que disfrutan instalando actualizaciones de firmware no oficiales para obtener acceso a configuraciones especiales. Precisamente por eso MSI insta a sus usuarios a descargar archivos únicamente desde su sitio web oficial. Por supuesto, esto supone que los servidores de descarga MSI son seguros y no han sido comprometidos. Si los actores de amenazas tienen acceso a los servidores de descarga de MSI, pueden insertar descargas troyanizadas con las firmas adecuadas, ¡y es posible que los administradores del sistema MSI no se den cuenta! Esperemos que este incidente obligue a MSI a examinar mucho más de cerca sus medidas de ciberseguridad y realizar pruebas de penetración para garantizar que sus servidores de descarga sean seguros. De lo contrario, es probable que algunos actores de amenazas se queden con los usuarios de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Computadora | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
Como director senior y jefe global de la oficina del director de seguridad de la información (CISO) de Google Cloud, Nick Godfrey supervisa la educación de los empleados sobre ciberseguridad, así como el manejo de la detección y mitigación de amenazas. Realizamos una entrevista con Godfrey a través de una videollamada sobre cómo los CISO y otros líderes empresariales centrados en la tecnología pueden asignar sus recursos finitos, conseguir la aceptación de la seguridad por parte de otras partes interesadas y los nuevos desafíos y oportunidades que introduce la IA generativa. Dado que Godfrey reside en el Reino Unido, también le preguntamos su perspectiva sobre consideraciones específicas del Reino Unido. Cómo pueden los CISO asignar recursos de acuerdo con las amenazas de ciberseguridad más probables Megan Crouse: ¿Cómo pueden los CISO evaluar las amenazas de ciberseguridad más probables que su organización pueda enfrentar, además de considerar el presupuesto y los recursos? Nick Godfrey: Una de las cosas más importantes en las que pensar al determinar cómo asignar mejor los recursos finitos que tiene cualquier CISO o cualquier organización es el equilibrio entre comprar productos y servicios de seguridad exclusivos versus pensar en el tipo de tecnología subyacente. riesgos que tiene la organización. En particular, en el caso de una organización que tiene tecnología heredada, la capacidad de hacer que la tecnología heredada sea defendible incluso con productos de seguridad encima se está volviendo cada vez más difícil. Entonces, el desafío y la compensación son: ¿compramos más productos de seguridad? ¿Invertimos en más gente de seguridad? ¿Compramos más servicios de seguridad? Versus: ¿Invertimos en infraestructura moderna, que es intrínsecamente más defendible? La respuesta y la recuperación son claves para responder a las ciberamenazas Megan Crouse: En términos de priorizar el gasto con un presupuesto de TI, a menudo se habla del ransomware y el robo de datos. ¿Diría que es bueno centrarse en ellos, o los CISO deberían centrarse en otra parte, o depende en gran medida de lo que ha visto en su propia organización? Nick Godfrey: El robo de datos y los ataques de ransomware son muy comunes; por lo tanto, como CISO, equipo de seguridad y CPO, debe concentrarse en ese tipo de cosas. El ransomware en particular es un riesgo interesante de intentar gestionar y, de hecho, puede ser muy útil en términos de enmarcar la forma de pensar sobre el programa de seguridad de un extremo a otro. Requiere que piense en un enfoque integral de los aspectos de respuesta y recuperación del programa de seguridad y, en particular, su capacidad para reconstruir la infraestructura crítica para restaurar datos y, en última instancia, restaurar servicios. Centrarse en esas cosas no sólo mejorará su capacidad para responder a esas cosas específicamente, sino que también mejorará su capacidad para administrar su TI y su infraestructura porque se mudará a un lugar donde, en lugar de no comprender su TI y cómo está vas a reconstruirlo, tienes la capacidad de reconstruirlo. Si tiene la capacidad de reconstruir su TI y restaurar sus datos de forma regular, eso en realidad crea una situación en la que le resultará mucho más fácil gestionar agresivamente las vulnerabilidades y parchear la infraestructura subyacente. ¿Por qué? Porque si lo parcheas y se rompe, no tienes que restaurarlo y hacerlo funcionar. Por lo tanto, centrarse en la naturaleza específica del ransomware y en lo que le hace pensar en realidad tiene un efecto positivo más allá de su capacidad para gestionar el ransomware. VER: Una amenaza de botnet en EE. UU. apuntó a infraestructura crítica. (TechRepublic) Los CISO necesitan la aceptación de otros tomadores de decisiones presupuestarias Megan Crouse: ¿Cómo deberían los profesionales y ejecutivos de tecnología educar a otros tomadores de decisiones presupuestarias sobre las prioridades de seguridad? Nick Godfrey: Lo primero es encontrar formas de hacerlo de manera integral. Si hay una conversación desconectada sobre un presupuesto de seguridad versus un presupuesto de tecnología, entonces se puede perder una enorme oportunidad de tener esa conversación conjunta. Se pueden crear condiciones en las que se hable de seguridad como un porcentaje del presupuesto de tecnología, lo cual no creo que sea necesariamente muy útil. Tener al CISO y al CPO trabajando juntos y presentando juntos a la junta directiva cómo la cartera combinada de proyectos de tecnología y seguridad está mejorando en última instancia el perfil de riesgo tecnológico, además de lograr otros objetivos comerciales y de negocios, es el enfoque correcto. No deberían pensar simplemente en el gasto en seguridad como gasto en seguridad; deberían pensar en una gran parte del gasto en tecnología como gasto en seguridad. Cuanto más podamos integrar la conversación sobre seguridad, ciberseguridad y riesgo tecnológico en las otras conversaciones que siempre tienen lugar en la junta directiva, más podremos convertirla en un riesgo y una consideración general de la misma manera que las juntas directivas piensan sobre temas financieros y financieros. riesgos operacionales. Sí, el director financiero hablará periódicamente sobre la situación financiera general de la organización y la gestión de riesgos, pero también verá al CIO en el contexto de TI y al CISO en el contexto de seguridad hablando sobre los aspectos financieros de su negocio. Cobertura de seguridad de lectura obligada Consideraciones de seguridad en torno a la IA generativa Megan Crouse: Uno de esos cambios tecnológicos globales más importantes es la IA generativa. ¿A qué consideraciones de seguridad en torno a la IA generativa deberían estar atentas las empresas hoy en día? Nick Godfrey: En un nivel alto, la forma en que pensamos sobre la intersección de la seguridad y la IA es dividirla en tres categorías. El primero es el uso de la IA para defender. ¿Cómo podemos incorporar la IA en herramientas y servicios de ciberseguridad que mejoren la fidelidad del análisis o la velocidad del análisis? El segundo grupo es el uso de la IA por parte de los atacantes para mejorar su capacidad de hacer cosas que antes necesitaban mucha participación humana o procesos manuales. El tercer grupo es: ¿Cómo piensan las organizaciones sobre el problema de proteger la IA? Cuando hablamos con nuestros clientes, el primer segmento es algo que perciben que los proveedores de productos de seguridad deberían resolver. Nosotros lo somos y otros también. El segundo segmento, en términos del uso de la IA por parte de los actores de amenazas, es algo que nuestros clientes están vigilando, pero no es exactamente un territorio nuevo. Siempre hemos tenido que evolucionar nuestros perfiles de amenazas para reaccionar ante lo que sucede en el ciberespacio. Esta es quizás una versión ligeramente diferente de ese requisito de evolución, pero sigue siendo fundamentalmente algo que hemos tenido que hacer. Debe ampliar y modificar sus capacidades de inteligencia de amenazas para comprender ese tipo de amenaza y, en particular, debe ajustar sus controles. Es el tercer segmento (cómo pensar en el uso de la IA generativa dentro de su empresa) el que está provocando muchas conversaciones en profundidad. Este grupo llega a varias áreas diferentes. Uno, de hecho, es la TI en la sombra. El uso de IA generativa de consumo es un problema de TI en la sombra, ya que crea una situación en la que la organización intenta hacer cosas con IA y utilizando tecnología de consumo. Abogamos firmemente por que los CISO no siempre deberían bloquear la IA del consumidor; Puede haber situaciones en las que sea necesario, pero es mejor intentar descubrir qué está tratando de lograr su organización e intentar habilitarlo de la manera correcta en lugar de tratar de bloquearlo todo. Pero la IA comercial entra en áreas interesantes en torno al linaje de datos y la procedencia de los datos en la organización, cómo se han utilizado para entrenar modelos y quién es responsable de la calidad de los datos, no de su seguridad… de su calidad. Las empresas también deberían plantearse preguntas sobre la gobernanza general de los proyectos de IA. ¿Qué partes de la empresa son, en última instancia, responsables de la IA? Como ejemplo, formar un equipo rojo en una plataforma de IA es bastante diferente a formar un equipo rojo en un sistema puramente técnico en el sentido de que, además de realizar el equipo rojo técnico, también es necesario pensar en el equipo rojo de las interacciones reales con el LLM (lenguaje grande). modelo) y la IA generativa y cómo romperla en ese nivel. En realidad, asegurar el uso de la IA parece ser lo que más nos desafía en la industria. Ciberamenazas y tendencias internacionales y del Reino Unido Megan Crouse: En términos del Reino Unido, ¿cuáles son las amenazas de seguridad más probables a las que se enfrentan las organizaciones del Reino Unido? ¿Y hay algún consejo particular que les daría con respecto al presupuesto y la planificación en torno a la seguridad? Nick Godfrey: Creo que probablemente sea bastante consistente con otros países similares. Obviamente, hubo cierto trasfondo político para ciertos tipos de ataques cibernéticos y ciertos actores de amenazas, pero creo que si se comparara el Reino Unido con los EE. UU. y los países de Europa occidental, creo que todos están viendo amenazas similares. Las amenazas se dirigen en parte a líneas políticas, pero también muchas de ellas son oportunistas y se basan en la infraestructura que gestiona una determinada organización o país. No creo que en muchas situaciones los actores de amenazas con motivaciones comerciales o económicas estén necesariamente demasiado preocupados por el país en particular que persiguen. Creo que están motivados principalmente por el tamaño de la recompensa potencial y la facilidad con la que podrían lograr ese resultado.
Imagen: StackCommerce TL;DR: Proteja su computadora de virus comunes y otras formas de malware, incluidos ransomware y rootkits, con ESET NOD32 Antivirus Edición 2024, a la venta por solo $24,99 hasta el 14 de enero. El cibercrimen ha sido durante mucho tiempo un problema para las empresas. Sin embargo, ahora que los piratas informáticos tienen acceso a la inteligencia artificial y la tecnología de aprendizaje automático, los analistas de seguridad esperan que la tasa de crecimiento aumente exponencialmente. ¿Están los ordenadores de su empresa adecuadamente protegidos para el nuevo año? De lo contrario, considere actualizar a ESET NOD32 Antivirus Edición 2024, que se ofrece a un precio con descuento hasta el 14 de enero. ESET NOD32 Antivirus es un software galardonado que fue diseñado desde cero para proteger a los usuarios del malware sin afectar el rendimiento. Funciona muy bien para proteger su sistema mientras juega, transmite películas o realiza presentaciones en línea. Y dado que el software se desarrolló teniendo en cuenta la funcionalidad, su PC no sufrirá ninguna ralentización por motivos de seguridad. Se trata de una protección de múltiples capas de la que nadie debería prescindir. No sólo defiende su computadora de virus sino también de ransomware, spyware, rootkits y gusanos. También tiene una ingeniosa función antiphishing que evita que los sitios web fraudulentos accedan ilegalmente a su información personal, una característica importante para cualquiera que no quiera que le roben su identidad. ESET NOD32 Antivirus se puede instalar en cualquier PC con Windows o Mac compatible. Su compra le da derecho a utilizar el software durante un año, puede acceder a su cuenta a través de su computadora de escritorio o dispositivo móvil y todas las actualizaciones están incluidas sin cargo adicional. Y funciona muy bien, razón por la cual PCMag le otorgó una impresionante calificación de 4 sobre 5 estrellas en su revisión. Los riesgos acechan prácticamente en todos los rincones de la web. Son tan comunes que no tiene ningún sentido hacer funcionar un ordenador de empresa sin algún tipo de protección. Por eso, si desea preservar su seguridad sin obstaculizar el rendimiento, ESET NOD32 Antivirus Edición 2024 puede ser su mejor opción. Obtenga ESET NOD32 Antivirus Edición 2024 por solo $ 24,99 (regular: $ 39,99) hasta el 14 de enero a las 11:59 p. m., hora del Pacífico. Los precios y la disponibilidad están sujetos a cambios.
SysAid ha parcheado una vulnerabilidad de día cero que podría permitir a los atacantes filtrar datos y lanzar ransomware. El 8 de noviembre, SysAid, una empresa de software de gestión de servicios de TI con sede en Israel, informó sobre una vulnerabilidad de día cero potencialmente explotada en su software local. Se alentó a los usuarios de sus instalaciones de servidor local a ejecutar la versión 23.3.36, que contenía una solución. Microsoft Threat Intelligence analizó la amenaza y descubrió que Lace Tempest la había explotado. La vulnerabilidad fue explotada por el grupo de amenazas Lace Tempest, que distribuye el malware Clop, dijo Microsoft Threat Intelligence el 8 de noviembre en X (anteriormente Twitter). Los expertos en seguridad de Microsoft escribieron, en parte, «…Lace Tempest probablemente utilizará su acceso para filtrar datos e implementar el ransomware Clop». El objetivo final de ataques como este suele ser el movimiento lateral a través de un sistema, el robo de datos y el ransomware. Saltar a: Profero diagnosticó y SysAid parchó el ransomware Después de descubrir la vulnerabilidad potencial el 2 de noviembre, SysAid llamó a la empresa de respuesta rápida a incidentes Profero, con sede en Israel, que descubrió los detalles de la vulnerabilidad. Profero descubrió que el atacante utilizó una vulnerabilidad de recorrido de ruta para cargar un archivo WAR que contenía un WebShell y otras cargas útiles en la raíz web del servicio web SysAid Tomcat. A partir de ahí, Lace Tempest entregó un cargador de malware para el malware Gracewire. MITRE registró esta vulnerabilidad como CVE-2023-47246. Más cobertura de seguridad en la nube Cómo protegerse contra esta vulnerabilidad Clop SysAid proporcionó una lista de indicadores de compromiso y pasos a seguir en su publicación de blog sobre esta vulnerabilidad. Para proteger su organización contra este malware, SysAid enfatizó la importancia de descargar el parche. Las organizaciones deben revisar qué información puede haberse almacenado dentro de su servidor SysAid que podría resultar atractiva para los atacantes y verificar sus registros de actividad para detectar comportamientos no autorizados. Otras acciones recomendadas incluyen actualizar los sistemas SysAid y realizar una evaluación exhaustiva del compromiso de su servidor SysAid. El malware Clop se ha utilizado en rescates de alto perfil. El ransomware Clop entregado por atacantes al software local SysAid a través de la vulnerabilidad de recorrido de ruta apareció por primera vez en 2019. El malware Clop está asociado con un grupo de actores de amenazas alineado con Rusia conocido con el mismo nombre. que, según Microsoft, se «superpone» con Lace Tempest. En junio de 2023, Microsoft descubrió que Lace Tempest ejecutaba el sitio de extorsión que utiliza el malware Clop. VER: ¿Cómo será la ciberseguridad el próximo año? Las tendencias de ciberseguridad de Google Cloud a tener en cuenta en 2024 incluyen ataques generativos basados en IA (TechRepublic). El grupo de ransomware Clop se ha atribuido la responsabilidad de varios ataques importantes en 2023. En junio, amenazaron con exponer datos de British Airways, BBC y el minorista británico Boots. También supuestamente estuvieron detrás del ataque de ransomware MOVEit Transfer en junio.