Un nuevo virus en lenguaje Nim pasa desapercibido para los sistemas de detección
17/03/2021Los investigadores de Proofpoint han alertado sobre un nuevo ataque masivo a ordenadores con sistema operativo Windows, perpetrado con un nuevo virus que tiene la peculiaridad de estar escrito en Nim, un lenguaje de programación poco habitual en las amenazas cibernéticas por lo que está resultando muy difícil de neutralizar por los sistemas de detección. El virus, bautizado con el nombre de NimzaLoader forma parte de una campaña de 'phishing' a través del correo electrónico lanzada por el grupo de ciberdelincuentes TA800. NimzaLoader utiliza correos personalizados, en los que se persuade a las víctimas para que pinchen en un enlace que, en principio, debería abrir una previsualización de un archivo pdf, pero que en realidad lleva a la página de un servicio de marketing, donde se activa la descarga del archivo malicioso que, si se ejecuta, infecta el equipo. Una vez dentro, NimzaLoader abre el acceso a toda la información almacenada en el equipo a los miembros de TA800 quienes, además, suelen utilizarlo como plataforma para lanzar nuevos ataques desde él.
[ ... ]
¿Por qué resulta fundamental implementar una solución EDR en los negocios?
05/02/2024En la última década, hemos presenciado un drástico “paso cuántico” en los métodos de ciberamenazas los cuales son cada vez más complejos. Por ello, ya no resulta eficiente contar solamente con un antivirus y firewall, pues se requiere de otras soluciones complementarias capaces de detectar y responder a tiempo contra estas amenazas cibernéticas. Es aquí donde irrumpen los sistemas de protección EDR los cuales tienen la capacidad de detectar y actuar a tiempo cuando surge alguna ciber incidencia que amenace la integridad de la organización. Analicemos a continuación este interesante y útil tema. ¿Cuál es la solución EDR y cómo funciona? Las herramientas de detección y respuesta de terminales (EDR por sus siglas en inglés) tienen como objetivo fundamental supervisar y detectar amenazas potenciales en tiempo real a fin de aplicar una respuesta eficaz ante esa incidencia. Si bien su uso se puede aplicar a cualquier sistema y dispositivo informático, estas soluciones se utilizan comúnmente en estaciones de trabajo y servidores. Su funcionamiento básicamente consiste en: Se recopilan anónimamente los datos generados, programas ejecutados e inicios de sesión de los ordenadores protegidos. Toda esta información se envía a una plataforma central. Usualmente, esta plataforma es una nube, aunque dependiendo de la empresa y sus requerimientos, la misma puede estar de forma local e interna o en una nube mixta. Los datos se analizan y se procesan empleando funcionalidades basadas en IA y se comparan las actividades con ejemplos de ataques a fin de detectar posibles amenazas Si se detecta una posible amenaza, el sistema identifica el o los ordenadores posiblemente afectados y notifica a los equipos de seguridad informática. También y dependiendo de la configuración, estos sistemas pueden actuar de manera automatizada para efectuar la acción requerida. Generalmente, el sistema EDR aísla estos dispositivos de la red a fin de evitar propagaciones. Estos datos y la acción efectuada se almacenan como ejemplos de ataques a fin actuar rápidamente si hay una reincidencia de amenaza de seguridad usando esa misma táctica ¿Por qué utilizar una solución de seguridad EDR? Detección y respuesta a amenazas en tiempo real Las soluciones EDR continuamente monitorean y detectan amenazas en tiempo real en todos los dispositivos finales a los que se le asignan. Al recopilar y analizar datos de los dispositivos finales, las soluciones EDR pueden identificar indicadores de compromiso (IOC), comportamiento anómalo y patrones de ataque conocidos. De esta manera, no solo notifica a los equipos de seguridad o aplica la corrección de manera automatizada, sino que además, aprende estos comportamientos. Un estudio realizado por el Instituto Ponemon encontró que las organizaciones que implementaron soluciones EDR experimentaron una reducción del 51 % en el tiempo necesario para detectar y responder a incidentes de seguridad. Esto no solo reduce el daño potencial causado por los ataques, sino que también mejora las capacidades generales de respuesta a incidentes de las organizaciones. Visibilidad de endpoints y análisis forense La visibilidad de los terminales es vital para comprender la postura de seguridad de los dispositivos de una organización. Las soluciones EDR brindan visibilidad detallada de las actividades de los terminales, incluidas modificaciones de archivos, conexiones de red y ejecuciones de procesos. Esta visibilidad permite a los equipos de seguridad investigar incidentes, llevar a cabo análisis forenses e identificar la causa raíz de las incidencias. Por ejemplo, en un ciberataque a una institución financiera, una solución EDR puede detectar conexiones de red sospechosas que se realizan desde una computadora portátil de un empleado. Con ello, el equipo de seguridad puede investigar rápidamente el incidente, identificar la presencia de malware y bloquear el acceso adicional a datos confidenciales. Sin un EDR, un ataque de este tipo suele pasar desapercibido, lo que provoca importantes daños financieros y de reputación. Caza de amenazas desconocidas Las soluciones EDR no solamente detectan amenazas conocidas, sino que también permiten la búsqueda proactiva de amenazas desconocidas. Los equipos de seguridad pueden utilizar herramientas EDR para buscar indicadores de compromiso, hacer investigaciones en profundidad e identificar amenazas potenciales, las cuales pueden haber evadido los controles de seguridad tradicionales. Al contar con funcionalidades basadas en IA sobre amenazas y el análisis de comportamiento, las soluciones EDR pueden identificar amenazas emergentes. Según una encuesta del Instituto SANS, las organizaciones que utilizan soluciones EDR informaron de una mejora en torno al 63 % en su capacidad para detectar amenazas previamente desconocidas. Esto resalta la importancia del EDR para mejorar las capacidades generales de detección de amenazas de una organización. Respuesta y arreglos automatizados Las soluciones EDR ofrecen capacidades de respuesta y solución automatizadas, lo que permite a los equipos de seguridad contener y mitigar rápidamente las amenazas. Al definir acciones de respuesta preconfiguradas, como aislar un punto final infectado o finalizar procesos maliciosos, las soluciones EDR pueden minimizar el tiempo y el esfuerzo necesarios para responder a los incidentes. Por ejemplo, si una solución EDR detecta un ataque de ransomware, puede aislar automáticamente el punto final afectado de la red, evitando la propagación de la infección a otros dispositivos. Esta rápida respuesta reduce el impacto potencial del ataque, limitando la pérdida de datos y minimizando el tiempo de inactividad. Reduciendo las situaciones de falsos positivos Contextualizar las alertas Proporcionar contexto adicional a las alertas puede ayudar a los equipos de seguridad a comprender mejor la naturaleza y la gravedad de cada alerta. Las soluciones EDR se pueden configurar para incluir información relevante, como el punto final afectado, el usuario, el proceso y las conexiones de red. Este contexto permite a los analistas priorizar e investigar las alertas de manera más eficiente, reduciendo los falsos positivos y mejorando la respuesta a incidentes. Incorporar inteligencia sobre amenazas La integración de fuentes de inteligencia sobre amenazas en las soluciones EDR mejora su capacidad para identificar y priorizar amenazas reales. Al aprovechar información actualizada sobre indicadores maliciosos conocidos, las organizaciones pueden reducir los falsos positivos y centrar sus esfuerzos en detectar y responder a amenazas genuinas. Implementar análisis del comportamiento del usuario El análisis del comportamiento del usuario (UBA) puede ayudar a diferenciar entre las actividades normales del usuario y el comportamiento sospechoso. Al establecer patrones básicos de comportamiento de los usuarios, las organizaciones pueden identificar anomalías y amenazas potenciales con mayor precisión. UBA también se puede utilizar para detectar amenazas internas e incidentes de compromiso de cuentas, mejorando aún más la eficacia de las soluciones EDR.
[ ... ]
Una organización sin ánimo de lucro pierde las grabaciones de sesiones con 120 hombres acusados de violencia doméstica
23/11/2021La organización irlandesa MOVE –cuyas siglas significan ‘hombres superando la violencia’– perdió recientemente las grabaciones en video de sus sesiones con 120 hombres acusados de violencia machista y violencia doméstica. Estas grabaciones se encontraban almacenadas en una serie de tarjetas SD y mostraban a los hombres abusivos expresando sus sentimientos hacia sus ex parejas o sus hijos, su manera de percibir sus anteriores agresiones y, en definitiva, todo el proceso de rehabilitación psicológica de los atacantes. MOVE recibió una multa de 1500 euros por no haber sabido proteger adecuadamente los datos privados de los agresores que tenía a su cargo, una cifra relativamente baja en comparación con otras multas impuestas por filtraciones similares, que pueden alcanzar los 20 millones de euros o el 4% de los beneficios de la entidad multada. La pérdida de estos datos –que ahora pueden estar en manos de cualquier persona, ya que se desconoce quién realizó el ciberataque– ha vuelto a poner sobre la mesa el debate de la protección de datos en Irlanda, y está teniendo también sus ecos en España. Filtraciones más comunes de lo que parece Las filtraciones de este tipo no son nuevas y, de hecho, son más frecuentes de lo que podría parecer a simple vista. Grandes empresas como Facebook o Twitter han sufrido filtraciones con los datos personales de millones de sus usuarios. Muchos de estos datos todavía se encuentran en circulación en grandes recopilaciones de credenciales de acceso que pueden conseguirse fácilmente en la dark web y en otros foros similares. Algunas de las medidas necesarias para proteger nuestros datos privados en la red incluyen el uso de herramientas antimalware, gestores de contraseñas y una VPN que es un servicio con el que es posible encriptar de forma robusta todos los datos que enviamos y recibimos a través de internet. Sin embargo, estas medidas necesitan contar con una contraparte en las herramientas de ciberseguridad de las plataformas online con las que operamos cada día, ya que de otro modo se pueden producir filtraciones que afecten a nuestra privacidad. Las redes sociales en el ojo del huracán Debido a que redes sociales como Facebook se encuentran en el centro de la polémica día sí y día también por problemas como la adicción, las fake news, el discurso del odio y la salud mental de las personas que las utilizan, los problemas de ciberseguridad presentes en sus plataformas pueden pasar desapercibidos en las noticias. Sin embargo, hace solo unos meses Facebook sufrió una filtración de más de 533 millones de cuentas, con lo que los datos de todas esas personas quedaron expuestos y a disposición de los hackers en internet. Debido a toda la información que los usuarios comparten en las redes sociales, incluyendo mensajes privados, fotografías personales, comentarios políticos o incluso su ubicación, una filtración de este tipo puede resultar tremendamente dañina para su bienestar e incluso para la seguridad de sus cuentas bancarias, ya que con frecuencia estas filtraciones también hacen públicas las credenciales de acceso o las tarjetas de crédito de los usuarios afectados. El alcance potencial de las filtraciones Una filtración producida en una sola plataforma online, se trata de una red social o no, puede causar daños muy severos para los usuarios afectados no solo por el contenido en sí que se filtra a los hackers, sino porque puede darles acceso a docenas de otras cuentas de los usuarios cuyas credenciales de acceso se hagan públicas. Bases de datos de contraseñas como RockYou2021 –una extensa recopilación de credenciales hackeadas publicada el pasado verano, y hasta el momento la más grande de la historia– permiten a los hackers probar los nombres de usuario y contraseñas publicados en ellas para acceder a cuentas online en todo tipo de plataformas, incluyendo Amazon, Spotify, Gmail o PayPal. Si un usuario utiliza la misma contraseña en todas estas cuentas, un hacker puede acceder fácilmente a ellas y a los datos de la tarjeta de crédito almacenados en sus servidores, con lo que le resultaría sencillo vaciar las cuentas bancarias de las víctimas. ¿Cómo proteger tus datos privados? Para proteger tus datos privados a la hora de navegar por internet y minimizar el posible impacto de este tipo de filtraciones, hay varias medidas de ciberseguridad que debes adoptar. Algunas de las más importantes son: Las contraseñas únicas. Como comentábamos antes, uno de los principales riesgos de las filtraciones de datos en internet pasa por la duplicidad de contraseñas. Cuando un usuario utiliza la misma contraseña para todas sus cuentas, una filtración producida en una sola de estas plataformas puede exponer sus datos en todas ellas. Por eso es fundamental utilizar contraseñas únicas para cada cuenta que utilicemos en internet. Los gestores de contraseñas. Hoy en día es frecuente tener docenas de cuentas distintas en internet, así que resulta casi imposible memorizar las contraseñas para todas ellas. Los gestores de contraseñas pueden ayudarnos a almacenar en una bóveda encriptada todas nuestras claves, de forma que estarán lejos del alcance de los hackers. Las herramientas anti-malware. Instalar una herramienta anti-malware como un antivirus profesional no solo nos protegerá frente a posibles infecciones informáticas, sino que también nos puede avisar en el caso de que entremos en alguna página web conocida por suponer una amenaza en forma de phishing. Las VPNs. Las VPNs son una de las herramientas fundamentales para encriptar nuestro tráfico en internet, y nos permiten navegar de forma segura incluso a través de redes Wi-Fi vulnerables. De esta manera se pueden realizar pagos online de forma confidencial, manteniendo los datos de nuestras tarjetas de débito o crédito lejos del alcance de los hackers.
[ ... ]