Archivos de la categoría: Noticia

Esta semana en ciberseguridad – Julio, Semana 3

Falsa aplicación de Zoom fue abandonada por el nuevo APT “LuminousMoth”

Primero viene el spear-phishing, la siguiente descarga de DLL maliciosos que se propagan a USB extraíbles, la caída de Cobalt Strike Beacon y luego, a veces, una aplicación de Zoom falsa.

Los investigadores han detectado uno extraño: un actor de amenazas recientemente identificado vinculado a China que primero ataca en masa, pero luego selecciona cuidadosamente, solo unos pocos objetivos para atacar con malware y exfiltración de datos.

Los investigadores de Kaspersky dijeron en un artículo del miércoles que habían nombrado al actor de amenazas avanzadas (APT) LuminousMoth.
La campaña, que se remonta al menos a octubre pasado y se dirige primero a Myanmar y ahora principalmente a Filipinas, es a gran escala y muy activa.

Eso no es infrecuente. Lo atípico de la campaña LuminousMoth es que no solo es llamativa, también está dirigida con “precisión casi quirúrgica”, dijeron.

El ruido de un ataque de gran volumen es una señal de alerta para los investigadores. Por supuesto, eso es una desventaja para los hackers, dado que arruina su distracción. Los analistas sugirieron una posible razón para la ostentación: podría tener que ver con la forma en que se propaga LuminousMoth. Es decir, se copia a sí mismo en unidades USB extraíbles.

FUENTE: https://threatpost.com/zoom-apt-luminous-moth/167822/

Cinco reglas críticas de seguridad de contraseñas que sus empleados están ignorando

Según el Informe de negligencia de contraseñas, muchos trabajadores remotos no siguen las mejores prácticas para la seguridad de estas.

En febrero de 2021, Keeper encuestó a 1,000 empleados en los EE. UU. Sobre sus hábitos de contraseña relacionados con el trabajo, y descubrió que muchos trabajadores remotos están dejando que la seguridad de las contraseñas se quede en el camino.

Aquí hay 5 reglas críticas de seguridad de contraseñas que están ignorando.

1 – Utilice siempre contraseñas seguras

Las contraseñas seguras tienen al menos ocho caracteres (preferiblemente más) y consisten en cadenas aleatorias de letras, números y caracteres especiales. Las contraseñas nunca deben incluir palabras del diccionario, que son fáciles de adivinar, o detalles personales, que los ciberdelincuentes pueden eliminar de los canales de redes sociales

  • El 37% de los que respondieron a la encuesta de Keeper dijeron que habían usado el nombre de su empleador como parte de sus contraseñas relacionadas con el trabajo.
  • El 34% ha utilizado el nombre o la fecha de nacimiento de su pareja.
  • 31% ha utilizado el nombre o la fecha de nacimiento de su hijo

2 – Utilice una contraseña única para cada cuenta

Algunas cosas nunca deben reciclarse, como las contraseñas. Cuando los empleados reutilizan contraseñas en todas las cuentas, aumentan en gran medida el riesgo de que su empleador sea violado

Desafortunadamente, el 44% de los encuestados de Keeper admiten que reutilizan contraseñas en cuentas personales y laborales.

3 – Almacene todas las contraseñas de forma segura, con cifrado completo

El uso de una contraseña única y segura para cada cuenta es solo un punto de partida. Los empleados también necesitan almacenar sus contraseñas de forma segura. La encuesta de Keeper demostró que no están haciendo eso

  • El 57% de los encuestados escribe sus contraseñas en notas adhesivas, y el 62% escribe sus contraseñas en un cuaderno o diario, al que puede acceder cualquier persona que viva o visite la casa.
  • El 49% almacena sus contraseñas en un documento guardado en la nube, el 51% usa un documento almacenado localmente en su computadora y el 55% las guarda en su teléfono. Debido a que estos documentos no están encriptados, si un ciberdelincuente viola la unidad en la nube, la computadora o el teléfono móvil, puede abrir el archivo de contraseña del empleado.

4 – Nunca comparta contraseñas relacionadas con el trabajo con personas no autorizadas

Las contraseñas de trabajo son información comercial confidencial que los empleados nunca deben compartir con nadie fuera de la organización, ni siquiera con sus cónyuges. La encuesta de Keeper reveló que el 14% de los trabajadores remotos han compartido contraseñas relacionadas con el trabajo con su cónyuge o pareja, y el 11% las ha compartido con otros miembros de la familia.

5 – El uso compartido de contraseñas en el lugar de trabajo está bien, pero solo si se hace de forma segura, con cifrado completo de un extremo a otro

Las contraseñas compartidas en el lugar de trabajo se pueden hacer de manera segura si los empleados comparten contraseñas utilizando un método seguro, y las contraseñas se comparten solo con partes autorizadas. Sin embargo, la encuesta de Keeper descubrió que el 62% de los encuestados comparten contraseñas a través de correos electrónicos o mensajes de texto no cifrados, que pueden ser interceptados en tránsito.

FUENTE: https://thehackernews.com/2021/07/five-critical-password-security-rules.html

Esta semana en ciberseguridad – Julio, Semana 2

La campaña de Ransomware más grande de la historia, lanzada este fin de semana

Resumen: El presidente Biden ha dirigido “todos los recursos del Gobierno para ayudar en respuesta” a un ataque de REvil Ransomware que podría haber afectado a 1.000 empresas a través de sus proveedores de servicios de TI este fin de semana.

Qué hacer: Dígale a sus colegas que está monitoreando la Brecha del tipo Kaseya. Tenga en cuenta que es poco probable que afecte a su empresa, pero brinda la oportunidad de reflexionar sobre la resiliencia operativa y la ciberseguridad en todos sus proveedores.

Esta brecha probablemente no perjudicará a su empresa. Existe una posibilidad muy pequeña (2%) de que su empresa resulte perjudicada porque un proveedor clave con que tenga su servicio de soporte de TI como servicio Administrado (MSP) y utilice el software de Kaseya haya sido afectado.

Tenga en cuenta que REvil no parece estar robando ni publicando datos de las empresas que piratean a través de Kaseya, solo cifrando archivos.

Inconveniente: en Suecia, millones de personas no pudieron comprar comida, petróleo, medicinas o tickets de tren con efectivo. Grandes empresas como Coop, St1 Energy y Swedish Rail, fueron afectadas con el Ransomware REvil por sus proveedores de Servicios Administrados (MSPs) que soportaban sus departamentos de TI.

Causa principal: el Ransomware REvil fue enviado a mas de 1.000 Empresas a través de sus proveedores de servicios administrado (MSP), estos usaban una version de software afectada de Kaseya “Virtual System Administration” (VSA) para soportar a sus clientes de TI.

El software VSA de Kaseya fue secuestrado previamente a través de una falla de día cero el Viernes 2 de Julio, que fue reportada a Kaseya por Dutch Cyber Authorities pero no a tiempo para prevenir el secuestro.

Aprendizaje: Cualquier brecha en la cadena de suministro de una compañía es una oportunidad para que los ejecutivos reflexiones de la sensibilidad de su seguridad de la información en toda la cadena. La brecha de Kaseya es similar a la the SolarWinds y Microsoft Exchange y todas ellas fueron anticipadas por SecurityScorecard.

Los hackers de Magecart ocultan los datos de tarjetas de crédito robadas en imágenes para una exfiltración evasiva

Los actores de delitos cibernéticos que forman parte del grupo Magecart se han aferrado a una nueva técnica para ocultar el código de malware dentro de los bloques de comentarios y codificar los datos de tarjetas de crédito robadas en imágenes y otros archivos alojados en el servidor, demostrando una vez más cómo los atacantes mejoran continuamente sus cadenas de infección. para escapar de la detección.

“Una táctica que emplean algunos actores de Magecart es el volcado de los detalles de las tarjetas de crédito pasadas en archivos de imagen en el servidor [para] evitar levantar sospechas”, “Estos se pueden descargar posteriormente mediante una simple solicitud GET en una fecha posterior”.

dijo el analista de seguridad de Sucuri, Ben Martin, en un artículo.

MageCart es el término general que se le da a varios grupos de ciberdelincuentes que se dirigen a sitios web de comercio electrónico con el objetivo de saquear números de tarjetas de crédito inyectando skimmers maliciosos de JavaScript y vendiéndolos en el mercado negro.

Fuente: https://thehackernews.com/2021/07/magecart-hackers-hide-stolen-credit.html

Esta semana en ciberseguridad – Julio, Semana 1

Microsoft advierte sobre un defecto crítico de “PrintNightmare” que se está explotando <<in-the-Wild>>

Microsoft confirmó oficialmente el jueves que la vulnerabilidad de ejecución remota de código (RCE) “PrintNightmare” que afecta a Windows Print Spooler es diferente del problema que la compañía abordó como parte de su actualización Patch Tuesday lanzada a principios de este mes, al tiempo que advierte que ha detectado intentos de explotación dirigidos a la falla.

La compañía está rastreando la debilidad de la seguridad con el identificador CVE-2021-34527.

“Existe una vulnerabilidad de ejecución remota de código cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados”.

“Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos”

dijo Microsoft en su aviso.

“Un ataque debe involucrar a un usuario autenticado que llame a RpcAddPrinterDriverEx ()”.

agregó la firma con sede en Redmond.

El reconocimiento se produce después de que investigadores de la empresa de ciberseguridad Sangfor, con sede en Hong Kong, publicaran un análisis técnico profundo de una falla de Print Spooler RCE en GitHub, junto con un código PoC en pleno funcionamiento, antes de que fuera eliminado apenas unas horas después de que subió.

Fuentehttps://thehackernews.com/2021/07/microsoft-warns-of-critical.html

CISA ofrece una nueva mitigación para PrintNightmare Bug

CERT insta a los administradores a deshabilitar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen, mientras que Microsoft intenta aclarar la falla de RCE con una nueva asignación de CVE.

El gobierno de los EE. UU. Ha intervenido para ofrecer una mitigación para una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio Windows Print Spooler que puede no haber sido completamente parcheado por el esfuerzo inicial de Microsoft para solucionarlo.

Para mitigar el error, denominado PrintNightmare, el Centro de Coordinación CERT (CERT / CC) ha publicado un VulNote para CVE-2021-1675 instando a las administraciones del sistema a deshabilitar el servicio Windows Print Spooler en los controladores de dominio y sistemas que no imprimen, la infraestructura de ciberseguridad. and Security Administration (CISA) dijo en un comunicado el jueves. CERT / CC es parte del Instituto de Ingeniería de Software, un centro de investigación financiado con fondos federales y operado por la Universidad Carnegie Mellon.

Fuentehttps://threatpost.com/cisa-mitigation-printnightmare-bug/167515

TrickBot mejora su módulo troyano bancario

Después de centrarse casi exclusivamente en la entrega de ransomware durante el año pasado, los cambios de código podrían indicar que TrickBot está volviendo al juego del fraude bancario.

El troyano TrickBot está agregando capacidades de hombre en el navegador (MitB) para robar credenciales bancarias en línea que se asemejan a Zeus, el primer troyano bancario, dijeron los investigadores, lo que podría indicar una avalancha inminente de ataques de fraude.

TrickBot es una amenaza modular sofisticada (y común) conocida por robar credenciales y entregar una variedad de ransomware de seguimiento y otro malware. Pero comenzó como un troyano bancario puro, que recolectaba credenciales bancarias en línea al redirigir a los usuarios desprevenidos a sitios web de imitación maliciosos.

Según los investigadores de Kryptos Logic Threat Intelligence, esta funcionalidad se lleva a cabo mediante el módulo de inyección web de TrickBot. Cuando la víctima intenta visitar una URL de destino (como un sitio bancario), el paquete de inyección web TrickBot realiza una inyección web estática o dinámica para lograr su objetivo, como explicaron los investigadores:

“El tipo de inyección estática hace que la víctima sea redirigida a una réplica controlada por el atacante del sitio de destino previsto, donde luego se pueden recolectar las credenciales”.

“El tipo de inyección dinámica reenvía de forma transparente la respuesta del servidor al servidor de comando y control TrickBot (C2), donde la fuente se modifica para contener componentes maliciosos antes de devolverse a la víctima como si procediera del sitio legítimo”.

dijeron, en una publicación del jueves Kryptos Logic Threat Intelligence.

En la versión actualizada del módulo, TrickBot ha agregado soporte para “configuraciones de inyección web al estilo Zeus”, según Kryptos Logic, una forma adicional de inyectar código malicioso de forma dinámica en los destinos de los sitios bancarios objetivo.

Fuentehttps://threatpost.com/trickbot-banking-trojan-module/167521/

Esta semana en ciberseguridad – Junio, Semana 4

Reduzca el riesgo empresarial arreglando 3 puntos críticos de seguridad entre los EndPoint y la nube

Las aplicaciones empresariales solían vivir de forma segura en los centros de datos y los empleados de oficina conectados a las redes internas mediante computadoras portátiles o de escritorio administradas por la empresa. Y los datos estaban rodeados por un perímetro amurallado para mantener todo a salvo.

Todo eso cambió en los últimos 18 meses. Las empresas y los empleados tuvieron que adaptarse rápidamente a la tecnología en la nube y al trabajo remoto. La nube brindó a las empresas la agilidad para responder más rápidamente al cambio y la escala para adaptarse a un crecimiento rápido. El trabajo remoto impulsó la productividad al permitir a los empleados acceder a los datos de la nube desde cualquier lugar y con cualquier dispositivo.

Minimizar el riesgo empresarial

(1) Visibilidad completa: el primer paso para proteger sus datos es saber qué está sucediendo. Esto requiere visibilidad de los niveles de riesgo de los usuarios, dispositivos, aplicaciones y datos. La visibilidad también juega un papel clave para garantizar el cumplimiento de las regulaciones de privacidad de datos.
(2) Información unificada: su infraestructura de seguridad debe integrarse en una plataforma unificada para administrar políticas, detectar ciberamenazas y realizar investigaciones concluyentes de incidentes. Esto le brindará información útil desde los EndPoint hasta la nube.
(3) Acceso seguro para potenciar la productividad: para proteger los datos sin obstaculizar la productividad, es fundamental hacer cumplir el acceso Zero Trust que tiene la inteligencia para comprender y adaptarse a los cambios continuos en los usuarios, dispositivos, ubicaciones, aplicaciones y datos.

Para lograr la visibilidad y el control de acceso desde el EndPoint a la nube, las organizaciones requieren capacidades de seguridad similares a las del perímetro pero ahora entregadas desde la nube. En 2019, Gartner presentó Secure Access Service Edge (SASE), un marco que aborda estos desafíos y exige la integración de múltiples soluciones de seguridad en una arquitectura unificada.

Desde entonces, multitud de proveedores han integrado varias herramientas de seguridad en sus productos SASE. Algunos ofrecen seguridad en la nube, pero no seguridad de endpoints ni evaluación continua de riesgos. Otros tienen controles de acceso básicos, pero no analizan el comportamiento de los usuarios, no detectan malware sobre la marcha ni identifican brechas de cumplimiento. Y muchos no incluyen protecciones de datos avanzadas que cifran datos, correos electrónicos o archivos confidenciales y hacen cumplir reglas estrictas de intercambio de datos.

La interpretación de SASE de cada proveedor debe ser examinada cuidadosamente para garantizar que se integren y aborden de manera adecuada todos los aspectos críticos de cómo opera su organización ahora con trabajo remoto o híbrido. Este moderno enfoque de seguridad, con SASE y Zero Trust como piedras angulares, protegerá los datos desde los EndPoint hasta la nube al proporcionar una visibilidad fundamental de los dispositivos, usuarios, redes, privilegios de acceso y aplicaciones en la nube.

Fuente: https://thehackernews.com/2021/06/reduce-business-risk-by-fixing-3.html

Google amplía el soporte para el seguimiento de cookies de terceros hasta 2023

Google anunció planes para retrasar el lanzamiento de la iniciativa de desaprobar las cookies de terceros en el navegador Chrome desde principios de 2022 hasta finales de 2023, retrasando el proyecto en casi dos años.

“Si bien hay un progreso considerable con esta iniciativa, está claro que se necesita más tiempo en todo el ecosistema para hacerlo bien”

dijo el jueves el director de ingeniería de privacidad de Chrome, Vinay Goel.

Al ganar tiempo adicional, el gigante de las búsquedas dijo que espera llegar a un consenso sobre las soluciones adecuadas, al mismo tiempo que se relaciona con los reguladores y permite a los editores y a la industria de la publicidad migrar sus servicios a tecnologías que preservan la privacidad que impiden “formas alternativas de seguimiento y desalentar el surgimiento de enfoques encubiertos como fingerprinting”.

La nueva fecha llega poco después de un nuevo revés regulatorio en la Unión Europea, luego de que la Comisión Europea abriera una amplia investigación sobre el negocio de publicidad digital de Google para examinar sus “planes para prohibir la colocación de ‘cookies’ de terceros en Chrome. y reemplácelos con el conjunto de herramientas ‘Privacy Sandbox’, “y evalúe sus” efectos en la publicidad gráfica en línea y en los mercados de intermediación de publicidad gráfica en línea “

Las cookies de seguimiento de terceros han surgido como un punto de preocupación por la privacidad, ya que la tecnología permite a los especialistas en marketing y las plataformas publicitarias monitorear la actividad de los usuarios en línea mientras saltan de un sitio web a otro con fines de orientación por comportamiento. Safari de Apple y Firefox de Mozilla ya los bloquean por defecto.

Fuente: https://thehackernews.com/2021/06/google-extends-support-for-tracking.html

Los usuarios de My Book Live se despiertan con dispositivos borrados, ataques activos de RCE

“Estoy totalmente jodido”, se lamentó un usuario después de encontrar años de datos bombardeados. Western Digital recomendó desconectar los dispositivos de almacenamiento NAS lo antes posible: hay un exploit.

Si aún no lo ha hecho, deje de leer y desconecte su dispositivo de almacenamiento My Book Live, para que no se una a las filas de aquellos que se despertaron el jueves y descubrieron que se habían borrado años de datos en dispositivos de todo el mundo.

El dispositivo de almacenamiento My Book de Western Digital está diseñado para consumidores y empresas. Por lo general, se conecta a las computadoras a través de USB. El modelo específico involucrado en el incidente de demolición de datos se conoce como My Book Live: un modelo que utiliza un cable Ethernet para conectarse a una red local. Los usuarios pueden acceder de forma remota a los archivos y realizar cambios de configuración a través de la infraestructura en la nube de Western Digital.

Western Digital culpa a los borrados remotos, que han ocurrido incluso si los dispositivos de almacenamiento conectados a la red (NAS) están detrás de un firewall o enrutador, a la explotación de una vulnerabilidad de ejecución remota de comandos (RCE).

Fuente: https://threatpost.com/my-book-live-wiped-rce-attacks/167270/

Esta semana en ciberseguridad – Junio, Semana 3

Rusia prohíbe los servicios VyprVPN y Opera VPN por no cumplir con la solicitud de lista negra

El regulador ruso de telecomunicaciones y medios, Roskomnadzor (RKN), introdujo el jueves restricciones sobre la operación de los servicios VyprVPN y Opera VPN en el país.

“De acuerdo con el reglamento sobre la respuesta a las amenazas para eludir las restricciones de acceso a pornografía infantil, contenido suicida, pro-narcótico y otro contenido prohibido, se introducirán restricciones en el uso de los servicios VPN VyprVPN y Opera VPN a partir del 17 de junio de 2021”

Agencia Estatal Rusa

El organismo de control los describió como amenazas de acuerdo con el Decreto del Gobierno de la Federación de Rusia No. 127 del 12 de febrero, y agregó que las restricciones no afectarán a las empresas rusas que utilizan servicios VPN en procesos tecnológicos continuos.

El desarrollo se produce poco más de un mes después de que RKN enviara una solicitud a las empresas y organizaciones que utilizan los dos servicios VPN para informar al Centro de Monitoreo y Gestión de la Red Pública de Telecomunicaciones y buscar excepciones para evitar interrupciones en sus operaciones comerciales.

La agencia dijo que más de 200 procesos tecnológicos asociados con 130 empresas rusas están incluidos en las “listas blancas”.

Fuente: https://thehackernews.com/2021/06/russia-bans-vyprvpn-opera-vpn-services.html

Google lanza un nuevo Framework para prevenir ataques a la cadena de suministro de software

A medida que los ataques a la cadena de suministro de software surgen como un punto de preocupación a raíz de los incidentes de seguridad de SolarWinds y Codecov, Google propone una solución para garantizar la integridad de los paquetes de software y evitar modificaciones no autorizadas, llamado “Niveles de la cadena de suministro para artefactos de software” (SLSA, y se pronuncia “salsa”), el framework tiene como objetivo asegurar el desarrollo y la implementación de software, es decir, el flujo de trabajo de origen, compilación, publicación, y mitigar las amenazas surgen de la manipulación del código fuente, la plataforma de compilación y el repositorio de artefactos en cada eslabón de la cadena.

Google dijo que SLSA está inspirado en el propio mecanismo de ejecución interno de la compañía llamado Autorización Binaria para Borg, un conjunto de herramientas de auditoría que verifica la procedencia del código e implementa la identidad del código para asegurarse de que el software de producción implementado esté debidamente revisado y autorizado.

“En su estado actual, SLSA es un conjunto de pautas de seguridad que se pueden adoptar gradualmente y que se establecen por consenso de la industria”

Kim Lewandowski del equipo de seguridad de código abierto de Google y Mark Lodato de la autorización binaria para el equipo Borg

Fuente: https://thehackernews.com/2021/06/google-releases-new-framework-to.html

F5 Big-IP Vulnerable to Security-Bypass Bug

La falla de suplantación de KDC rastreada como CVE-2021-23008 se puede usar para omitir la seguridad de Kerberos e iniciar sesión en Big-IP Access Policy Manager o en la consola de administración.

El dispositivo Big-IP Application Delivery Services de F5 Networks contiene una vulnerabilidad de suplantación del centro de distribución de claves (KDC), revelaron los investigadores, que un atacante podría utilizar para superar las medidas de seguridad que protegen los Workloads sensibles.

Específicamente, un atacante podría aprovechar la falla (rastreada como CVE-2021-23008) para eludir la seguridad de Kerberos e iniciar sesión en Big-IP Access Policy Manager, según los investigadores de Silverfort. Kerberos es un protocolo de autenticación de red que está diseñado para proporcionar una autenticación sólida para aplicaciones cliente / servidor mediante el uso de criptografía de clave secreta. En algunos casos, el error también se puede usar para omitir la autenticación en la consola de administración de Big-IP, agregaron.

En cualquier caso, un ciberdelincuente podría obtener acceso sin restricciones a las aplicaciones de Big-IP, sin tener credenciales legítimas.

El impacto potencial podría ser significativo: F5 proporciona redes empresariales a algunas de las empresas de tecnología más grandes del mundo, incluidas Facebook, Microsoft y Oracle, así como a un tesoro de compañías Fortune 500, incluidas algunas de las instituciones financieras e ISP más grandes del mundo. .

Fuente: https://threatpost.com/f5-big-ip-security-bypass/165735/

WEBINAR Tenable&Guardicore

Resumen del Webinar

En este webinar vimos como dos herramientas Tenable, empresa Líder en el segmento de administración de vulnerabilidades basada en riesgos; y a Guardicore, la empresa de segmentación que está revolucionando el mercado del “Legacy Firewall”, pueden integrarse para aumentar en forma automática la capacidad de seguridad de los servicios críticos de tu entorno, sin tener que aumentar el esfuerzo de tu equipo.

Los temas que se abordaron fueron:

  • Cómo Tenable puede optimizar las prácticas de análisis de vulnerabilidades.
  • Cómo Guardicore ayuda a aumentar la seguridad al reducir la superficie de ataque en tus aplicaciones críticas.
  • Cómo obtener contexto para comprender mejor y reducir el riesgo cibernético.
  • Cómo simplificar y reforzar automáticamente las operaciones de seguridad mediante la integración entre soluciones.

Tópicos del Webinar

  • Bienvenida – hasta el minuto 2:28
  • Quien es Makros – hasta el minuto 4:04
  • Quien es Tenable – hasta el minuto 16:20
  • Demo Tenable – hasta el min 21:25
  • Quien es Guardicore – hasta el min 30:41
  • Demo Guardicore – hasta el min 36:20
  • Integración – hasta el min 46
  • Preguntas
Agradecimientos a @MarceloDiaz, Tenable: @luisberger, @mariobenedetti, Guardicore: @federicocastaneda, @bencontente

Como Identificar con Certeza y velocidad dispositivos comprometidos en la red interna

Resumen del Webinar

  1. Presentación de Helpsystems y Makros

Helpsystems es una empresa que tiene mas de 35 años en el mercado, con presencia a nivel mundial, mas de 1300 empleados en 25 oficinas y que representa distintos productos que ha ido adquiriendo en el tiempo

Makros, por su parte, es una empresa con sede en Santiago de Chile, con mas de 17 años en el mercado y con foco en ciberseguridad. Con una solida estructura que nos ha permitido liderar en innovación, tecnología y servicios, siempre en el marco de la seguridad de la información, seguridad cloud y riesgo operacional.

2. Presentacion de Core Network Insight

Como Detectar comportamientos sospechosos y que tipo de comportamiento se pueden presentar:

  • Comportamiento no humano
  • Domain Fluxing
  • Comando y Control (C&C) sobre canales Peer to peer (P2P)
  • DNS Tunneling
  • TOR (Dark Web)
  • Archivos Maliciosos
  • Sandboxing – Ejecución
  • C&C Request Headers

3. Demo

Core Network Insight funciona de 3 formas:

  • Analizando el comportamiento del tráfico de la red.
  • Analizando el contenido o datos útiles (payload) transmitidos
  • y finalmente, cruzando la información de la amenaza con información que maneja Core Network Insight o otras fuentes como VirusTotal

Tópicos abordados en la demo

  1. Inicio Demo: minuto 26
  2. Dashboard
  3. Activos
  4. Hunting
  5. Archivos
  6. Reportes

Agradecimientos a Helpsystems, @hernanTorres, @MarceloDiaz

Esta semana en ciberseguridad

Investigadores descubren malware para Linux que pasó desapercibido por 3 años

Un malware no documentado que apunta a sistemas Linux, con capacidades de puerta trasera, ha pasado desapercibido por 3 años, permitiendo a un actor malicioso extraer información de los sistemas informáticos infectados.

La información proviene de una muestra detectada el 25 de marzo, pero otras versiones previas habían sido subidas a VirusTotal desde Mayo del 2018. Se han encontrado cuatro muestras distintas del malware, ninguna de ellas siendo detectada por la mayoría de los sistemas anti-malware.

Conocido como RotaJakiro, está diseñado para ser dificil de detectar, encriptando sus comunicaciones con los servidores de comando y control, y soporta 12 funciones que permiten obtener metadatos del dispositivo, extraer información sensible, y ejecutar comandos y otros módulos indicados por el servidor de comando y control.

La verdadera intención de los atacantes, o sus objetivos, aún no son claros, pero algunos de los dominios vinculados a los servicios de comando y control tienen fechas de registro que data del 2015.

Fuente: https://thehackernews.com/2021/04/researchers-uncover-stealthy-linux.html

Hackers explotan vulnerabilidad en SonicWall para ataques ransomware

Un agresivo grupo de atacantes ha explotado la vulnerabilidad SonicWall en dispositivos VPN para diseminar una nueva versión de ransomware denominada FIVEHANDS.

El grupo, seguido por Mandiant como UNC2447, tomó ventaja de las diversas fallas que permiten a un autenticante ejecutar código remotamente en los dispositivos SSL-VPN SMA100, CVE-2021-20016

UNC2447 extorsiona a sus víctimas usando el ransomware, seguido de tácticas de presión a través de amenazas, y ofertas de venta de información en foros especializados.

La explotación de estas vulnerabilidades permite a un atacante acceder a credenciales e información de sesión, que le permiten directamente ingresar a la máquina vulnerada.

Fuente: https://thehackernews.com/2021/04/hackers-exploit-sonicwall-zero-day-bug.html

F5 Big-IP vulnerable a un bug de bypass de seguridad.

El sistema de F5 Networks, Big-IP Application Delivery Services contiene una vulnerabilidad que permitiría a un atacante saltarse las medidas de seguridad utilizadas para proteger trabajos sensibles.

Un atacante podría explotar la vulnerabilidad, conocida como CVE-2021-23008, para ingresar al manejador de políticas de acceso de Big-IP, evitando la seguridad Kerberos, en algunos casos incluso permitiendo acceso a la consola de administrador.

El impacto podría ser significativo, ya que F5 provee equipamiento de red para grandes compañías, como instituciones financieras globales o proveedores de internet.

F5 lanzó una actualización para su software, indicando que es importante instalar y monitorear constantemente la plataforma Kerberos para detectar comportamientos sospechosos.

Fuente: https://threatpost.com/f5-big-ip-security-bypass/165735/

Esta semana en ciberseguridad

Grupo REvil pide una recompensa de 50 millones de dólares a Apple por información de Quantas

El grupo REvil pide 50 millones de dólares como recompensa por los archivos robados de Quantas, un fabricante de hardware taiwanes víctima de un ataque, en el que información confidencial de diversos clientes de Quantas, incluyendo Apple, fue obtenida por los atacantes.

Desde el día 20 de abril en que Apple presentó su evento “Spring Loaded”, REvil ha solicitado a Quantas una recompensa por la información sustraída, pero en vista que Quantas se negó a pagar, han ido detrás de su cliente numero uno, filtrando diversos documentos confidenciales de los nuevos productos aún no lanzados, y a quien demandan esta suma antes del 1 de Mayo.

Quantas ensambla algunos de los productos de Apple, como Apple Watch, algunos Macbooks, y también Thinkpad de Lenovo.

REvil opera un negocio de ransomware-as-a-service, es decir, ofrecen soporte material a otros afiliados que se preocupan por los aspectos técnicos del ataque, y en donde los afiliados obtienen entre un 70 y 80 por ciento de las ganancias, y son quienes se encargan de la infección inicial, eliminar backups y robar los archivos, y REvil maneja las negociaciones, el pago, y desarrolla y distribuye el software encriptador.

Fuente: https://threatpost.com/revil-apple-ransomware-pay-off/165570/
https://therecord.media/ransomware-gang-tries-to-extort-apple-hours-ahead-of-spring-loaded-event/

Actualiza tu navegador Chrome lo antes posible

Google lanzó una actualización de seguridad urgente para su navegador Chrome en Windows, Mac y Linux, con 7 parches de seguridad, para uno de los cuales existe un ataque en curso en la red.

Conocido como CVE-2021-21224, esta falla se refiere al motor de JavaScript V8 y que fue reportado por Jose Martinez el 5 de Abril.

Este parche viene luego que el día 14 de Abril fuera publicado código de prueba de concepto explotando esta falla, por lo que se recomienda a los usuarios actualizar a la última version, entrando a Configuración > Ayuda > Acerca de Google Chrome

Fuente: https://thehackernews.com/2021/04/update-your-chrome-browser-immediately.html

Hackers explotan fallas 0-day en Pulse Secure para acceder a redes privadas corporativas

Una nueva falla descubierta en Pulse Connect Secure gateway, conocida como CVE-2021-22893, está siendo explotada y no hay un parche disponible aún.

Al menos dos atacantes han sido relacionados con una serie de intrusiones que apuntan a distintas organizaciones usando vulnerabilidades en Pulse Secure que permiten saltar la autenticación de dos pasos y entrar a redes corporativas.

Explotando diversas debilidades de Pulse Secure VPN, CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, y CVE-2021-22893, se cree que uno de los exploits recolectó credenciales luego utilizadas para moverse lateralmente, y luego para obtener persistencia, los atacantes usaron binarios modificados de Pulse Secure para habilitar la ejecución remota de código.

Se recomienda a los clientes de Pulse Secure estar atentos a las actualizaciones disponibles, y actualizar a PCS Server version 9.1R.11.4 cuando esté disponible/

Fuente: https://thehackernews.com/2021/04/warning-hackers-exploit-unpatched-pulse.html

Estudio de CETIUC nos posiciona por segundo año consecutivo como el Proveedor de Ciberseguridad mejor evaluado en nuestra categoría.

En Makros estamos felices y muy orgullosos, porque nuestras ganas de mejorar constantemente y dar siempre un mejor servicio se han vuelto un resultado patente por segundo año consecutivo, según el estudio que realiza el Centro de Estudios de Tecnologías de Información de la Pontificia Universidad Católica de Chile, CETIUC. Lo anterior, lo demuestra el benchmark de Evaluación de Proveedores de Ciberseguridad del ENCI (Estudio Nacional de Ciberseguridad) en donde nos posicionamos en 2021 como el Nº1 de nuestra categoría. 

El estudio está enfocado en recoger la opinión del principal responsable de Ciberseguridad en las principales organizaciones del país. Por lo tanto, además de CISOs, contempla CIOs, quienes son los responsables principales de Ciberseguridad, de más de 80 empresas de alto nivel, como la Bolsa de Santiago, Alsacia & Express, Concha y Toro, Carozzi, Iansa, Gasco, Red de Salud Christus, Metlife, Enex, Masisa, entre muchas más.

Tasa de promotores netos

En el cuadrante de Índice de variables técnicas, Makros presenta la mejor evaluación respecto al resto de los proveedores con 83 puntos.

En esa misma categoría, en el Cumplimiento de Objetivos y Cumplimiento de Plazos, nuevamente figuramos con la mejor puntuación con 83 puntos.

Del mismo modo, en los cuadrantes de Competencias Técnicas y Experiencia de los Profesionales, Makros fue la empresa mejor evaluada en la categoría Implementación e Integración de tecnologías y plataformas de ciberseguridad

Inversión y costos: el Factor Makros:

Una variable crítica para los ejecutivos que respondieron este benchmark, es la Inversión vs Costos. Y en este factor de decisión, Makros es la empresa mejor evaluada. Se destaca que al comparar la Inversión y Costos respecto a variables como Cumplimiento de Objetivos y Competencias Técnicas, Makros vuelve a presentar la mejor evaluación respecto a su competencia en la categoría de Implementación e Integración de tecnologías y plataformas de ciberseguridad.

Probabilidad de Recomendación

Sin embargo, según la visión de Marcelo Díaz, CEO de Makros, es esta variable, la “Probabilidad de Recomendación” la que realmente guía la dirección de la compañía. Porque habla del lealtad real que tienen los clientes y el mercado, respecto a Makros.

“En estos cuadrantes, es donde realmente podemos sentirnos orgullosos por el esfuerzo y la dedicación de nuestro equipo. Donde realmente nos diferenciamos del resto”.

Efectivamente, somos los mejor evaluados en Variables Técnicas, Cumplimiento de Objetivos y de Plazos. Así como las competencias técnicas y, ciertamente, la experiencia de nuestros profesionales.

El estudio de este año fue realizado en Octubre 2020; y lo puedes revisar en el link de la CETIUC: https://www.cetiuc.com/benchmarks/user/login

(Por ahora, disponible exclusivamente para suscriptores y para quienes participaron de él)

CETIUC realiza los benchmarks que componen el ENTI según las metodologías que se describen en detalle en cada uno de ellos. Sus resultados se basan en la evaluaciones que realizan los CIOs para fines informativos, y no implican ninguna garantía explicita o implícita, por las cuales CETIUC pueda ser responsabilizado. ENTI no sugiere u orienta la selección de ningún proveedor, según las calificaciones que estos obtengan de las evaluaciones que realizan los CIOs. Registro de Propiedad Intelectual N°A-294086.-La Ley N°17.336 sobre Propiedad Intelectual prohíbe el uso de obras protegidas sin la autorización expresa del titular del derecho de autor. Cualquier forma de reproducción, distribución, comunicación publica o transformación de esta obra solo puede ser realizada con la autorización de su titular.