Gestión de riesgos de terceros, delitos cibernéticos, gestión de fraudes y delitos cibernéticos Más víctimas de la campaña contra la plataforma de almacenamiento de datos Snowflake salen a la luz Mathew J. Schwartz (euroinfosec) •25 de junio de 2024 Atención, compradores de Neiman Marcus: su información de contacto puede estar a la venta en un foro criminal . (Imagen: Shutterstock) El minorista de grandes almacenes de lujo Neiman Marcus Group es la última organización en informar una violación de datos debido a que atacantes accedieron a su cuenta en el proveedor de plataforma de almacenamiento de datos basado en la nube Snowflake. Ver también: Seminario web | Resumen del año de ciberseguridad de OT 2023: lecciones aprendidas desde primera línea En una notificación de violación de datos, Neiman Marcus Group, de propiedad privada, dijo que está notificando a casi 65.000 compradores que un atacante robó su «información personal». Neiman Marcus Group, con sede en Dallas, comprende 36 tiendas Neiman Marcus, dos tiendas Bergdorf Goodman y cinco tiendas outlet Last Call, además de sitios en línea. «Neiman Marcus Group se enteró recientemente de que una parte no autorizada obtuvo acceso a una plataforma de base de datos en la nube utilizada por NMG y proporcionada por un tercero, Snowflake», dijo un portavoz de la empresa Neiman Marcus Group a Information Security Media Group. La compañía dijo que la violación comenzó el 14 de abril y se hizo evidente el 24 de mayo. Durante ese período, el atacante robó datos como el nombre de los clientes, detalles de contacto, fecha de nacimiento y números de tarjetas de regalo, aunque sin los códigos PIN necesarios para canjearlos. La compañía dijo que las tarjetas de regalo siguen siendo válidas. «Inmediatamente después de descubrir el incidente, NMG tomó medidas para contenerlo, incluso deshabilitando el acceso a la plataforma», dijo el portavoz, y agregó que la compañía contrató asesores externos de ciberseguridad para ayudar con su investigación. NMG es propiedad desde 2021 de un grupo de empresas de inversión: Pacific Investment Management, también conocida como PIMCO; Socios de la Sexta Calle; y Davidson Kempner Capital Management. A finales de 2023, NMG abandonó una oferta de fusión de 3.000 millones de dólares del minorista de lujo rival Saks Fifth Avenue, informó The Wall Street Journal. Esta no es la primera violación de datos que sufre Neiman Marcus. En mayo de 2020, el minorista notificó a 4,6 millones de clientes en línea que los piratas informáticos robaron nombres de usuario, contraseñas, preguntas de seguridad y datos de tarjetas de pago. Víctimas de la infracción de Snowflake La infracción de las cuentas de Snowflake parece haber afectado a unas 165 cuentas de clientes. Si bien la mayoría aún no ha sido nombrada públicamente, otras víctimas conocidas incluyen Ticketmaster de Live Nation Entertainment, el Banco Santander, el proveedor de repuestos para automóviles Advance Auto Parts y el Distrito Escolar Unificado de Los Ángeles (ver: Las víctimas de la violación de datos de Snowflake reciben demandas de rescate). Los primeros informes públicos de cuentas de Snowflake violadas llegaron el 30 de mayo, después de que los datos de Ticketmaster aparecieran a la venta en el sitio web criminal BreachForums. Snowflake, en una declaración conjunta con CrowdStrike y Mandiant, dijo que los atacantes utilizaron pares de nombre de usuario y contraseña robados para violar las cuentas de Snowflake para las cuales los administradores no habían habilitado la autenticación multifactor. «Como parte de esta campaña, los actores de amenazas han aprovechado las credenciales previamente compradas u obtenidas a través de malware de robo de información», dijeron (ver: Alerta: los ladrones de información apuntan a las credenciales de navegador almacenadas). La declaración conjunta dice que los atacantes solo violaron las cuentas de Snowflake que los titulares de cuentas no estaban protegiendo con autenticación multifactor, que Snowflake solo ofrecía a través de una versión de Cisco Duo que autogestionaba. Posteriormente, Snowflake introdujo más formas para que las organizaciones permitan a sus usuarios acceder a las capacidades de MFA y dijo que planea permitir que los administradores hagan que MFA sea obligatorio. Mandiant dijo que ha estado rastreando al grupo criminal involucrado en los ataques dirigidos a Snowflake, que tiene el nombre en clave UNC5537, desde que detectó la campaña por primera vez en abril. La empresa informó recientemente que UNC5537 ha estado «utilizando datos de clientes robados para extorsionar a las víctimas y, al mismo tiempo, intentando vender los datos en foros de ciberdelincuentes». Datos robados anunciados para la venta Horas después de que Neiman Marcus revelara públicamente la violación, un usuario en el sitio de filtración de datos BreachForums con el identificador “Sp1d3r” puso a la venta los datos del minorista. Sp1d3r dijo que su intento de extorsionar al minorista para que pagara un rescate a cambio de la promesa de filtrar los datos había fracasado. El anuncio de BreachForums de Sp1d3r contiene inconsistencias. Más allá de afirmar que los datos robados incluyen los últimos cuatro dígitos de los números de Seguro Social de los clientes, el anuncio dice que los datos exfiltrados pertenecen a 180 millones de usuarios, incluidos detalles de «70 millones de transacciones» (ver: Grupos de ransomware: Confíe en nosotros. Uh, no .). El anuncio también menciona «rapeflake», rastreado como «Frostbite» por Mandiant, una utilidad maliciosa que los atacantes utilizaron para obtener acceso inicial a al menos algunas de las cuentas de Snowflake violadas. La utilidad apunta a SnowSight, que puede apuntar a la interfaz de usuario basada en web de Snowflake y a la herramienta de interfaz de línea de comandos SnowSQL. Sp1d3r ha estado vendiendo datos robados de múltiples víctimas de Snowflake, incluidas Advance Auto Parts y Ticketmaster. Afirmó a Bleeping Computer que al menos algunas de las víctimas de Snowflake de su grupo pagaron un rescate. No está claro si Sp1d3r anuncia los datos robados porque alguien podría comprarlos o para intentar presionar a las víctimas pasadas, presentes y futuras para que paguen un rescate. Otra víctima de la campaña Snowflake es el Distrito Escolar Unificado de Los Ángeles. El 6 de junio, después de que aparecieran a la venta datos robados del LAUSD, el distrito advirtió que un atacante había robado “datos de estudiantes y empleados”. Después de que Sp1d3r el 18 de junio comenzara a poner a la venta la información, incluidos los nombres de los estudiantes, direcciones, calificaciones y otros detalles, LAUSD le dijo a Bleeping Computer que la información fue robada de su cuenta Snowflake. Posteriormente, Sp1d3r ofreció los datos robados para su descarga gratuita. URL de la publicación original: https://www.databreachtoday.com/luxury-retailer-neiman-marcus-suffers-snowflake-breach-a-25609
Etiqueta: Violación de datos hoy Página 2 de 8
Atención médica, industrias específicas, estándares, regulaciones y cumplimiento John Riggi de la Asociación Estadounidense de Hospitales sobre las próximas regulaciones cibernéticas del HHS Marianne Kolbasuk McGee (HealthInfoSec) •25 de junio de 2024 John Riggi, asesor nacional de riesgos y ciberseguridad, Asociación Estadounidense de Hospitales Esfuerzos de la Casa Blanca para intensificar Mejorar la ciberseguridad del sector de la salud es de vital importancia, pero las posibles sanciones financieras impuestas por el incumplimiento de los próximos requisitos cibernéticos que están dirigidos sólo a los hospitales podrían hacer más daño que bien, dijo John Riggi, asesor nacional de riesgos y cibernética de la Asociación Estadounidense de Hospitales. Ver también: Ataque de ransomware del NHS: las infraestructuras de la industria de la salud son fundamentales A principios de este año, la administración de Biden emitió “objetivos de desempeño en ciberseguridad” para el sector de la salud que consisten en 10 prácticas “esenciales”, como la autenticación multifactor, y 10 prácticas “mejoradas”, que incluyen pruebas de ciberseguridad. En ese momento, las CPG se denominaron “voluntarias”, pero se prevé que se conviertan en requisitos obligatorios para los hospitales según las regulaciones pendientes del Departamento de Salud y Servicios Humanos de EE. UU. que se espera que se publiquen pronto, dijo Riggi (ver: Feds Wave Sticks & Carrots en Sector Salud para reforzar la cibernética). “La administración Biden está preparada para imponer regulaciones mínimas obligatorias de ciberseguridad a los hospitales que consisten en esos 10 objetivos esenciales y 10 objetivos mejorados de desempeño de seguridad cibernética”, dijo (ver: ¿Las próximas regulaciones cibernéticas del HHS moverán la aguja en el sector de la salud?). Si bien la AHA “está absolutamente de acuerdo con estas prácticas”, los planes esperados del HHS de que se apliquen sólo a los hospitales (con posibles sanciones financieras por incumplimiento) son preocupantes, dijo. Esto se debe a que muchos de los incidentes cibernéticos más grandes y perturbadores en el sector de la salud han sido experimentados por entidades no hospitalarias, como aseguradoras de salud y proveedores externos como Change Healthcare. Además, muchos de los 6.000 hospitales de EE. UU. ya carecen de los medios necesarios para implementar programas de ciberseguridad más sólidos. “Es una preocupación muy importante que tenemos, porque en última instancia, no sólo nos preocupa que falten recursos para los hospitales que más los necesitan, sino que las sanciones sean muy severas”, dijo Riggi. «Esas multas acabarán quitándole recursos necesarios que los hospitales podrían utilizar para defenderse de estos ataques y reforzar sus programas de ciberseguridad», afirmó. En esta entrevista en video con Information Security Media Group, Riggi también analizó: La reciente colaboración de la AHA con la Casa Blanca para asegurar recursos de ciberseguridad de Google y Microsoft para ayudar a los hospitales rurales y sin fines de lucro; Otros problemas regulatorios de ciberseguridad que enfrenta el sector de la salud; Ciberamenazas globales en evolución provenientes de China, Rusia, Corea del Norte y otras naciones. Riggi lidera la ciberseguridad y el riesgo de la Asociación Estadounidense de Hospitales, que cuenta con más de 5.000 hospitales miembros en Estados Unidos. Anteriormente trabajó en el FBI durante 30 años en diversos puestos de liderazgo, incluido el de representante ante el Grupo de Respuesta Cibernética de la Casa Blanca. También se desempeñó como alto representante ante la CIA, trabajando como gerente nacional de operaciones para investigaciones sobre financiamiento del terrorismo. Riggi también es un orador principal en la Cumbre de Seguridad de la Atención Médica del ISMG en la ciudad de Nueva York el 18 de julio. URL de la publicación original: https://www.databreachtoday.com/new-cyber-penalties-may-strain-hospital-resources-a- 25610
Inteligencia artificial y aprendizaje automático, gobernanza y gestión de riesgos, tecnologías de próxima generación y desarrollo seguro Las empresas ansiosas por herramientas están anteponiendo el poder transformador de la IA a la seguridad Rashmi Ramesh (rashmiramesh_) •25 de junio de 2024 Oh, no, no todos los administradores de Ollama se han parcheado el defecto “Probllama”. (Imagen: Shutterstock) Los piratas informáticos que apuntan a un popular proyecto de código abierto para ejecutar inteligencia artificial Ollama podrían toparse con un gran «Probllama» si aún no lo han parcheado. Ver también: Introducción a Ruby AI Security de Rubrik Los investigadores de Wiz revelaron el lunes que descubrieron una vulnerabilidad de ejecución remota de código Ollama fácil de explotar cuyo nombre es (y probablemente no podría ser mejor que) Probllama. La falla, rastreada como CVE-2024-37032, recibió un parche el 7 de mayo. Una «gran cantidad» de instancias no se han actualizado a principios de este mes, dijo Wiz. Las empresas han “dejado de lado en gran medida” las medidas de seguridad de la IA en favor de centrarse en su poder transformador, mientras que los clientes están adoptando rápidamente nuevas herramientas e infraestructura para obtener una ventaja competitiva, dijo Wiz. Pero estas herramientas son los “objetivos perfectos” para los actores de amenazas, ya que su etapa inicial de desarrollo generalmente carece de características de seguridad estandarizadas como la autenticación, y es relativamente más fácil encontrar fallas en una base de código más joven. Ollama no tiene un proceso de autenticación incorporado, por lo que los investigadores recomiendan no exponer las instalaciones a Internet a menos que las empresas usuarias tengan sus propios procesos de seguridad. «El problema crítico no son sólo las vulnerabilidades en sí mismas, sino la falta inherente de soporte de autenticación en estas nuevas herramientas», dijo Sagi Tzadik, investigador de Wiz. Otras herramientas similares a Ollama, como TorchServe y Ray Anyscale, también eran anteriormente vulnerables a fallas de RCE. Ollama simplifica el proceso de empaquetar e implementar modelos de inteligencia artificial. Su servidor proporciona puntos finales API, incluido uno que permite a los usuarios descargar modelos del registro de Ollama y otros registros privados. Compatible con LLM como Meta’s Llama, Microsoft’s Phi y los modelos Mistral, Ollama es uno de los proyectos más populares para ejecutar un modelo de IA, con cientos de miles de extracciones por mes en el repositorio Docker Hub y más de 70.000 estrellas en GitHub. Cuando los usuarios extraen un modelo de un registro privado, los piratas informáticos pueden incrustar un archivo de manifiesto malicioso y potencialmente comprometer el entorno que alberga un servidor Ollama vulnerable. Los atacantes pueden aprovechar la falla enviando una solicitud HTTP especialmente diseñada al servidor API de Ollama, que es público en las instalaciones de Docker. La falla es causada por una validación insuficiente en el lado del servidor, dijo Tzadik. “Al extraer un modelo de un registro privado, consultando el enlace http://[victim]:11434/api/pull API endpoint, es posible proporcionar un archivo de manifiesto malicioso que contenga una carga útil de recorrido de ruta en el campo de resumen”, dijo en un correo electrónico. Los piratas informáticos podrían usar esa carga útil para leer y corromper archivos sin permiso en el sistema comprometido y ejecutar código vulnerable de forma remota. La facilidad de explotación era «extremadamente grave» en las instalaciones de Docker, dijo Tzadik. URL de la publicación original: https://www.databreachtoday.com/patched-weeks-ago-rce-bug-in-ai-tool-still-probllama-a-25611
Inteligencia artificial y aprendizaje automático, guerra cibernética/ataques a Estados-nación, gestión del fraude y delitos cibernéticos Un nuevo informe insta a la colaboración público-privada para reducir los riesgos químicos y nucleares de la IAChris Riotta (@chrisriotta) •25 de junio de 2024 El gobierno federal de EE. UU. advirtió que la inteligencia artificial reduce las barreras para conceptualizar y llevar a cabo ataques químicos o biológicos. (Imagen: Shutterstock) La inteligencia artificial está reduciendo las barreras de entrada para que los actores de amenazas globales creen y desplieguen nuevos riesgos químicos, biológicos y nucleares, advierte el Departamento de Seguridad Nacional de EE. UU. Ver también: Salvaguardar la integridad electoral en la era digital El departamento publicó el lunes un informe sobre la reducción de riesgos en la intersección de la IA y las amenazas químicas, biológicas, radiológicas y nucleares, después de haber presentado un borrador en abril. El informe insta al Congreso, a las agencias federales y al sector privado a ser «adaptativos e iterativos» en su gobernanza de la tecnología de IA y «a responder a avances tecnológicos rápidos o impredecibles». «El ritmo revolucionario del cambio en los sectores de biotecnología, biofabricación e inteligencia artificial agrava los desafíos regulatorios existentes», afirma el informe. Recomienda “la interacción continua entre la industria, el gobierno y el mundo académico”. Las regulaciones y controles de exportación actuales no tienen en cuenta los riesgos que plantean las secuencias de ácido nucleico potencialmente dañinas creadas con la ayuda de la IA, dijo el DHS. Ese tipo de brechas en los controles actuales podrían permitir que los actores de amenazas hagan un mal uso de la IA para desarrollar agentes biológicos peligrosos, evadir la detección y potencialmente causar daños generalizados. El informe dice que la integración de la IA en los esfuerzos de prevención, detección, respuesta y mitigación QBRN «podría generar beneficios importantes o emergentes», pero también dice que las limitaciones regulatorias actuales obstaculizan la capacidad del gobierno para supervisar adecuadamente la investigación, el desarrollo y la implementación de la IA. El DHS también reconoció en el informe que el gobierno federal “actualmente no tiene un marco legal o regulatorio general para regular o supervisar de manera integral la IA”, y advirtió que varios enfoques de gobernanza de la IA podrían resultar en desafíos de cumplimiento para muchos desarrolladores. Entre sus recomendaciones se encuentra alentar a los desarrolladores de IA a publicar voluntariamente el código fuente y los pesos de los modelos de IA para los modelos utilizados en investigaciones biológicas o químicas. El informe dice que el compromiso con las partes interesadas internacionales, como gobiernos, organizaciones globales y entidades privadas, «es necesario para desarrollar enfoques, principios y marcos para gestionar los riesgos de la IA, liberar el potencial de la IA para el bien y promover enfoques comunes para los desafíos compartidos a la luz del desarrollo mundial y difusión de las tecnologías de IA”. El secretario del DHS, Alejandro Mayorkas, dijo en una declaración que acompaña al informe que su objetivo era “proporcionar objetivos a más largo plazo sobre cómo garantizar un desarrollo y uso seguro y confiable” de las tecnologías de inteligencia artificial. URL de la publicación original: https://www.databreachtoday.com/us-dhs-warns-ai-fueled-chemical-biological-threats-a-25612
Ciberdelincuencia, gestión de fraude y ciberdelincuencia, respuesta a incidentes e infracciones Una empresa de software para concesionarios de automóviles dice que restaurar el servicio llevará «días y no semanas» Chris Riotta (@chrisriotta) •24 de junio de 2024 CDK Global suministra soluciones de software a aproximadamente 15.000 concesionarios de automóviles en el Estados Unidos y Canadá. (Imagen: Shutterstock) Un proveedor de software back-end para miles de concesionarios de automóviles en Estados Unidos y Canadá comenzó a restaurar sus operaciones después de que incidentes cibernéticos consecutivos obligaran a la compañía a cerrar sistemas, dijo un portavoz a Information Security Media Group. Ver también: Seminario web | Resumen del año de ciberseguridad de OT 2023: Lecciones aprendidas desde el frente CDK Global, la empresa de soluciones de software para concesionarios de automóviles que sufrió un ataque de rescate cibernético el miércoles, dijo que la compañía inició una investigación con expertos externos y “comenzó el proceso de restauración” después de notificar clientes y autoridades policiales sobre el incidente. «Según la información que tenemos en este momento, anticipamos que el proceso tardará varios días en completarse», dijo el lunes un portavoz de CDK Global. «Mientras tanto, continuamos interactuando activamente con nuestros clientes y brindándoles formas alternativas de realizar negocios». El portavoz se negó a comentar si CDK planea pagar decenas de millones en rescate a un grupo de hackers llamado BlackSuit, que desde entonces se atribuyó la responsabilidad del ataque, como se informó. CBS informó que la compañía envió un memorando a los clientes el sábado diciendo que el proceso de restauración tomaría “varios días y no semanas” y advirtiendo a los concesionarios que tuvieran cuidado con un posible aumento de estafas de phishing. La nota del fin de semana a los clientes fue la primera vez que la compañía describió el incidente como un “evento de rescate cibernético”. Varios concesionarios de automóviles, incluido Group 1 Automotive Inc., que tiene más de 200 concesionarios en EE. UU. y el Reino Unido, revelaron que el ciberataque afectó sus operaciones comerciales. La compañía se vio obligada a activar inmediatamente procedimientos de respuesta a incidentes cibernéticos y aislar sus sistemas de la plataforma de CDK, dijo en un documento regulatorio. Otros concesionarios de automóviles importantes, incluidos Penske, Sonic Automotive y Lithia Motors, advirtieron a la Comisión de Bolsa y Valores que sus operaciones también se habían visto afectadas. Aproximadamente 15.000 concesionarios de automóviles en EE. UU. y Canadá utilizan el software CDK para gestionar y mantener registros, datos confidenciales y comunicaciones sobre clientes y acuerdos negociados. Cliff Steinhauer, director de seguridad de la información y participación de la Alianza Nacional de Ciberseguridad, dijo anteriormente a Information Security Media Group que el incidente resalta el impacto devastador de los ataques a la infraestructura administrada por terceros (ver: Concesionarios de automóviles que utilizan CDK globalmente afectados por interrupciones cibernéticas). «Este incidente no sólo interrumpió operaciones esenciales en una vasta red de concesionarios, sino que también expuso importantes vulnerabilidades en la infraestructura digital y los sistemas de gestión de datos de los clientes», dijo. Bloomberg informó por primera vez que BlackSuit exigió millones de dólares en rescate después de que el presunto grupo de hackers asumiera la responsabilidad del ataque. BlackSuit proviene del grupo Royal ransomware-as-a-service, que es una rama de la ahora desaparecida operación de ransomware Conti (ver: El legado de Conti: ¿Qué ha sido de los más buscados del ransomware?). Los concesionarios de automóviles en todo Estados Unidos informaron que recurrieron al uso de papel para llevar registros, e incluso cerraron completamente nuevos negocios. CDK Global publica un informe anual sobre el estado de la ciberseguridad de los concesionarios y en 2023 decía: «Proteger sus datos para evitar interrupciones comerciales relacionadas con TI, demandas de rescate y daños a la reputación nunca ha sido más importante». URL de la publicación original: https://www.databreachtoday.com/cdk-begins-restoring-systems-amid-ransomware-paid-reports-a-25605
Seguridad de infraestructura crítica, respuesta a incidentes e infracciones, firewalls de red, control de acceso a la red La Agencia de Defensa Cibernética de EE. UU. dice que un importante ataque cibernético fue resultado de productos vulnerables de IvantiChris Riotta (@chrisriotta) •24 de junio de 2024 La herramienta de evaluación de seguridad química de CISA contiene planes sensibles de seguridad química del sector privado. (Imagen: Shutterstock) La agencia de defensa cibernética de EE. UU. confirmó el lunes que una de sus herramientas críticas que alberga los planes de seguridad química del sector privado fue el objetivo de un ciberataque en enero que “puede haber resultado en un posible acceso no autorizado” a datos confidenciales. Ver también: Bajo demanda | Firewalls de malla híbrida y Microsoft Azure, extendiendo la seguridad de su red a la nube La Agencia de Seguridad de Infraestructura y Ciberseguridad dijo que envió notificaciones el jueves a los participantes en el programa de Estándares Antiterroristas para Instalaciones Químicas sobre la intrusión de seguridad cibernética que afecta la Herramienta de Evaluación de Seguridad Química de la agencia. Las notificaciones decían que la agencia «no encontró evidencia de exfiltración de datos», pero advirtieron que los piratas informáticos pueden haber accedido a «encuestas de pantalla superior, evaluaciones de vulnerabilidad de seguridad, planes de seguridad del sitio, presentaciones de programas de garantía de personal y cuentas de usuarios de CSAT». Las instalaciones reguladas por CFATS deben cumplir con las medidas de seguridad del personal de las instalaciones que implican el envío de información de identificación personal para fines de investigación, incluidos nombres, números de pasaporte, lugar de nacimiento y estado de ciudadanía. CISA instó a las instalaciones a restablecer las contraseñas de las personas que tenían cuentas CSAT para evitar posibles ataques de «rociación de contraseñas». La agencia también alentó a las instalaciones que recibieron las cartas de notificación a notificar el incidente a las personas enviadas por esa instalación para la investigación de seguridad bajo el programa de encuesta de personal CFATS. La intrusión fue el resultado de vulnerabilidades encontradas en los dispositivos VPN de Ivanti que permitieron a los piratas informáticos violar dos puertas de enlace utilizadas por CISA, dijo la agencia a Information Security Media Group en marzo (ver: Hackers comprometieron dispositivos Ivanti utilizados por CISA). Se informó en ese momento que los sistemas afectados se conectaban a CSAT así como a Infrastructure Protection Gateway, un portal que contiene datos sobre evaluaciones de seguridad para importantes infraestructuras críticas nacionales. «CISA identificó actividad que indica la explotación de vulnerabilidades en los productos Ivanti que utiliza la agencia» en febrero, dijo un portavoz en ese momento. «Continuamos actualizando y modernizando nuestros sistemas y no hay ningún impacto operativo en este momento». CISA anunció que organizaría varios seminarios web para que las partes interesadas revisaran la información proporcionada en las notificaciones de vulnerabilidad de Ivanti. El próximo seminario web está programado para el 9 de julio. Los dispositivos de Ivanti enfrentaron una serie de ataques a partir de diciembre por parte de presuntos piratas informáticos de estados nacionales chinos que robaron las credenciales de cuentas almacenadas dentro de las puertas de enlace de Ivanti. CISA dio a las agencias federales hasta el 2 de febrero para realizar restablecimientos de fábrica en todos los dispositivos de la compañía, aunque la agencia advirtió más tarde que los piratas informáticos podrían preservar el acceso a un dispositivo comprometido incluso después de un restablecimiento de fábrica (ver: Los federales enfrentan una fecha límite de medianoche para restablecer las puertas de enlace de Ivanti) . Ivanti cuestionó esas afirmaciones. URL de la publicación original: https://www.databreachtoday.com/cisa-confirms-cyberattack-on-critical-chemical-security-tool-a-25607
Finanzas y banca,Gestión de fraude y ciberdelincuencia,Gestión de riesgos de fraude Es hora de que las grandes empresas tecnológicas rindan cuentas por el fraude rampante en líneaSuparna Goswami(gsuparna) •19 de junio de 2024 Desde amenazas de apropiación de cuentas hasta esquemas de inversión falsos, no tiene que gastar mucho tiempo en las redes sociales antes de toparse con una estafa. Pero si intenta denunciar a estos malos actores en plataformas sociales como Facebook, es posible que le resulte difícil lograrlo. Consulte también: Estrategias impulsadas por IA para una recuperación eficaz de incidentes cibernéticos De hecho, si intenta denunciar contenido fraudulento a Meta, la empresa matriz de Facebook, no encontrará «estafa» o «fraude» como opción de denuncia. Troy Huth, director de Auriemma Roundtables en San Antonio, Texas, contó recientemente cómo intentó denunciar a un estafador a Meta: “Escogí lo que pensé que era lo más parecido y les pedí que respondieran que no habían visto este comportamiento. ocurriendo y dejé el perfil activo”. Peor aún, después de que delató a los estafadores en Facebook, se unieron para denunciarlo por “acoso”, y Meta posteriormente eliminó su perfil, dijo. Una publicación de LinkedIn de Troy Huth muestra las opciones para informar la actividad en línea que viola los estándares de la comunidad de Meta. Los expertos dicen que un gran porcentaje de las estafas se originan en las redes sociales. Un informe de la Comisión Federal de Comercio dice que 1 de cada 4 personas que informaron haber perdido dinero debido a fraude desde 2021 dijeron que la estafa comenzó en las redes sociales. Un análisis de Finanzas del Reino Unido de casi 7.000 casos de fraude de pagos push autorizados revela que el 70% de las estafas se originaron en una plataforma en línea. A pesar de estas amenazas a los usuarios, Huth dijo que no parece que a Meta le importe que su «plataforma se utilice descaradamente para promover estafas y delitos financieros». Ken Palla, experto en fraude y ex director de MUFG Bank, dijo que a pesar de las conversaciones y medidas iniciales, las empresas de redes sociales aún tienen que tomar medidas concretas contra los estafadores. “Todos los días leo sobre diferentes iniciativas para ayudar a detener las estafas”, dijo. «Veo que hoy Meta y algunas otras plataformas de Internet están hablando de ‘trabajar para encontrar formas de luchar contra las herramientas utilizadas por los estafadores’, pero a la mayoría de nosotros nos resulta más difícil lograr que las plataformas de Internet eliminen los sitios fraudulentos». El experto en fraude Frank McKenna de Point Predictive presentó recientemente varios informes sobre grupos de Yahoo Boys en Facebook que reclutaban nuevos miembros, vendían métodos para estafar a la gente y proporcionaban instrucciones sobre cómo extorsionar a las víctimas, incluido el suministro de software de intercambio de rostros a víctimas de deepfake en videollamadas. McKenna dijo que eligió el formulario de queja de «ventas no autorizadas» de Meta, pero Meta «se negó a eliminar todos y cada uno de ellos, diciendo que no va en contra de las pautas de Facebook». Supongo que reclutar personas para organizaciones criminales, vender servicios fraudulentos y hacer cosas como extorsionar a menores no va en contra de las directrices de Facebook”. Pero al cabo de una semana, Meta tomó medidas. «Me complace informar que Facebook finalmente eliminó a Bombin y Billin, ¡uno de los grupos de fraude de Yahoo Boys más grandes en Facebook con más de 194.000 miembros!» McKenna publicó en LinkedIn el miércoles. Ahora es el momento de rendir cuentas Si bien el sistema funciona a veces, el problema general es que Meta y otras plataformas sociales tienen poca o ninguna responsabilidad (o supervisión regulatoria). La Sección 230 de la Ley de Decencia en las Comunicaciones, que se remonta a la infancia de Internet en 1996, dice que el Congreso protege explícitamente a las plataformas de redes sociales de la responsabilidad por el contenido que los usuarios publican en sus sitios. Desafortunadamente, las redes sociales se han convertido en un lugar mucho más oscuro en las últimas dos décadas con el aumento de la matanza de cerdos, el tráfico de dinero, las estafas con criptomonedas, la desinformación y el discurso de odio, solo por nombrar algunos. El mes pasado, en un esfuerzo bipartidista, dos representantes de la Cámara presentaron un proyecto de ley para eliminar la Sección 230, en un esfuerzo por obligar al Congreso a reformar la ley. No es sorprendente que las empresas de redes sociales prefieran mantener las cosas como están. La representante Cathy McMorris Rodgers, republicana por Washington, dijo que el Congreso ha presentado casi 25 proyectos de ley para cambiar la ley en los últimos cuatro años. “Muchos de estos fueron intentos de buena fe de reformar la ley, y las grandes empresas tecnológicas presionaron para acabar con ellos en cada ocasión”, dijo. «Estas empresas no nos dejaron otra opción». Los esfuerzos de otros países para regular las estafas en las redes sociales no han tenido mucho más éxito. En noviembre de 2023, las plataformas de Internet del Reino Unido firmaron la Carta contra el fraude en línea. Desde entonces, ha habido poca acción en este frente y no se han tomado medidas concretas para proteger a los usuarios de los estafadores. Australia está intentando que los bancos, las telecomunicaciones y las plataformas de Internet trabajen juntos para detener las estafas. Esta semana, Australia anunció el “bucle de inteligencia”, que compartirá información fraudulenta entre estas entidades y el gobierno. ¿Por qué no se hace más? Seamos honestos: las estafas y el tráfico de dinero no son las principales prioridades. Si bien todos están de acuerdo en que estas actividades son indeseables, el impacto financiero no es lo suficientemente significativo como para impulsar una regulación y remediación coordinadas. Las empresas de tecnología aún carecen de mecanismos adecuados para denunciar estafas, lo que hace que la acción voluntaria sea poco probable. Las sanciones monetarias son el único incentivo eficaz. La industria de servicios bancarios y financieros continúa enfrentando el fraude en todos los frentes, pero sus esfuerzos por sí solos no resolverán el problema. Las empresas tecnológicas deben participar en el juego, y eso comienza por afrontar las mismas responsabilidades que los bancos y las empresas de inversión. Sin su participación, el público sigue expuesto a un alto riesgo de sufrir estafas en línea. Cada pérdida para el consumidor puede ser comparativamente pequeña, pero el impacto financiero y emocional de caer en una estafa puede ser mucho mayor. Los consumidores son los que necesitan más protección, no las grandes empresas tecnológicas. URL de la publicación original: https://www.databreachtoday.com/blogs/ever-tried-to-report-scam-on-facebook-good-luck-p-3647
Seguridad en la nube, detección y respuesta de redes, tecnologías de próxima generación y desarrollo seguro Cómo las capacidades técnicas de Gigamon impulsan la ciberseguridad de las organizaciones Information Security Media Group • 20 de junio de 2024 Las amenazas a la seguridad de las redes están en constante evolución y todo tipo de organizaciones trabajan arduamente para enfrentar las emergentes. amenazas mientras mantiene un rendimiento sólido en toda su infraestructura de nube híbrida. Consulte también: Estrategias impulsadas por IA para una recuperación eficaz de incidentes cibernéticos En esta búsqueda, Gigamon se destaca como un aliado fundamental, que proporciona una observabilidad profunda que ayuda a las organizaciones a mejorar la visibilidad, fortalecer las medidas de seguridad y optimizar el rendimiento de la red. Tanto Corpay como la Red Universitaria de Salud han aprendido cómo aprovechar las capacidades técnicas de Gigamon para lograr resultados notables e impulsar sus capacidades de ciberseguridad. El viaje de Corpay hacia una mejor seguridad Corpay, anteriormente conocido como FLEETCOR, es un líder global en pagos comerciales, que ayuda a las empresas a administrar los gastos y crear valor para sus clientes a través de servicios que mejoran la gestión y el control de gastos, agilizan la movilidad y los pagos a proveedores, y mejoran la eficiencia de los empleados. Con una estrategia de múltiples nubes que se ejecuta en AWS y Microsoft Azure, Corpay enfrentó múltiples desafíos para mantener una seguridad sólida en su entorno de nube híbrida. Según Waddaah Keirbeck, CTO global de Corpay, la observabilidad profunda era crucial para comprender el tráfico de la red, identificar amenazas potenciales y ser proactivo con la inteligencia de amenazas. «Lo que me mantiene despierto por la noche es lo que no sé», dijo Keirbeck. «Para nosotros es fácil afrontar cualquier cosa de la que soy consciente, así que lo que nos mantiene despiertos por la noche son las amenazas que no hemos visto o los desafíos potenciales que podrían surgir desde diferentes aspectos o actores». Gigamon proporcionó la visibilidad y el rendimiento que permitieron a Corpay optimizar y asegurar la gestión de la red. Al integrar la visibilidad lateral este-oeste, Corpay ahora monitorea el tráfico dentro de su red segmentada, no solo los datos entrantes y salientes. Esta visibilidad integral es vital para identificar y mitigar amenazas que de otro modo podrían pasar desapercibidas. Qué hizo Corpay para fortalecer la ciberseguridad Los desafíos de Corpay Mantener una seguridad sólida en un entorno de nube híbrida que ejecuta AWS y Azure; Lograr una visibilidad integral del tráfico de la red, particularmente dentro de redes segmentadas; Identificar y abordar proactivamente amenazas potenciales. Para resolver los desafíos se implementó la solución de tejido analítico y de visibilidad de Gigamon; Capacidades avanzadas de visibilidad y rendimiento de Gigamon integradas; Visibilidad lateral mejorada de este a oeste para monitorear el tráfico interno. Resultados impulsados por resultados Mejor identificación y gestión de amenazas: la profunda observabilidad de Gigamon ahora ayuda a garantizar que las amenazas potenciales se identifiquen y aborden rápidamente, mejorando la postura general de seguridad de Corpay. Inteligencia proactiva contra amenazas: Corpay ahora puede anticipar y mitigar las amenazas antes de que causen problemas importantes, gracias a información en tiempo real y visibilidad integral. Rendimiento de red mejorado: al optimizar el monitoreo y la gestión del tráfico, Corpay ha logrado un mejor rendimiento de la red y utilización de recursos. La necesidad de University Health Network de una visibilidad de detección rápida de amenazas es la piedra angular de la estrategia de seguridad de UHN. «Cuanto antes detectemos algo, antes podremos aislar el incidente y evitar que cause daños», afirmó Kajeevan Rajanayagam, director de ciberseguridad de UHN. Las series GigaVUE HC y TA de Gigamon se implementaron para introducir datos de tráfico en herramientas de seguridad, proporcionando visibilidad lateral de este a oeste y deduplicando el tráfico para reducir los requisitos de ancho de banda. En un incidente reciente, Gigamon jugó un papel crucial en la identificación de un ataque de ransomware en una hora, evitando daños importantes. Esta rápida respuesta fue posible porque Gigamon Deep Observability Pipeline proporcionó datos en tiempo real a las herramientas de seguridad de UHN, lo que permitió una detección de amenazas rápida y precisa. Qué hizo UHN para detectar mejor las amenazas Los desafíos de UHN Administrar un entorno con recursos limitados con una combinación de activos locales y algunos de nube pública; Lograr visibilidad del tráfico lateral de este a oeste a través de la red; Abordar una amenaza constante de ataques de ransomware. Para superar los desafíos se implementaron los productos Gigamon GigaVUE HC Series y TA Series; Introducir datos de tráfico en herramientas de seguridad como Armis y Forescout; Tráfico deduplicado para reducir los requisitos de ancho de banda y extender la vida útil de los sistemas heredados. Resultados impulsados por resultados Visibilidad de red mejorada: UHN ahora tiene visibilidad completa del tráfico lateral de este a oeste, crucial para detectar y mitigar amenazas. Detección y respuesta rápidas a amenazas: las soluciones de Gigamon permitieron a UHN identificar y neutralizar los ataques de ransomware en una hora, evitando daños importantes. Vida útil ampliada del hardware: al eliminar la duplicación del tráfico y reducir los requisitos de ancho de banda, UHN ha extendido la vida útil de su hardware existente, retrasando costosas actualizaciones. Vea a través de sus complejidades de ciberseguridad con Gigamon A medida que las ciberamenazas continúan expandiéndose, también lo hace la necesidad de una visibilidad granular y una gestión proactiva de las amenazas. Gigamon Deep Observability Pipeline ofrece un enfoque transformador que permite a organizaciones como Corpay y UHN lograr seguridad y rendimiento incomparables en sus entornos de nube híbrida. Al iluminar peligros ocultos y optimizar las defensas, Gigamon permite a las organizaciones proteger sus activos digitales y mantener la resiliencia operativa. Los CISO y los líderes de seguridad que buscan mejorar la seguridad de la red, junto con sus habilidades de búsqueda de amenazas, deberían recurrir a Gigamon para salvaguardar mejor sus empresas digitales. URL de la publicación original: https://www.databreachtoday.com/blogs/corpay-uhn-secure-hybrid-cloud-infrastructure-gigamon-p-3648
Gestión de fraude y cibercrimen, ransomware Diferentes países tienen diferentes niveles de participación de las fuerzas del ordenSally Adam •20 de junio de 2024 En los primeros años del ransomware, muchas víctimas se mostraban reacias a admitir públicamente que habían sido afectadas por temor a la prensa negativa y al desgaste de los clientes. Ver también: Estrategias impulsadas por IA para una recuperación efectiva de incidentes cibernéticos Más recientemente, las víctimas de ransomware están cada vez más dispuestas a reconocer un ataque. Es probable que esto se deba en parte a la normalización del ransomware. Nuestros informes sobre el estado del ransomware revelan tasas de ataque superiores al 50 % durante los últimos tres años, y el reconocimiento público de un ataque por parte de marcas conocidas es algo común. Ser atacado por ransomware ya no se considera vergonzoso. Es probable que el aumento de la notificación obligatoria de ataques en muchas jurisdicciones también esté impulsando una mayor divulgación. Aunque ha habido una sensación general de que los informes han aumentado, hasta ahora ha sido difícil obtener información detallada y comparaciones regionales. Los datos de la encuesta Sophos State of Ransomware de este año revelan cómo los niveles de notificación y las respuestas oficiales varían en 14 países. Informar de un ataque de ransomware es beneficioso para todos La naturaleza y la disponibilidad del soporte oficial cuando se trata de un ataque de ransomware varían de un país a otro. Denunciar un ataque tiene los siguientes beneficios para la víctima y los organismos oficiales que la apoyan: Apoyo inmediato para la remediación: los gobiernos y otros organismos oficiales a menudo pueden brindar experiencia y orientación para ayudar a las víctimas a remediar el ataque y minimizar el impacto. Información sobre orientación política: proteger a las empresas del cibercrimen, incluido el ransomware, es un objetivo importante para muchos gobiernos. Cuanto más conocimientos tengan los funcionarios sobre los ataques y su impacto, mejor podrán guiar las políticas e iniciativas. Habilitación de la eliminación de atacantes: el intercambio oportuno de los detalles de los ataques ayuda a los esfuerzos globales para acabar con las bandas criminales, como LockBit en febrero de 2024. Teniendo en cuenta estos beneficios, los conocimientos de la encuesta son una lectura alentadora. Insight 1: La mayoría de los ataques de ransomware se reportan a nivel mundial, el 97% de las víctimas de ransomware en el último año reportaron el ataque a las fuerzas del orden y/o a organismos oficiales. Las tasas de presentación de informes son altas en todos los países encuestados, con solo 10 puntos porcentuales entre la tasa más baja del 90% en Australia y la más alta: 100% en Suiza. Los hallazgos revelan variaciones por industria. En sectores con altos porcentajes de organizaciones del sector público, casi todos los ataques se reportan. Imagen: SophosInsight 2: Las fuerzas del orden casi siempre ayudan Para las organizaciones que informan del ataque, la buena noticia es que las fuerzas del orden y/o los organismos oficiales casi siempre intervienen. En total, sólo el 1% de las 2.974 víctimas encuestadas dijeron que no recibieron apoyo a pesar de denunciar el ataque. Insight 3: El apoyo a las víctimas de ransomware varía según el país Los encuestados que informaron sobre el ataque recibieron apoyo de tres formas principales: Asesoramiento para afrontar el ataque: 61 % Ayuda para investigar el ataque: 60 % Ayuda para recuperar datos cifrados en el ataque: 40 % de todas las víctimas y el 58% de aquellas que tenían datos cifrados. La naturaleza exacta de la participación de las fuerzas del orden y/o de los organismos oficiales varía según la ubicación de la organización. Si bien más de la mitad de las víctimas recibieron asesoramiento sobre cómo afrontar el ataque en todos los países encuestados, los niveles más altos de apoyo en esta área fueron el 71% de las organizaciones de la India y el 69% de las organizaciones de Singapur. Los encuestados indios informaron el mayor nivel de apoyo a la investigación del ataque con un 70%, seguidos por los encuestados sudafricanos con un 68%. La tasa más baja (51%) se registró en Alemania. Imagen: Sophos Entre aquellos que tenían datos cifrados, más de la mitad a nivel mundial (58%) recibió soporte para recuperar sus datos cifrados. India continúa encabezando la lista, con el 71% de aquellos que tenían datos cifrados recibiendo asistencia para recuperarlos. Los países con la menor propensión de las víctimas a recibir ayuda para recuperar datos cifrados se encuentran todos en Europa: Suiza con un 45%, Francia con un 49%, Italia con un 53% y Alemania con un 55%. Imagen: SophosInsight 4: Relacionarse con las autoridades policiales es generalmente fácil Más de la mitad (59%) de aquellos que interactuaron con las autoridades policiales y/u organismos oficiales dijeron que el proceso era fácil. Sólo el 10% dijo que el proceso fue muy difícil. Imagen: SophosLa facilidad de interacción también varía según el país. Los habitantes de Japón eran los que tenían más probabilidades de encontrar dificultades para presentar informes: un 60%, seguidos por los de Austria con un 52%. Los encuestados japoneses también tuvieron la mayor propensión a encontrar “muy difícil” denunciar el ataque: 23%. Por el contrario, el 75% de los encuestados en Brasil y el 74% en Singapur tenían más probabilidades de encontrar fácil la participación, mientras que las organizaciones italianas tenían el porcentaje más alto que lo encontraba “muy fácil”, con un 32%. Imagen: SophosInsight 5: Los ataques no se informan por varias razones Hubo varias razones por las que el 3% no informó el ataque. Los dos motivos más comunes fueron: la preocupación de que denunciarlo tendría un impacto negativo en su organización, como multas, cargos o trabajo extra, con un 27%, y la sensación de que no les reportaría ningún beneficio denunciarlo, también al 27%. Varios encuestados dijeron que no involucraron a los organismos oficiales porque podían resolver el problema internamente. Imagen: Sophos Conclusión Los resultados de la encuesta revelan que informar sobre ataques de ransomware es común y, como resultado, las víctimas casi siempre reciben soporte. Con suerte, estos hallazgos alentarán a cualquier organización que sea víctima en el futuro a notificar a sus autoridades pertinentes. Acerca de la encuesta El informe Sophos State of Ransomware 2024 se basa en los resultados de una encuesta independiente, independiente del proveedor, encargada por Sophos a 5000 líderes de TI/ciberseguridad en 14 países de América, EMEA y Asia-Pacífico. Todos los encuestados representan organizaciones con entre 100 y 5.000 empleados. La encuesta fue realizada por el especialista en investigación Vanson Bourne en enero y febrero de 2024, y se pidió a los participantes que respondieran en función de sus experiencias durante el año anterior. URL de la publicación original: https://www.databreachtoday.com/blogs/law-enforcements-role-in-remediating-ransomware-attacks-p-3644
Gestión de fraude y delitos cibernéticos, atención médica e industrias específicas luchan contra el modelo de negocio con planificación de resiliencia empresarial y capacidades de conmutación por error Mathew J. Schwartz (euroinfosec) • 21 de junio de 2024 No deberíamos volvernos insensibles al costo humano del ransomware. (Imagen: Shutterstock) Nunca permita que el ransomware se normalice. Mientras el Servicio Nacional de Salud de Gran Bretaña se enfrenta a una supuesta filtración de datos robados tras otro ataque de ransomware, este imperativo nunca ha sido más importante. Ver también: Estrategias impulsadas por IA para una recuperación eficaz de incidentes cibernéticos El último ataque al NHS es un recordatorio de que hoy en día las empresas tienen más probabilidades de verse afectadas por ransomware. Pero esto no significa que debamos dejar que el ransomware parezca una nueva normalidad, similar a la muerte o los impuestos (ver: Qilin Ransomware Group filtra datos del NHS). Los incesantes ataques lanzados por grupos de ransomware pueden hacer que sea difícil no volverse insensible. Los grupos de extorsión, principalmente de habla rusa, ganan colectivamente salarios anuales superiores a los mil millones de dólares a expensas de la sociedad. Han extorsionado a hospitales, sistemas nacionales de salud y otras instituciones que ofrecen servicios críticos, todo ello además de causar interrupciones masivas con consecuencias reales para el bienestar humano (ver: NHS Ransomware Hack: 1,500 citas médicas reprogramadas). «El tipo de personas que hacen esto son delincuentes, por lo que realmente no les importa», dijo Alan Woodward, profesor de informática en la Universidad de Surrey, Inglaterra. «Eran el tipo de personas que consumían drogas, prostitución, trata de personas, etc., por lo que la miseria humana no significa nada para ellos». Una de las razones por las que han migrado al ransomware es porque «pueden ganar mucho más dinero con él y el riesgo de ser descubiertos es menor», me dijo Woodward. «Son inmorales, pero son empresarios inmorales». Esto ayuda a explicar la cuestión de cómo viven consigo mismos los atacantes cuando lastiman a personas inocentes. La BBC recientemente planteó esa pregunta a un miembro del grupo de ransomware Qilin, que ha acumulado numerosas víctimas este año, incluido el proveedor de servicios de patología Synnovis en Londres. “Esta entrevista ha terminado”, respondió el representante del grupo, cesando toda comunicación posterior. Qilin ha seguido el manual típico de un atacante de ransomware, primero intentando “nombrar y avergonzar” a una víctima que no paga para que pague y luego afirmar que filtra datos robados cuando no lo hace. Como resultado del ataque, el NHS ha emitido un llamamiento urgente para donaciones de sangre tipo O, incluso a través de cartas enviadas a hogares de toda Inglaterra. Esto se debe a que los sistemas necesarios para comparar tipos de sangre siguen sin estar disponibles mientras continúa la interrupción de Synnovis (ver: Hospitales de Londres buscan respaldo de productos biológicos después del ataque de ransomware). Hasta ahora, el ataque de Synnovis ha provocado la cancelación de más de 1.000 cirugías y citas, incluida la necesidad de reprogramar cesáreas y trasplantes de órganos planificados. Se ha pedido a los médicos y hospitales que envíen los análisis de sangre no críticos, incluidos los de salud sexual, a proveedores alternativos. Un médico le dijo a la BBC que los resultados críticos de los análisis de sangre que antes se obtenían en una hora ahora tardan seis horas. Preocupaciones por la recuperación Los expertos dicen que Synnovis puede tardar meses en recuperarse completamente del ataque. La empresa, que se describe a sí misma como una “asociación de patología” entre Guy’s and St Thomas’ NHS Foundation Trust, financiada por el gobierno, y King’s College Hospitals NHS Trust, y el gigante privado de diagnóstico con sede en Munich Synlab, pareció desconectar sus sistemas tan pronto como tan pronto como detectó ransomware. Esta rapidez de pensamiento puede haber impedido que los atacantes pudieran violar los sistemas de los hospitales que dependen de Synnovis. Aun así, las continuas interrupciones y el largo plazo para la restauración plantean dudas sobre la conveniencia de centralizar los servicios de patología, lo que probablemente se hizo con fines de ahorro de costos. The Guardian informó que el contrato de los fideicomisos con Synnovis “para servicios que son vitales para el buen funcionamiento del NHS” tiene un valor de 1.400 millones de dólares. A esos precios, ¿por qué Synnovis no tenía capacidades de conmutación por error ubicadas fuera del sitio, en asociación con Synlab, para poder continuar brindando sus servicios de patología esenciales, sobre todo en caso de un desastre natural u otra interrupción? Synnovis no respondió a mi solicitud de comentarios. La compañía es la última de una larga lista de víctimas afectadas por un conjunto ahora predecible de movimientos de atacantes que implementan con éxito ransomware o roban datos del entorno de una víctima. Los expertos dicen que alrededor del 25% de estas víctimas suelen pagar un rescate, que es el resultado que más desean los atacantes, sobre todo porque esos ataques a menudo nunca salen a la luz, lo que hace que sus tácticas sean más difíciles de rastrear para los defensores de la seguridad y para las fuerzas del orden. Cuando los ataques salen a la luz, normalmente es porque la víctima no ha pagado el rescate. En ese momento, los atacantes a menudo intentan aprovechar el incidente con fines publicitarios, especialmente para presionar a futuras víctimas para que paguen. Los grupos de ransomware siguen siendo expertos en manipulación psicológica y marcas. Qilin afirmó que exigió un rescate de 50 millones de dólares a Synnovis después de que un afiliado pirateara con éxito la empresa. Quizás los atacantes vieron un objetivo jugoso, dada la cantidad de empresas privadas de atención médica en los EE. UU. que, según se informa, pagan un rescate. Cualquiera que esté familiarizado con el Servicio Nacional de Salud de Gran Bretaña, financiado por el gobierno y siempre carente de recursos, del que forma parte Synnovis, probablemente piense que la demanda de rescate es ridícula. «Los delincuentes pueden creer que Synnovis no pagará ninguna demanda de extorsión, y esta demanda de 50 millones de dólares podría ser simplemente un truco publicitario de los delincuentes para aumentar su notoriedad entre futuras víctimas», dijo Brian Honan, director de la empresa con sede en Dublín. Consultoría en ciberseguridad BH Consulting. La preparación vale la pena Parte de no permitir que el ransomware se normalice nunca requiere que los CISO (y sus altos ejecutivos y juntas directivas) se aseguren de que sus organizaciones no sólo estén preparadas para los ataques, sino también para bombardear su entorno de TI empresarial desde la órbita y comenzar de nuevo, si es necesario. . En el caso de Synnovis, eso podría haber significado estar preparado para perder datos de muestras de prueba ya procesadas, algo que ahora puede haber ocurrido de todos modos. La evaluación de un evento de esta magnitud y la rápida restauración de los servicios podrían requerir concesiones. «Hay que estar preparado para ello y resistirlo, y eso no significa simplemente repelerlo, porque lo van a hacer más de una vez», dijo Woodward. «Hay que estar preparado para operar sin TI y saber qué hacer si lo arrasamos todo y empezamos de nuevo». URL de la publicación original: https://www.databreachtoday.com/blogs/as-britains-nhs-faces-data-leak-never-normalize-ransomware-p-3649