Connect with us
Sophos analiza las tendencias de ciberseguridad 2021 Sophos analiza las tendencias de ciberseguridad 2021

Seguridad

¿Cuáles son las principales amenazas de ciberseguridad actuales?

Sophos analiza las tendencias de ciberseguridad 2021. ¿Cuáles son los mayores peligros, ciberataques, hackers, rasonware y virus cibernéticos?

Sophos, líder mundial en ciberseguridad de última generación, publicó su Informe de Amenazas 2021 de Sophos (Sophos 2021 Threat Report), en el que se explica cómo la propagación de ransomware y el cambiante comportamiento de los atacantes formará el panorama de amenazas y ciberseguridad hacia 2021.

El informe, escrito por los investigadores de seguridad de SophosLabs, entre otros expertos de la firma, proporciona una perspectiva integral sobre las amenazas y tendencias desde su inicio hasta el impacto que generan.

El reporte señala principalmente tres tendencias clave en cuestión de ciberseguridad hacia 2021:

  1. Se incrementará la brecha entre los operadores de ransomware

Las familias de ransomware más sofisticadas continuarán perfeccionando y cambiando sus técnicas, tácticas y procedimientos (TTP) para volverse más evasivas y de sofisticación similar a la de un estado-nación, dirigidas a organizaciones más grandes con demandas de rescate multimillonarias. En 2020, estas familias incluyen a Ryuk y RagnarLocker.

En el otro extremo del espectro, el de nivel más bajo, Sophos anticipa un aumento en el número de atacantes principiantes, que buscarán ransomware más simple, como Dharma, que les permite apuntar a presas más pequeñas pero en grandes volúmenes.

Otra tendencia será la «extorsión secundaria», en la que, junto al cifrado de datos, los atacantes roban y amenazan con publicar información sensible o confidencial si no se cumplen sus demandas.

En 2020, Sophos informó sobre Maze, RagnarLocker, Netwalker, REvil y otras familias de ransomware que están utilizando esta táctica.

El modelo de negocio de ransomware es dinámico y complejo. Durante 2020, Sophos vio una clara tendencia hacia la diferenciación de los adversarios en términos de sus habilidades y objetivos».

«Sin embargo, también hemos visto familias de ransomware que comparten las mejores herramientas y forman ‘cárteles’ de colaboración con estilo propio”, dijo Chester Wisniewski, científico investigador principal de Sophos.

“Algunos, como Maze parecían estar cerca de desaparecer, pero algunas de sus herramientas y técnicas resurgieron bajo la apariencia de un recién llegado ransomware llamado Egregor».

«El panorama de los ciberataques aborrece el vacío, por lo que si una amenaza desaparece, otra rápidamente ocupará su lugar».

«Es casi imposible predecir a dónde irá el ransomware el año próximo, pero es probable que las tendencias de ataque discutidas en el informe de amenazas de Sophos de este año continúen en 2021″.

  1. Amenazas como el malware básico requerirán de una atención más seria

Estas amenazas pueden parecer de bajo nivel, pero los Access Brokers o agentes de acceso inicial a los sistemas están diseñados para asegurar un punto de apoyo en un objetivo, recopilar datos esenciales y compartirlos con una red de comando y control que proporcionará más instrucciones para continuar con un ataque de mayor sofisticación.

Si los operadores humanos están detrás de este tipo de amenazas, revisarán cada máquina comprometida en busca de su geolocalización y otros signos de alto valor, y luego venderán el acceso a esos equipos al mejor postor, como una operación de ransomware importante.

Por ejemplo, en 2020, Ryuk utilizó Buer Loader, un programa utilizado para la descarga de archivos, para propagar su ransomware.

Sophos analiza las tendencias de ciberseguridad 2021

El malware propagado mediante productos básicos puede parecer una tormenta de arena para obstruir el sistema de alerta».

«De lo que analizó Sophos, está claro que los defensores deben tomar estos ataques que lucen menores muy en serio, debido al lugar al que podrían conducir».

«Cualquier infección puede dar pie a otro tipo de ciberataques de mayor tamaño. Muchos equipos de seguridad sentirán que una vez que se ha bloqueado o eliminado el malware y se ha limpiado la máquina comprometida se ha evitado el incidente”, dijo Wisniewski.

“Es posible que no se den cuenta de que el ataque fue en más de una máquina y que el malware, propagado mediante Emotet y Buer Loader, puede conducir a Ryuk, Netwalker y otros tipos de ransomware avanzados, y es posible que TI no note la presencia del ataque hasta que se implemente el ransomware, posiblemente en medio de la noche o el fin de semana. Subestimar las infecciones ‘menores’ podría resultar muy costoso».

  1. Herramientas legítimas, servicios y destinos de red comunes, el modo de evadir a los servicios de ciberseguridad

Sophos detectó que los ciberdelincuentes continuarán aprovechándose del abuso de herramientas legítimas, lo que les permite permanecer fuera del radar mientras se mueven por la red hasta que están listos para lanzar la parte principal del ataque, como el ransomware.

Para los atacantes existe el beneficio de que el uso de herramientas comunes y legítimas dificulta la atribución del ciberataque.

En 2020, Sophos informó sobre la amplia gama de herramientas de ataque estándar que ahora son ampliamente utilizadas.

El abuso de herramientas comunes y legítimas para disfrazar un ataque activo ocupó un lugar destacado en los hallazgos de Sophos durante 2020″.

«Esta técnica desafía los enfoques de seguridad tradicionales porque la aparición de herramientas comúnmente utilizadas al interior de una empresa no activa automáticamente una señal de alerta».

«Aquí es donde la caza de amenazas liderada por un equipo humano y la respuesta administrada a ataques realmente entra en juego”, dijo Wisniewski.

“Los expertos conocen las anomalías sutiles y saben detectar aquellos rastros que los criminales suelen dejar, como el uso de una herramienta legítima en el momento o el lugar equivocados».

«Para los cazadores de amenazas capacitados o los administradores de TI que utilizan las funciones de detección y respuesta de endpoints (EDR), estas señales son valiosos signos que pueden alertar a los equipos de seguridad sobre un posible intruso y un ataque en curso».

El Informe de Amenazas 2021 de Sophos también incluye las siguientes tendencias:

  • Ataques a servidores: los atacantes se dirigen a servidores que ejecutan tanto Windows como Linux, y aprovechan estas plataformas para atacar organizaciones desde dentro.
  • El impacto de la pandemia de COVID 19 en la seguridad de TI: existen desafíos de seguridad derivados de trabajar desde casa utilizando redes personales protegidas por niveles de seguridad muy variables.
  • Los desafíos de seguridad que enfrentan los entornos en la nube: la computación en la nube ha soportado con éxito muchas de las necesidades empresariales actuales de los entornos informáticos, pero se enfrenta a desafíos diferentes a los de una red empresarial tradicional.
  • Servicios comunes como RDP y VPN: estos siguen siendo un foco de ataques muy común en el perímetro de la red. Los atacantes también usan RDP para moverse lateralmente dentro de las redes violadas sin que los equipos de seguridad lo noten.
  • Aplicaciones de software tradicionalmente marcadas como «potencialmente no deseadas”: existen aplicaciones que pueden convertirse en un foco de propagación ya que entregan una gran cantidad de anuncios, mismos que son cada vez más indistinguibles del malware manifiesto.
  • La sorprendente reaparición de un error antiguo, VelvetSweatshop: se trata de una función de contraseñas predeterminada para versiones anteriores de Microsoft Excel, que se utiliza para ocultar contenido malicioso en documentos y evadir la detección avanzada de amenazas.
  • La necesidad de aplicar algunos enfoques de la epidemiología: esto con el fin de cuantificar las ciberamenazas invisibles, no detectadas y desconocidas, todo para cerrar las brechas en la detección, evaluar de mejor manera el riesgo y definir prioridades.

Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Seguridad

Preocupación: el ransomware vuelve a atacar el rubro de la salud

El nuevo informe de Kroll reveló que Kroll observó un aumento del 90% en cuanto a ataques cibernéticos realizados hacía organizaciones de la salud.

El nuevo informe de Kroll, Q2 Threat Landscape, Ransomware Returns, Healthcare Hit, reveló que, durante el segundo trimestre del 2022, Kroll observó un aumento equivalente al 90% en cuanto a ataques cibernéticos realizados hacía organizaciones de la salud refiere.

Los constantes ataques perpetrados hacía la sanidad la han vuelto el sector más afectado del cuatrimestre, representando el 21 % de los casos totales de Kroll. Una cifra preocupante si se la compara con el 11 % que significó en el primer trimestre. Respaldando estos hallazgos, el Centro de Coordinación de Ciberseguridad del Sector de la Salud de EE. UU. emitió una nota en abril, alertando que el grupo de ransomware Hive apuntaba agresivamente hacía el sector.

El método de ataque principal utilizado por los grupos de hackers es el ransomware, donde se emplean malwares encargados de confiscar y encriptar todos los datos existentes en el sistema seleccionado. Estos casos de ransomware suelen implicar una doble extorsión, donde no solo se extraen los datos antes de cifrar la red, sino que se amenaza con filtrarlos al público durante la negociación.

Los malwares tienen distintas formas de acceder a los sistemas, siendo los métodos de phising y los servicios remotos externos las vías de acceso más frecuentes.

En los casos de phising, es común el uso de correos falsificados, los cuales contienen archivos ZIP ocultos que al ser descargados introducen malwares al equipo, como Bumbelblee o Qakbot.

En cuanto a este último, Kroll detectó un aumento exponencial de su uso por parte de grupos de reciente aparición, como Black Basta. Consecuentemente, la identificación de este u otro tipos de troyanos en un sistema operativo puede significar un anticipador a eventos de ransomware.

Si bien el phishing continúa siendo el método principal de acceso inicial, Kroll evidenció que los servicios remotos externos también tuvieron un incremento notable, usándose como vía de introducción un 700 % más en comparación al trimestre pasado. Sin embargo, este aumento paralelo entre prácticas de ransomware y servicios remotos externos indica una correlación entre el incidente y su causa raíz, hecho que no siempre es tan claro.

Pese a que se los ataques hacía el servicio sanitario se hayan disparado como nunca antes, el sector ha sido un blanco atractivo histórico para pandillas de ransomware, puesto que se interrumpen redes ligadas a servicios esenciales para el rescate de vidas humanas, lo cual motiva a las organizaciones respectivas a realizar el pago del rescate.

El rejuvenecimiento de las ransomware gangs viene dotada no solo de la aparición de nuevos actores, sino por la desintegración de antiguas bandas, como Conti. La misma apagó sus servidores el 23 de junio y sus integrantes se dispersaron en pequeños grupos separados. BlackCat, QuantumLocker y Hive son otros grupos que aumentaron su actividad durante el segundo trimestre.

Retomando con los servicios remotos externos, sus vulnerabilidades han sido explotadas por los ciberdelincuentes debido a la falta de prevenciones tomadas por las compañías en materia de ciberseguridad. Esto se debe a que la pandemia del coronavirus obligó a gran parte de la población mundial a digitalizar sus contenidos a toda prisa, saltándose las precauciones básicas.

Gracias a la reciente efectividad demostrada por los antivirus y herramientas de control (EDR), los ciberataques se han vuelto más sofisticados. Un ejemplo de ello es la complejización en la cadena de infección del troyano, a fin de que este pase desapercibido.

Teniendo todo ello en cuenta, se resalta la importancia de las soluciones de detección y respuesta gestionadas (MDR), así como su constante actualización a fin de evitar uno de estos ataques. En relación con las tendencias que Kroll detecta en cuanto a métodos de acceso refiere, sería prudentes que las organizaciones (y específicamente las relacionadas con salud) se centren en la seguridad de sus servicios remotos, implementando un cronograma regular de chequeos, parches y escaneos de vulnerabilidades en materia de VPN.

El segundo trimestre del 2022 enfatiza la relevancia de no descuidar en ningún momento la seguridad cibernética, así como revisar los sistemas que apresuradamente se descargaron al inicio de la cuarentena, así se evita un posible foco de acceso para ciberdelitos.

Continue Reading

Seguridad

Como es el peor virus informático de la historia: Mydoom

Conocé la historia detrás de la pesadilla virtual más importante de la historia.

Conocé la historia detrás de la pesadilla virtual más importante de la historia.

Si estamos conectados a Internet, estamos expuestos. Las amenazas de seguridad informática no han hecho más que crecer durante los últimos años. Cada día, según el instituto AV-TEST, se registran más de 450.000 nuevas muestras malware y crapware (software potencialmente no deseado).

Virus, gusanos, troyanos, spyware, ransomware; en la red hay peligros de todos los tipos y colores, y somos testigos (o víctimas) de estos.

Pero antes de que FluBot se hiciera famoso por «la estafa SMS de FedEx«, de que un jóven de 17 años encabezara la banda de ransomware Lapsus$ que apuntó a grandes empresas como Microsoft, Samsung o Nvidia, e incluso antes de que el phishing fuera utilizado como una herramienta militar, existía el gusano Mydoom. Estamos hablando del gusano más rápido y más dañino de la historia, un dolor de cabeza que todavía no ha sido igualado.

En enero de 2004, cuando muchos de nosotros utilizábamos ordenadores con Windows XP y navegábamos a velocidades de entre 256 y 1.024 Kbps, algunos usuarios empezaron a recibir correos electrónicos con el asunto “Message could not be delivered” y un archivo adjunto «Message.zip» (el asunto y el archivo adjunto también podían tener otros nombres). Como el mensaje parecía inofensivo, muchas personas lo habrían sin precaución.

Algunos podrían imaginarse que se trataba de una advertencia de un mail legítimo que había rebotado. Y, si por ejemplo nos centramos en entornos laborales, nadie quiere recibir una reprimenda por un mensaje que debería haber salido y no salió, ¿no? Lo que no sabían quienes ingresaban a este correo electrónico es que estaban cerca de caer en una trampa, en otras palabras, de que su ordenador iba a caer infectado.

De acuerdo a la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA, por sus siglas en inglés), Mydoom era capaz de infectar cualquier ordenador con sistema operativo Windows 95 o superior. Al abrir el archivo adjunto se ejecutaba un código malicioso que se encargaba de enviar el malware a otras direcciones de correo electrónico, sentaba las bases para ataques de denegación de servicio y se camuflaba para no ser detectado.

Una serie de tareas cuya efectividad y complejidad tenían pocas posibilidades de comparación. Desde el punto de vista técnico, Mydoom colocaba una copia de sí mismo en C:\Windows\ y modificaba el registro del sistema para pasar desapercibido y persistir incluso después de reinicio. Además abría dos backdoors (puertas traseras) en los puertos TCP 3127 a 3198, lo que permitía el acceso remoto a los ordenadores infectados.

Este malware tenía la capacidad de buscar en el ordenador direcciones de correo electrónico para enviarse desde los sistemas comprometidos y así alcanzar un mayor nivel de infección. Asimismo, una variante podía propagarse a través de Kazaa, una aplicación de intercambio de archivos P2P (generalmente música, imágenes y vídeos) muy utilizada en la época, y bloqueaba el acceso a cientos de páginas web de antivirus.

Un análisis exhaustivo del código por parte de investigadores de ciberseguridad reveló que MyDoom estaba programado para comenzar un ataque de denegación de servicio (DDoS) contra la empresa SCO Group el 1 de febrero de 2004.

Una variante del malware también incluía un ataque DDoS contra Microsoft para el 3 de febrero de 2004. Esto hizo saltar las alarmas y provocó una investigación por parte del FBI.

Antes de los potenciales ataques de DDoS, según CNN, SCO Group ofreció una recompensa de 250.000 dólares «información que conduzca al arresto y condena de los responsables de este delito«.

Microsoft adoptó una postura similar, también ofreciendo 250.000 dólares. El programador de MyDoom finalmente no apareció, y tampoco datos precisos que pudieran generar una hipótesis sólida, y los días de los ataques finalmente llegaron.

El 1 de febrero comienza el ataque de DDoS contra SCO Group y la página principal de la compañía queda rápidamente fuera de servicio. Como cuenta CNET, esto obliga poner en línea una página alternativa, www.thescogroup.com. «Este ataque a gran escala, causado por el virus informático MyDoom, se estima que infectó a cientos de miles de computadoras en todo el mundo«, dijo en ese momento Jeff Carlon, director de tecnología de SCO Group.

Microsoft, por su parte, resiste el ataque del 3 de febrero, según Computer World. Aparentemente, el músculo de la compañía de Redmond junto a una planificada preparación previa evitó que MyDoom consiguiera su segundo objetivo. La compañía señalaba en su página web que estaba haciendo todo lo posible para permanecer en línea.

De acuerdo al equipo de investigación de amenazas de BlackBerry Cylance, es el gusano de propagación más rápida que jamás haya existido. Además, en su momento pico, generó entre el 16 y el 25% de todos los correos electrónicos enviados en todo el mundo. Esto provocó una ralentización global del rendimiento de Internet que afectó la productividad de millones de personas y pérdidas millonarias.

El análisis de Webfx señala que los costes derivados de protección antivirus, eliminación de la amenaza, tiempo perdido, entre otros factores causados por MyDoom se tradujeron en pérdidas de 38 mil millones de dólares en 2004, cantidad que ajustada a la inflación alcanza los 59 mil millones de dólares hoy.

MyDoom fue una pesadilla, y aunque sigue circulando por la red, su fama ha hecho que todos los antivirus conocidos y actualizados sean capaces de detectarlo.

Fuente: Xataka

Continue Reading

Seguridad

Temor por la filtración de datos de 1000 millones de usuarios de TikTok

Las alertas no para de llegar. Microsoft ya avisó a TikTok y al parecer, fue ignorado.

Las alertas no para de llegar. Microsoft ya avisó a TikTok y al parecer, fue ignorado.

TikTok ha negado una violación de seguridad después de que las publicaciones en foros de piratería afirmaron haber comprometido el código fuente de la aplicación, así como los detalles de la cuenta de potencialmente miles de millones de personas.

En un comunicado publicado en Twitter, la compañía dijo que “no encontró evidencia de incumplimiento”, luego de una investigación de los reclamos. La compañía también le dijo a Bloomberg UK que el presunto código fuente publicado por los piratas informáticos «no tiene ninguna relación con el código fuente del backend de TikTok».

Los reclamos de una posible violación habían estado circulando entre la comunidad de seguridad después de una publicación en un foro de hackers.

En el foro expresaban tener la posesión de una base de datos con más de dos mil millones de entradas relacionadas con las cuentas de TikTok y WeChat. El grupo de hackers afirmó haber obtenido los registros de TikTok de un servidor en la nube inseguro.

Los supuestos piratas informáticos publicaron una muestra de los datos de TikTok pero, como el investigador de seguridad Troy Hunt señaló que contenía datos que ya eran de acceso público y, por lo tanto, «podrían haberse construido sin violación«.

Hunt, que dirige el servicio «haveibeenpwned»,dijo que los datos fueron en general «bastante poco concluyentes».

Si bien TikTok ha negado enérgicamente una violación, la información en la base de datos podría provenir de otros medios.

Riesgo máximo en TikTok para Android

Los reclamos de una brecha de seguridad llegan pocos días después de que los investigadores de Microsoft hayan revelado que habían encontrado una “vulnerabilidad de alta gravedad” en la aplicación de Android de TikTok que ponía en riesgo millones de cuentas.

Microsoft dijo que la vulnerabilidad se solucionó menos de un mes después de que alertó a TikTok sobre el problema en febrero de 2022. TikTok ha enfrentado durante mucho tiempo preguntas sobre sus practicas de seguridad y qué datos de usuario se comparten con la empresa matriz ByteDance.

La compañía dijo el mes pasado que Oracle revisaría sus algoritmos y sistemas de moderación de contenido en un esfuerzo por disipar las preocupaciones.

Fuente: Engadget

Continue Reading

NO TE LO PIERDAS