Gobierno de Estados Unidos cree que Corea del Norte estuvo detrás de WannaCry

Categorías relacionadas:

WannaCry-leccion-cios

El ataque ransomware más famoso de la historia, WannaCry, ya tiene culpable, según el Gobierno de los Estados Unidos: Corea del Norte. Así lo ha indicado al diario New York Times el Consejero de Seguridad Nacional, Thomas P. Bossert, quien ha culpado directamente a Kim Jong Un del caos que el virus ocasionó a gran parte del servicio sanitario de Reino Unido, entre otros objetivos públicos del país británico.

Leer más...



Crece el riesgo de ciberataques en todas las empresas

Categorías relacionadas:

BMC alertó a las empresas de todos los sectores sobre las amenazas de seguridad que son un problema más serio y frecuente que nunca, por eso es que últimamente los ciberataques mundiales como Wannacry y Petya han sido el tema principal entre la opinión pública, además de que nuevos puntos de vulnerabilidad potenciales siguen apareciendo.

Esto, aunado a que conforme las organizaciones migran datos a la nube, expanden su despliegue de computación móvil y acogen el Internet de las Cosas (IoT), los ejecutivos de seguridad confrontan ambientes de amenazas con más puntos digitales potenciales que proteger. En ese sentido, Ricardo Wolff, director general de BMC México, observa dos tendencias: computación móvil y de nube.

El riesgo en la Computación móvil

Muchos propietarios de dispositivos no ejecutan los pasos básicos para proteger sus dispositivos con passwords, número de identificación personal o patrón de seguridad. El riesgo se amplifica por la creciente popularidad de BYOD con los empleados usando sus dispositivos personales para trabajar.

“Ante esa situación, los cibercriminales han tomado nota y han puesto códigos maliciosos para introducir malware a aplicaciones móviles legítimas.”

“Por todas partes los cibercriminales están atacando hotspots de Wi-Fi con poca seguridad, que no están bajo el control de los administradores de red, se roban passwords o erigen puntos de acceso Wi-Fi que imitan las características de las redes confiables para engañar a los usuarios móviles y que se conecten a sus puntos de acceso”, señaló el ejecutivo.

El uso de la nube en las empresas

La nube se ha movido más allá de la fase de adopción inicial con más del 90 por ciento de las organizaciones utilizando ahora algún tipo de nube en sus operaciones. El cambio se nota particularmente entre grandes empresas que fueron lentas para aprovechar la nube.

“Lo cierto es que conforme la nube maneja más de nuestros datos, también se presenta como un blanco más visible para los ciberatacantes. Conforme la información se dispersa en ambientes híbridos que combinan nubes públicas, nubes privadas y sistemas propios, los intrusos están buscando vulnerabilidades, como es probar la seguridad de la nube con exploits como fallas de inyección SQL y campañas de arpones de phishing con lo que tratan de aprovecharse de prácticas pobres de seguridad del usuario, así como configuraciones erróneas de red que resultan en APIs e interfases mal diseñadas”, indicó Ricardo Wolff.

La seguridad es ahora responsabilidad de todos

El uso de novedosas herramientas y técnicas de los cibercriminales implican nuevas responsabilidades en toda la empresa para implementar las mejores prácticas. Esto significa que ahora depende de los CIO y CISO gestionar la seguridad en sus activos digitales con estrategias que satisfagan los objetivos completos del negocio mientras promueven también la seguridad como una responsabilidad social corporativa.

Todo ese panorama muestra que la falla en parchar vulnerabilidades conocidas en el tiempo acostumbrado (toma un promedio de 193 días instalar un parche que corrija vulnerabilidades conocidas) permite a los intrusos explotar el camino de menor resistencia y atacar vulnerabilidades no parchadas.

La gran desconexión

Mientras pelean con amenazas externas, las empresas son debilitadas por silos burocráticos que afectan negativamente la integración y coordinación entre Seguridad y Operaciones. De hecho, alrededor del 60% de los ejecutivos encuestados por BMC and Forbes Insights dijo que ambos grupos comprenden muy poco de los requerimientos de los otros, un obstáculo organizacional que resulta en una pobre colaboración. El resultado: sistema inactivo, excesivos costos laborales y retos para cumplir requerimientos de regulaciones y estar listos para auditoría.

La automatización es clave para atacar los problemas de seguridad

Los mayores riesgos que enfrentan las empresas son sobre las cosas de las que no saben, y necesitan ser dirigidas para reducir el riesgo desconocido de puntos ciegos. Las organizaciones tienen una limitada habilidad para tomar acción y arreglar vulnerabilidades, si no tienen procesos escalables e información contextualizada.

“No hay escasez de desconocimiento en esta era de transformación digital, sobre todo si se incrementa la presión a ambos equipos de seguridad y operaciones para comprender qué hay en sus ambientes en cualquier momento. Los equipos de seguridad necesitan ser provistos con visibilidad de los planes operacionales mientras que Operaciones necesita una vista accionable de información de amenazas basadas en nivel de riesgo”, finalizó Ricardo Wolff.

 

Leer más...



La iniciativa “No More Ransom” cumple un año

Categorías relacionadas:

no-more-ransom

Hace poco más de un año, la policía nacional holandesa, Europol, McAfee y Kaspersky Lab lanzaron la iniciativa No More Ransom, que hoy en día cuenta con más de 109 partners.

Desde el año 2012, el ransomware ha crecido, ya que los cibercriminales se van animando ante los beneficios y la facilidad de su puesta en marcha. La amenaza continúa evolucionando y dirigiéndose cada vez más a empresas que a los individuos.

El ataque de WannaCry a mediados del pasado mes de mayo afectó en los primeros días a más de 300,000 empresas de 150 países, paralizando infraestructuras críticas y negocios. Algunas organizaciones todavía están intentando recuperarse de los ataques de ExPetya del pasado 27 de junio.

El número total de usuarios que entre abril de 2016 y marzo de 2017 se han visto afectados por el ransomware creció en un 11,4%, pasando de 2,315,931 a 2,581,026 los usuarios afectados en todo el mundo.

“No More Ransom” incluye ahora 54 herramientas de descifrado, ofrecidas por nueve partners y abarcando 104 familias de ransomware. Hasta ahora, las herramientas disponibles han ayudado a descifrar más de 28,000 dispositivos. El portal ya ha recibido más de 1.3 millones de visitantes únicos. En mayo, durante la crisis de WannaCry, se registraron más de 150,000 visitas.

-IDG.es

Leer más...



Ciberataques se disparan 40% en el segundo trimestre del año

Categorías relacionadas:

Los grupos cibercriminales están en auge, el hackeo de elecciones, los filtraciones de herramientas de espionaje y los ataques masivos amparados por estados han elevado la ciberguerra al más alto nivel.

Según datos recogidos por PandaLabs, el laboratorio anti-malware de Panda Security, el pasado trimestre los ciberataques aumentaron un 40% en el segundo trimestre del año, cuando tuvieron lugar dos de los mayores ciberataques de la historia: WannaCry y GoldenEye/Petya, los cuales han marcado la actualidad cibercriminal.

El informe señala que las soluciones de seguridad tradicionales –aunque son eficaces en la protección contra el malware conocido– no son capaces de hacer frente a ataques donde se utilizan herramientas no maliciosas y otras técnicas avanzadas.

Este argumento gana fuerza en las últimas investigaciones hechas por la compañía, que presenta en su informe trimestral los principales casos los “tres meses más trepidantes en seguridad informática de los últimos años”, según la firma.

Quién es quién en vulnerabilidad

El Salvador y Brasil son los países con mayor probabilidad de sufrir un ataque de nuevas amenazas, con un 10.85% y 10.04%, respectivamente; en el extremo opuesto está Suecia, con un 0.42%.

grafica-Pandalabs1

Conclusiones: 

  • Los grupos de cibercriminales son tendencia: Shadow Brokers tiene previsto seguir publicando información robada a la NSA y la carrera ciberarmamentística está en plena ebullición, así que todos –y muy especialmente las empresas–­­ deben extremar las medidas de seguridad.
  • Usuarios domésticos y empresas, en el punto de mira: de todas las máquinas protegidas por alguna solución de Panda Security, el 3.44% de ellas ha sufrido ataques de amenazas desconocidas, lo que supone un incremento de casi el 40% respecto al trimestre anterior. Si miramos por tipo de cliente, los usuarios domésticos y pequeñas empresas tienen un 3.81% de ataques, mientras que en el caso de medianas y grandes empresas la cifra es del 2.28%. Los usuarios domésticos cuentan con muchas menos medidas de protección, por lo que se encuentran más expuestos a los ataques. Por eso, aunque los ambientes corporativos son más rentables, muchos de los ataques que en un entorno doméstico pueden funcionar son detenidos en las primeras instancias en redes corporativas.
  • Ciberguerra: el segundo trimestre del año ha registrado dos de los mayores ciberataques de la historia. WannaCry y Petya nos demuestran que hay gobiernos a los que no les tiembla la mano a la hora de llevar a cabo ciberataques y que todos los internautas podemos convertirnos en víctimas colaterales de sus acciones. WannaCry nos deja las siguientes cifras:

grafica-Pandalabs2

  • Los ataques de ransomware siguen en auge, y la única explicación es que hay víctimas que pagan. Si no se produjeran pagos, los ataques desaparecerían. Está en las manos de todos nosotros poner fin a estos ataques, ya sea protegiéndonos para evitar convertirnos en víctimas, o bien, tener siempre copias de seguridad de nuestra información para no pagar jamás un rescate.
  • “0-day” como los exploits más codiciados para lanzar ataques, ya que son desconocidos por el fabricante del software afectado y permite a los atacantes comprometer a los usuarios aunque tengan todo su software actualizado. En abril se descubrió una de estas vulnerabilidades que afectaba a diferentes versiones de Microsoft Word, y se sabe que al menos desde enero de este año había estado siendo utilizada por atacantes. El mismo mes de abril Microsoft publicó la actualización correspondiente para proteger a sus usuarios de Office.
  • IoT y Smart Cities: tener más conexiones a Internet aumentará la superficie de ataque, y también desembocará en consecuencias más graves y costosas. En junio pasado, WannaCry afectó en Australia 55 cámaras de tráfico ubicadas en semáforos y controles de velocidad después de que un trabajador de una empresa proveedora conectara una computadora infectada a la red donde éstas se encontraban. La policía tuvo que retirar 8,000 multas de tráfico después del incidente.

 

Leer más...



La mitad de las compañías afectadas por ExPetr (Petya) pertenecen al sector industrial

Categorías relacionadas:

sector-industrial

Según se desprende de un estudio realizado por Kaspersky Lab, la mitad de las compañías afectadas por el reciente ransomware Petya pertenecían al sector industrial. Esta nueva modalidad, a pesar de tener ciertas similitudes a PetrWrap (Petya modificado), finalmente se confirmó que no tenía ninguna conexión con el anterior ataque de WannaCry que se produjo apenas hace unas semanas.

Según la telemetría aplicada por la empresa de seguridad Kaspersky Lab, los ciberdelincuentes están modificando sus hábitos para lanzar vectores de ataque ransomware a organizaciones y empresas, en lugar de dirigirse hacia ambientes domésticos, como lo hacían antes. Así, las empresas industriales no son una excepción.

Las amenazas como ExPetr (Petya) son extremadamente peligrosas para las infraestructuras críticas y las empresas industriales porque el ataque puede afectar potencialmente a los sistemas de automatización y a los procesos de control considerados críticos. De este modo, los ataques se vuelven más violentos, dado que más allá de poder afectar a la producción de las organizaciones o las finanzas de cualquier negocio, también se extienden a la condición humana. Por sectores, muchas compañías industriales se habrían visto afectadas por el malware ExPetr (Petya), a las que le siguen empresas de petróleo y gas, y sectores de fabricación.

Así se propaga

El informe también detalla las formas de propagación empleadas por el ransomware dentro de una red local. De hecho, ExPetr (Petya) puede llegar a emplear dos modalidades: en un primer momento, cuando una de las PC es infectada, se propaga al resto valiéndose de modificación de los exploits de EternalBlue y EternalRomance. De esta forma, utiliza vulnerabilidades del servicio SMB v.1 de diversas versiones de Windows, comenzando por Windows XP hasta los actuales en los casos en los que los sistemas no se encuentran actualizados.

La otra modalidad para propagarse por la red es ejecutarse a través de herramientas PsExec y WMI. Utiliza credenciales de cuentas de usuario locales robadas mediante una herramienta maliciosa similar a Mimikatz.

El malware sobrescribe el sector de arranque MBR del disco duro de las computadoras que son víctimas, mostrando las instrucciones de pago para proceder con la desencriptación de la información. Dicho malware utiliza algoritmos criptográficos generados de forma segura con una clave de cifrado AES de 128 bits, independiente para cada archivo que se cifra, utilizando la clave pública RSA-2048 perteneciente a actos maliciosos.

El brote mundial de ExPetr se desencadenó el pasado 27 de junio. El malware atacó al menos 2,000 objetivos, en su mayoría organizaciones en Ucrania y Rusia. También se han registrado ataques en España, Polonia, Italia, Alemania, Reino Unido, China, Francia y otros países. El malware habría afectado unos 2,000 objetivos, en su mayoría organizaciones en Ucrania y Rusia.

Leer más...