Autor: Admin_Ensura_Principal

Publicado el

MaliBot nuevo Malware para Android2

Este nuevo malware dirigido a los ususarios de Android roba contraseñas, datos bancarios y billeteras virtuales en forma remota eludiendo las protecciones de autenticación múltifactor. 

Además el MaliBot puede acceder a mensajes de texto, robar cookies del navegador web y tomar capturas de pantalla de dispositivos Android infectados. Al igual que muchas amenazas de malware para Android, MaliBot se distribuye enviando mensajes de phishing a los teléfonos de los usuarios a través de mensajes de texto SMS  (smishing) o atrayendo a las víctimas a sitios web fraudulentos. En ambos casos, se persuade a las víctimas a ingresar en un enlace que descarga malware en su teléfono. 

 Este malware también se distribuye por medio de sitios web falsos o versiones falsas de aplicaciones legitimas  que pueden encontrarse en Google Play Store.

Después de ser descargado, MaliBot le pide a la víctima de forma encubierta que otorgue permisos de acceso y de inicio necesarios para monitorear el dispositivo y realizar operaciones maliciosas. Esto incluye el robo de información confidencial como contraseñas y datos bancarios, así como la manipulación del dispositivo para obligar a la víctima a que proporcione información adicional, algo que hace al robar códigos de autenticación multifactor.

Una vez que MaliBot ha capturado las credenciales en el dispositivo, puede omitir la autenticación multifactor mediante el uso de los permisos de accesibilidad, para hacer clic en el botón ‘Sí’ en el mensaje que pregunta si el usuario está intentando iniciar sesión. Si un usuario ve esto, es posible que lo encuentra sospechoso, pero el acceso otorgado a MaliBot podría ocultar una superposición sobre el indicador para que no se vea. 

MaliBot también utiliza una técnica similar para eludir las protecciones adicionales en torno a las billeteras virtuales, lo que permite a los atacantes robar criptomonedas de las cuentas vinculadas al teléfono inteligente Android infectado. 

Además de robar información confidencial, el MaliBot también está equipado con la capacidad de enviar mensajes SMS que pueden usarse para infectar a otros con el malware,  táctica que fue utilizada con éxito por el malware FluBot.

Publicado el

MaliBot nuevo Malware para Android

Este nuevo malware dirigido a los ususarios de Android roba contraseñas, datos bancarios y billeteras virtuales en forma remota eludiendo las protecciones de autenticación múltifactor. 

Además el MaliBot puede acceder a mensajes de texto, robar cookies del navegador web y tomar capturas de pantalla de dispositivos Android infectados. Al igual que muchas amenazas de malware para Android, MaliBot se distribuye enviando mensajes de phishing a los teléfonos de los usuarios a través de mensajes de texto SMS  (smishing) o atrayendo a las víctimas a sitios web fraudulentos. En ambos casos, se persuade a las víctimas a ingresar en un enlace que descarga malware en su teléfono. 

 Este malware también se distribuye por medio de sitios web falsos o versiones falsas de aplicaciones legitimas  que pueden encontrarse en Google Play Store.

Después de ser descargado, MaliBot le pide a la víctima de forma encubierta que otorgue permisos de acceso y de inicio necesarios para monitorear el dispositivo y realizar operaciones maliciosas. Esto incluye el robo de información confidencial como contraseñas y datos bancarios, así como la manipulación del dispositivo para obligar a la víctima a que proporcione información adicional, algo que hace al robar códigos de autenticación multifactor.

Una vez que MaliBot ha capturado las credenciales en el dispositivo, puede omitir la autenticación multifactor mediante el uso de los permisos de accesibilidad, para hacer clic en el botón ‘Sí’ en el mensaje que pregunta si el usuario está intentando iniciar sesión. Si un usuario ve esto, es posible que lo encuentra sospechoso, pero el acceso otorgado a MaliBot podría ocultar una superposición sobre el indicador para que no se vea. 

MaliBot también utiliza una técnica similar para eludir las protecciones adicionales en torno a las billeteras virtuales, lo que permite a los atacantes robar criptomonedas de las cuentas vinculadas al teléfono inteligente Android infectado. 

Además de robar información confidencial, el MaliBot también está equipado con la capacidad de enviar mensajes SMS que pueden usarse para infectar a otros con el malware,  táctica que fue utilizada con éxito por el malware FluBot.

Publicado el

Mas del 50% de los ataques de Ransomware están dirigidos a tres industrias, Banca, Servicios Públicos y Comercio Minorista

El objetivo mas común de los ataques de Ransomware se centran estas tres industrias, sin embargo, ningún negocio o industria esta libre de ser blanco de ataques.

Mas de la mitad de los ataques de Ransomware están dirigidos a la Banca que representa el 22% de los ataques, servicios públicos con 20% y el comercio minorista con 16%, es decir el 58% de ataques reportados.  

Los servicios públicos es una industria particularmente atractiva para los ciberdelincuentes, debido a su gran impacto en el desarrollo de las actividades de las personas y empresas.

Los ataques de ransomware a los comercios minoristas también pueden tener un impacto significativo, obligando a las tiendas a aceptar solo pago en efectivo o cerrar el negocio hasta resolver el problema.

Otros sectores que son objetivos importantes para los ciberdelincuentes son educación, gobierno y servicios industriales, lo que nos indica que todas las industrias o sectores son objetivos potenciales de la ciberdelincuencia.

El ciberdelito es una actividad bastante dinámica y bien remunerada, continuamente surgen nuevos ciberdelincuentes y cepas de malware, pero el ransomware sigue siendo una amenaza clave para la seguridad cibernética de las organizaciones de todo el mundo.

Para ayudar a proteger las redes contra el ransomware y otros ataques cibernéticos, es preciso mantener capacitado a nuestro personal, implementar las actualizaciones de seguridad de los sistemas operativos, aplicaciones y software, autenticaciones multifactor en todas las cuentas, así como estar alerta a las actividades sospechosas.

FNS

Publicado el

La Ciberdelincuencia y el escenario de las amenazas

En un mundo post-pandemia plagado de ataques cibernéticos, espionaje digital, desinformación y un panorama político hiperpartidista, el acceso a inteligencia precisa y examinada es vital para entender la variedad de amenazas y actores de amenazas.

El escenario de las amenazas es tan diverso como sofisticado. Mantenerse al tanto de estas amenazas, comprender las motivaciones de los actores y conocer sus tácticas, técnicas y procedimientos es primordial.

Es necesario comprender como actúan los ciberdelincuentes identificando:

  • El escenario de las amenazas.
  • Por qué su organización podría estar en riesgo.
  • Cómo determinar el área de ataque.
  • Cómo los atacantes pueden vulnerar a su organización.

Identificar el escenario de las amenazas es un paso esencial para anticipar el efecto de influencias externas como geopolítica, pandemias y nuevas amenazas de seguridad para que su organización pueda implementar una estrategia de seguridad enfocada en los activos más valiosos.

Actores de amenazas, hackers y atacantes.

Como profesionales de la seguridad, estamos acostumbrados al uso intercambiable de los términos hackers, atacantes y actores de amenazas, generalmente en diferentes contextos que nos permiten comprender qué significado se pretende. Aunque las diferencias entre cada término son menores, es importante entender las diferencias.

Un actor de amenaza es una persona, grupo u organización con intenciones maliciosas. Un actor de amenaza no necesariamente tiene habilidades de tecnología de la información o relación con el panorama cibernético. Más bien, un actor de amenazas puede ser una persona o grupo especializado en guerra cibernética, psicológica y campañas de desinformación. Si bien pueden ser expertos en redes sociales y anunciantes ingeniosos, sus habilidades son completamente diferente a la de los hackers.

Un hacker es una persona con habilidades técnicas expertas. El término «hacker» generalmente indica una persona altamente motivada y curiosa a la que le gusta entender, inventar, crear y manipular sistemas. Es común utilizar el termino “hacker» para sindicar a un «atacante», sin embargo, un hacker no necesariamente tiene intenciones maliciosas.

Un atacante es una persona, grupo u organización que actúa con intenciones maliciosas.

Clasificación de actores de amenazas.

Los actores de amenazas se pueden clasificar en cinco clases en función de sus motivaciones y objetivos. La terminología puede diferir en toda la comunidad de seguridad, pero las ideas de los actores representados son consistentes.

Un actor de amenazas normalmente encajará en una de estas clases:

  • Los actores de amenazas patrocinados por el estado-nación o el estado trabajan para un gobierno y llevan a cabo campañas para obtener acceso a inteligencia valiosa o diseñadas para influir, interrumpir y comprometer la estabilidad política o económica de otras naciones.
  • El crimen organizado lleva a cabo actividades maliciosas principalmente para obtener ganancias económicas. Los grupos están estructurados y son una fuerza impulsora detrás de la economía sumergida.
  • Los hacktivistas quieren hacer una declaración y están emocionalmente comprometidos e implacables en su actividad maliciosa con acciones antigubernamentales, anti corporativas o de justicia social.
  • Los hackers son la categoría más amplia de actores de amenazas que operan por emoción o por competencia con sus pares para demostrar sus capacidades. Sus intenciones pueden ser benignas, pero también pueden cruzar la línea moral para beneficio personal ingresando al mundo del crimen organizado o a la investigación de seguridad.
  • La amenaza interna y los clientes descontentos son actores de amenazas que operan por malicia o negligencia.

La clasificación de actores de amenazas no es una ciencia exacta debido a que pueden tener objetivos superpuestos y dependiendo de sus actividades o motivaciones pueden operar en diferentes clases. También se da el caso que, algunos actores de amenazas para evitar la atribución de sus actividades se hacen pasar por actores de otras clases, lo que complica la atribución de los ataques, convirtiéndola en una actividad desafiante y sensible, que puede conducir a inestabilidades geopolíticas o afectar la vida de personas inocentes.

En el contexto del estado-nación y los grupos patrocinados por los estados utilizan comúnmente la amenaza persistente avanzada (APT) que define a un actor con capacidades avanzadas y su característica principal es que permanecen activos sin ser detectados por periodos prolongados. El término también puede referirse a grupos no patrocinados por los estados que realizan intrusiones específicas a gran escala para objetivos específicos que no están orientados políticamente.

FNS

Publicado el

Yanluowang, nuevo Ransomware que cifra sus datos, genera ataques distribuidos de denegación de servicio (DDoS)

Los ciberdelincuentes en su afán de obligar a sus victimas a pagar por el rescate de datos están distribuyendo una nueva variante de Ransomware llamado Yanluowang que no solo cifran la red, sino que también amenazan con lanzar ataques distribuidos de denegación de servicio (DDoS) y acosar a los empleados y socios comerciales.

Yanluowang entrega una nota de rescate comunicándole a la víctima que ha sido infectada con ransomware y que envíe un mensaje a una dirección de contacto para negociar el pago de un rescate. La nota advierte a las víctimas que no se comuniquen con las autoridades, y empresas de ciberseguridad; está implícito que, si la víctima hace esto, no recuperarán sus datos. 

Los ciberdelincuentes detrás de Yanluowang van aún más allá con sus amenazas, sugiriendo que, si la víctima pide ayuda externa, lanzarán ataques DDoS, desbordando sus sitios web con tanto tráfico que colapsarán. Así mismo, realizaran llamadas a empleados y socios comerciales. También indican que, si la víctima no coopera, efectuarán ataques adicionales e incluso eliminarán todos los datos cifrados. 

Todavía no está claro cómo los ciberdelincuentes obtienen acceso a la red. Se presume el uso de la línea de comando AdFind, línea de comando legítima en la herramienta de consulta de Active Directory. 

Los atacantes de ransomware comúnmente abusan de esta herramienta y la utilizan como una técnica de reconocimiento para explotar Active Directory y encontrar formas adicionales de circular en secreto por la red, con el objetivo final de implementar un ransomware.  

No obstante, con la aparición de este nuevo grupo de ransomware, que hace amenazas adicionales para obligar a las víctimas a pagar rescates, nos indica que la ciberdelincuencia no se detiene y esta en permanente evolución, lo que hace imprescindible que las organizaciones tomen diferentes acciones y estrategias de defensa en profundidad utilizando múltiples tecnologías de detección y protección para mitigar el riesgo ,incluyendo la capacitación de su personal, con herramientas como KnowBe4 que ayudan a mantener al personal comprometido y capacitado evitando que ellos se conviertan en la vía del atacante.

FNS

Publicado el

Las organizaciones, principal objetivo de los ataques de phishing

En el ultimo año el 73% de las organizaciones fueron victimas de ataques de phishing y el 84% de estos ataques fueron causados por los empleados, la gran mayoría no cree que sea importante preocuparse personalmente por los riesgos de seguridad cibernética y asumen que no son un objetivo.

 En la mayoría de los ataques cibernéticos es una constante que, el empleado tenga alguna participación como:

  • Hacer clic en un archivo adjunto malicioso.
  • Ceder sus credenciales corporativas a una página de inicio de sesión suplantada en la web.
  • Tomar una acción específica porque fueron engañados para que creyeran que su CEO o jefe les ordeno que lo hicieran.

 Esto nos indica que los empleados simplemente no están preparados ni capacitados para pensar en el riesgo corporativo, y mucho menos en su función para ayudar a mitigar ese riesgo, las estadísticas así lo demuestran:

  • El 45% considera que la organización tiene poco o ningún riesgo de sufrir un ciberataque.
  • El 51% dice que TI debería ser el único responsable de proteger a la organización de las amenazas cibernéticas.
  • El 79% de los empleados ha participado en una o más actividades de riesgo que incluyen compartir credenciales con colegas, usar la misma contraseña en varios sitios, usar dispositivos personales no autorizados para realizar el trabajo y permitir que los miembros de la familia usen su dispositivo corporativo.
  • El 56% de los empleados no ha recibido ninguna capacitación y concientización sobre la seguridad.

Si una organización desea tener empleados atentos y comprometidos con la seguridad cibernética, debe mantener a sus empleados capacitados y concientizados, de igual manera considerar a la amenaza interna como un problema latente. Una cultura de seguridad dentro de la organización utilizando herramientas como KnowBe4 puede conseguir que sus empleados adopten mejores practicas de seguridad y minimizar los riesgos de ser victimas de ataques de phishing e ingeniería social.

FNS

Publicado el

La inteligencia sobre las Amenazas en la Ciberseguridad

Debido a la constante evolución de los malware, una herramienta esencial a tomar en cuenta por las organizaciones es el uso de la inteligencia sobre las amenazas. Cuando una organización tiene activos nacionales, financieros, personales o intelectuales, mantener un enfoque completo de seguridad es la única manera de protegerse de la ciberdelincuencia, para ello debe utilizar una solución activa y eficaz como la inteligencia sobre las amenazas.

Esta herramienta combina información de múltiples fuentes, lo que proporciona una pantalla de protección más eficaz para su red.

Las organizaciones comprenden la necesidad de adoptar una herramienta como la inteligencia sobre amenazas, en su arquitectura de seguridad, que sea incisiva, en tiempo real, que brinde información actualizada sobre las técnicas de hackeo y los vectores de ataque con la finalidad de prevenir ataques.

La inteligencia sobre las amenazas debe abarcar todas las superficies de ataques, incluidos los dispositivos móviles, la nube, la red, los puntos de conexión y el IoT (internet de las cosas), vectores de ataque muy comunes en las organizaciones, esto nos ayudara a frenar las amenazas, controlar la red, tener una respuesta rápida ante incidentes y ataques

 Familias de Malware

  • Agent Tesla es un RAT avanzado que funciona como un registrador de pulsaciones de teclas e interceptación de contraseñas, capaz de monitorear y recopilar el ingreso de datos a través del teclado de la victima y del portapapeles del sistema, capturas de pantalla y extraer credenciales.
  • AZORult troyano que recopila y extrae datos del sistema infectado, puede enviar contraseñas guardadas, archivos locales, criptobilleteras e información del perfil de la PC a un servidor C&C remoto.
  • Cerberus es un RAT con funciones especificas de pantallas bancarias superpuestas para dispositivos Android, opera en un modelo de MaaS (Malware como un servicio), toma el control de mensajes de texto, registro de teclas, rastreo de ubicación, entre otros
  • Clop es un ransomware dirigido a grandes empresas y corporaciones, ejecuta una estrategia de doble extorsión, además de cifrar los datos, los atacantes amenazan con publicar la información robada si no cumplen con las demandas de rescate.
  • Coinhive es un servicio de criptomineria diseñado para realizar minería no autorizada en la línea de la criptomoneda Monero, cuando el usuario visita una pagina web en particular, utiliza gran cantidad de recursos informáticos de la maquina infectada, afectando su rendimiento.
  • Danabot es un troyano bancario modular escrito en Delphi dirigido a plataformas Windows, se distribuye mediante correos electrónicos maliciosos de spam, descargando código de configuración actualizados y otros módulos de servidor C&C que incluyen un sniffer para interceptar credenciales, un stealer para robar contraseñas de aplicaciones populares, un modulo VNC para control remoto entre otros.
  • DarkGate es un malware multifunción que combina capacidades de ransomware, robo de credenciales, RAT y criptomineria, principalmente al sistema Windows, emplea una variedad de técnicas de evasión.
  • DoppelPaymer variante del ransomware BitPaymer que apunta principalmente a medianas y grandes empresas, además de cifrar los datos, amenazan con publicarlos si no atienden sus demandas de rescate.
  • Dridex es un troyano bancario que tiene como objetivo la plataforma Windows, se introduce mediante campañas de spam y kits de explotación, se basa en seminarios web para interceptar y redirigir credenciales bancarias a un servidor controlado por los atacantes. También puede descargar y ejecutar módulos para el control remoto.
  • Emotet es un troyano modular de auto propagación, se utiliza como distribuidor de otros malware utilizando múltiples métodos para mantener la persistencia y técnicas de evasión, se puede propagar por correo electrónico de suplantación de identidad (phishing)
  • Formbook es un interceptor de información dirigido al sistema operativo Windows. Se distribuye a modo de MaaS en foros de hackeo ilegales, recopila credenciales de varios navegadores web y capturas de pantalla, controla y registra pulsaciones de teclas y puede descargar y ejecutar archivos.
  • Glupteba es una puerta trasera que gradualmente se convirtió en botnet.
  • Guerrilla es un troyano para Android incrustado en múltiples aplicaciones legitimas y con la capacidad de descargar cargas útiles maliciosas adicionales, genera ingresos publicitarios fraudulentos para los desarrolladores de aplicaciones.
  • Hawkeye es un malware de interceptación de información para Windows diseñado para robar credenciales de correo electrónico, registro de pulsaciones de teclas, actualmente tiene la capacidad de tomar capturas de pantalla, propagarse a través de USB, se vende como un MaaS.
  • Hiddad es un malware para Android que reempaqueta aplicaciones legitimas y las libera en tiendas de terceros, su función principal es mostrar anuncios, pero también pude obtener acceso a datos de seguridad clave integrados en el sistema operativo.
  • IcedID es un troyano que se propaga mediante spam y utiliza otros malware como Emotet para ayudar a su propagación, roba datos financieros a través de ataques de redireccionamiento.
  • JSEcoin es un criptominero basado en la web, realiza la minería de la criptomoneda Monero, ceso su actividad en abril 2020.
  • KPOT es un troyano que tiene como objetivo la plataforma Windows, roba información personal de diversas fuentes como navegadores web, cuentas Microsoft, mensajería instantánea, FTP, correos electrónicos, VPN, RPD, criptomonedas, software de juegos, enviando la información recopilada al servidor remoto, toma capturas de pantalla.
  • Lokibot es un interceptor de información de consumo para Windows, recolecta credenciales desde diversas aplicaciones, navegadores web, clientes de correo electrónico, herramientas de administración TI.
  • Lotoor es una herramienta de hackeo que aprovecha las vulnerabilidades de los sistemas operativos Android con el fin de obtener privilegios de usuario raíz de los dispositivos móviles infectados.
  • Lucifer es un criptominero y malware hibrido de DDoS que aprovecha las vulnerabilidades Windows, utiliza ataques de fuerza bruta para obtener credenciales de inicio de sesión e invadir servidores y equipos Windows, actualmente evoluciono a un malware multiplataforma y de múltiples arquitecturas con Linux y dispositivos IoT como objetivo.
  • Maze es un ransomware de doble extorsión, además de cifrar los datos de las victimas, publican los datos si sus demandas de rescate no son atendidas.
  • Mirai es un malware de IoT (internet de las cosas) que rastrea dispositivos IoT vulnerables como cámaras web, módems, enrutadores y los convierte en bots, utilizado por sus operadores para llevar a cabo ataques masivos de DDoS.
  • MyloBot es un botnet equipado con técnicas complejas de evasión como anti-VM, anti-sandbox y anti-depuración, permite tomar el control total del sistema.
  • NanoCore es un troyano de acceso remoto que fija los usuarios del sistema operativo Windows, puede efectuar capturas de pantalla, minería de criptomonedas, control remoto del robo de sesión del escritorio y cámara web.
  • Necro es un instalador de troyanos para Android, puede descargar otros malware, mostrar anuncios y cobrar fraudulentamente por suscripciones de pago.
  • NRSMiner es un criptominero utiliza la vulnerabilidad EternalBlue para propagarse a otras computadoras vulnerables en redes internas.
  • Phorpiex es un botnet también conocido como Trik, puede distribuir otras familias de malware a través de campañas de spam y campañas de extorsión sexual a gran escala.
  • PreAMo es un malware de clics para dispositivos Android, genera ingresos al imitar al usuario y hacer clic en anuncios sin el conocimiento del usuario.
  • Predator the Thief es un interceptor de información sofisticado, puede extraer contraseñas, acceder a la cámara de la victima y robar información de billeteras de criptomonedas.
  • Pykspa es un gusano que se propaga mediante el envío de mensajes instantáneos a os contactos Skype, extrae información personal del usuario y se comunica con servidores remotos mediante un algoritmo de generación de dominio.
  • Qbot también conocido como Qakbot, troyano bancario diseñado para robar las credenciales bancarias y las pulsaciones de teclas de los usuarios, distribuido por correo electrónico de spam, emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección.
  • Ragnar Locker es un ransomware que utiliza técnicas sofisticadas de evasión, como una maquina virtual en sistemas específicos para ocultar su actividad, también utilizan la doble extorsión.
  • Ramnit es un troyano bancario modular que roba la información de la sesión web y brinda a los operadores la capacidad de robar las credenciales de las cuentas de todos los servicios utilizados por la victima, cuentas bancarias, corporativas y de redes sociales, utiliza dominios con códigos fijos y dominios generados por un algoritmo de generación de dominio DGA para comunicarse con el servidor C&C.
  • Remcos es un RAT que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos spam, diseñado para evitar la seguridad de control de cuentas de usuario (User Account Control UAC) de Microsoft Windows y ejecutar malware con privilegios de alto nivel.
  • RigEK el mas antiguo y conocido de los exploits kits, sus servicios están a la venta en foros de hackeo y en la red TOR, ha evolucionado para entregar desde AZORult y Dridex hasta ransomware y criptomineros poco conocidos.
  • RubyMiner Esta dirigido a servidores Windows y Linux, busca servidores web vulnerables como PHP, Microsoft IIS y Ruby on Rails para usar en criptomineria mediante el minero de Monero de código abierto XMRig.
  • Ryuk es un ransomware utilizado por el grupo TrickBot en ataques bien planificados contra varias organizaciones en todo el mundo, es una derivación del ransomware Hermes cuyas capacidades técnicas son relativamente bajas, incluyen un instalador básico y un sistema de cifrado sencillo, sin embargo, logro causar graves daños a las organizaciones objetivo y las forzó a pagar rescates extremadamente altos en bitcoins, este ransomware se utiliza en ataques personalizados.
  • Sodinokibi es un ransomware como servicio que opera un programa de afiliados, cifra los datos en el directorio del usuario y elimina las copias de seguridad con el fin de dificultar la recuperación de los datos. Se propaga a través de las vulnerabilidades de servidores y del spam, por hackeo en los sistemas de back-end de los proveedores de servicios administrados (Managed Service Provider MSP), campañas de publicidad maliciosa con redirección al kit de explotación de RIG.
  • Trickbot es un troyano bancario modular dirigido a la plataforma de Windows, se introduce a través de campañas de spam u otras familias de malware como Emotet, envía información del sistema infectado, pudiendo descargar y ejecutar una variedad de módulos arbitrarios incluyendo un modulo VNC para control remoto y un modulo SMB para propagarse dentro de una red comprometida, puede no solo robar credenciales bancarias de la PC objetivo, sino también para el movimiento y reconocimiento laterales en la organización objetivo en si, antes de implementar un ataque de ransomware a toda la organización.
  • Ursnif es una variante del troyano bancario de Gozi para Windows, cuyo código fuente se ha filtrado en línea, tiene capacidades como las del ataque Man-in-the-browser para robar información y las credenciales bancarias para los servicios populares en línea, además puede robar información de clientes de correo electrónico, exploradores, billeteras de criptomonedas, descargar y ejecutar archivos adicionales en el sistema infectado.
  • Valak originalmente era un instalador de malware, fue mejorado con capacidades de interceptación de información, se propaga a través de campañas de malspam y suele responder a los hilos de correo electrónico de una cuenta comprometida. Este malware se envía junto con otro malware como Ursnif.
  • Vidar es un interceptador de información que fija los sistemas Windows, diseñado para robar contraseñas, datos de tarjetas de crédito, información confidencial de diversos navegadores web, billeteras digitales. Se vende en varios foros en línea y se utiliza como un instalador de malware para descargar el ransomware GrandCrab.
  • WannaMine es n sofisticado gusano de criptomineria Monero, se propaga mediante la vulnerabilidad EternalBlue, implementa un mecanismo de propagación y técnicas de persistencia aprovechando las suscripciones de eventos. (Windows Management Instrumentation WMI)
  • xHelper es un malware de Android que muestra principalmente anuncios intrusivos de ventanas emergentes y spam de notificaciones, es muy difícil eliminarlo por sus capacidades de reinstalación.
  • XMRig es un software de minería de CPU de código abierto utilizado para extraer la criptomoneda Monero, los atacantes utilizan este software para integrarlo a un malware.
  • Zeus es un troyano para Windows, se utiliza para robar información bancaria, credenciales de la cuenta que son enviadas a los atacantes mediante una cadena de servidores de comando y control. (C&C)
  • Zloader es un malware bancario que utiliza inyecciones web para robar credenciales e información privada, puede extraer contraseñas y cookies del navegador web de la victima, descarga VNC lo que permite conectarse al sistema y realizar transacciones financieras desde el dispositivo del usuario.
Publicado el

Seguridad para el Trabajo Remoto

Con el reciente aumento del número de empleados que trabajan desde casa como resultado del brote de COVID-19, la red empresarial se ha dispersado y crecido considerablemente, ocasionando que sea mas difícil controlar y asegurar la información. 

Si bien es cierto las organizaciones pueden implementar estrategias y herramientas de control para mitigar los riesgos para una fuerza de trabajo móvil dispersa, son los propios empleados los llamados a garantizar buenas practicas en su trabajo, no confiar en nada ni en nadie por defecto aumentando el nivel de seguridad.

Los trabajadores remotos deben tomar las medidas necesarias para proteger su red doméstica, utilizar aplicaciones de forma responsable y bloquear sus dispositivos, tanto por su propia seguridad como para los sistemas corporativos, puesto que es probable que estén conectados gran parte del día.

Lo que suceda en la red doméstica puede transmitirse fácilmente a la empresa, especialmente cuando no se cumplen con las buenas prácticas o se emplean aplicaciones que pueden afectar la seguridad tanto de la red domestica como la corporativa.

Bajo el concepto de confianza cero los usuarios deben considerar que tanto los dispositivos como las redes son hostiles y asumir que todo puede ser una vía de ataque potencial, hasta que puedan ser validados y verificar que no lo son.

Vectores de ataque

Los atacantes utilizan una amplia variedad de medios para infectar a sus objetivos. Siendo necesario tomar conciencia sobre los vectores de ataque:

Ingeniería social

La ingeniería social se aprovecha de una de las vulnerabilidades más difíciles de mitigar, nuestra tendencia innata a confiar y utiliza muchas formas desde correos electrónicos, llamadas telefónicas, redes sociales.

La ingeniería social puede explotar muchas formas, desde correos electrónicos de phishing maliciosos y notificaciones falsas de fuentes aparentemente confiables. 

El mejor consejo para reducir la probabilidad de ser víctima de una operación de ingeniería social es simplemente pensar antes de actuar. Los ingenieros sociales cuentan que el objetivo es una persona distraída que no prestan mucha atención a lo que están haciendo. Busque señales de que algo anda mal, confíe en su instinto, si le dice que algo anda mal y no parece correcto, no se sienta presionado para actuar, si no está seguro, simplemente deje de hacer lo que está haciendo y póngase en contacto con su equipo de seguridad de TI para obtener ayuda. 

Acceso físico al dispositivo

Un atacante con acceso físico a un dispositivo no seguro puede instalar el software malicioso o tomar el control de las cuentas. Esto se puede hacer de varias formas, que van desde la inserción de un dispositivo de almacenamiento extraíble como una memoria USB, instalación de programas maliciosos desde una ubicación en línea o accediendo a cuentas en las que los usuarios ya han iniciado sesión.

El mejor consejo aquí es que nunca deje su dispositivo desatendido, ni siquiera por un breve momento, y asegúrese siempre de usar un bloqueo de pantalla habilitado con contraseña con un tiempo de espera automático establecido, incluso cuando se encuentra en entornos de confianza como la oficina o el hogar.              

Explotaciones de vulnerabilidad de las aplicaciones

Las vulnerabilidades dentro de las aplicaciones presentes en un dispositivo se pueden aprovechar para obtener acceso remoto.  Si bien no se puede hacer mucho acerca de las vulnerabilidades desconocidas es preciso garantizar que el sistema operativo y cada pieza de software instalada en el dispositivo están actualizados. 

Para obtener la mejor protección, habilite las actualizaciones automáticas para el sistema operativo y el software para que no tenga que realizar un seguimiento de cuándo están saliendo nuevas versiones, y puede estar seguro de que recibirá los parches tan pronto como estén disponibles. 

Además, cierre sus aplicaciones cuando no esté en uso, es menos probable que un atacante pueda aprovechar una vulnerabilidad de una aplicación si no está abierta, esto incluye a las aplicaciones que aparentemente están cerradas, pero en realidad estas se ejecutan en segundo plano. 

 Es importante crear un perfil de usuario en su dispositivo para el uso diario que no tiene privilegios administrativos habilitado para que los atacantes no puedan aprovechar esos privilegios. Además, asegúrese de que los dispositivos tengan un conjunto de soluciones de protección de endpoints que pueden evitar la explotación de vulnerabilidades desconocidas.

Aplicaciones maliciosas y permisos excesivos

Aplicaciones maliciosas descargadas de sitios web de terceros no verificados e incluso algunas que están en tiendas de aplicaciones legítimas, pueden ser aprovechados por los atacantes para comprometer un dispositivo. Verifique los permisos que solicitan las aplicaciones antes de la descarga. pregúntese ¿Realmente la aplicación necesita acceso a su cámara, micrófono, mensajería y contactos? si no está seguro, comuníquese con su equipo de seguridad de TI para ser asistido.

Sitios web maliciosos y comprometidos

Las infecciones pueden ocurrir al visitar sitios web controlados por atacantes. Este tipo de ataques a menudo se denominan ataques «drive-by» o «watering hole» dependiendo de la naturaleza de la operación. La mayoría de las personas comprenden los riesgos de la navegación web casual y la posibilidad de ser infectados con un malware, sin embargo, la mayoría no se dan cuenta cuando sitios web legítimos han sido comprometidos, o albergan una biblioteca de anuncios maliciosos que pueden infectar un dispositivo.

Hay algunas cosas que puede hacer para prevenir estas situaciones, como asegurarse de que su navegador esté actualizado a la última versión, instalando un programa bloqueador de anuncios legítimo y simplemente actuar con buen juicio y no navegar por la web en forma riesgosa.

Infecciones a través de cables de carga USB

Conectar su dispositivo móvil a una estación de carga o PC comprometida con un cable USB podría provocar una infección de malware.  Tenga presente que siempre que utilice una conexión USB para cargar el dispositivo móvil, existen riesgos debido a que el cable está diseñado para energía y datos.

Ataques a través de interfaces inalámbricos

Los dispositivos que tienen capacidades de interfaz inalámbrica pueden ser atacados a través de la red celular, conexiones, Wi-Fi, Bluetooth o comunicaciones de campo cercano (NFC): esa es la naturaleza del riesgo en cualquier forma de conectividad cuando no está conectado pero habilitado, pueden revelar información sobre el dispositivo que pueden aprovechar en un ataque, por lo que es una buena practica desactivarlos por completo cuando no estén en uso.

Además, cambie las contraseñas y los pines predeterminados para los dispositivos que se conectan a través de Bluetooth, deshabilite la función de conexión automática. Recuerde también que, aunque las conexiones NFC solo pueden efectuarse a una distancia muy corta, la conexión no es segura, apáguela cuando no esta en uso.

 Código malicioso

Dependiendo del tipo de malware que infecte sus dispositivos, un atacante puede hacer  prácticamente cualquier cosa en su dispositivo y en algunos casos mucho más, como el software espía, puede grabar llamadas telefónicas, audios, conversaciones, y registrar pulsaciones de teclas para robar información como credenciales de inicio de sesión. Algunos programas espía también pueden leer mensajes de texto y utilizarse para socavar la autenticación multifactor.

Los troyanos de acceso remoto (RAT) pueden permitir que un atacante tome el control total de su dispositivo y modificar la configuración de este o tomar capturas de pantalla. Los RAT también pueden permitirles hacerse pasar por ti y potencialmente infectar a otros en su red. Si alguien tiene acceso a su correo electrónico, redes sociales, medios y aplicaciones de texto, podrían engañar fácilmente a tus contactos pensando que son comunicaciones hechas por ti.

El malware también presenta problemas de privacidad generales, especialmente si permite el acceso del atacante a su correo electrónico personal, mensajes de texto, mensajes de voz, contenido de aplicaciones de chat y registro de llamadas. Algunos programas maliciosos también pueden permitir la recuperación de datos de ubicación, historial de navegación y medios almacenados como fotos y videos, datos personales confidenciales e incluso datos corporativos si usa su dispositivo para trabajar. Por último, pero no menos importante, está el ransomware. Si bien todo el malware es malo, el ransomware es quizás el peor de su clase en algunos aspectos. Cuando un dispositivo está infectado, el ransomware cifrará todos los datos y luego normalmente produce un mensaje para el propietario del dispositivo con instrucciones sobre cómo obtener la clave de cifrado para restaurar sus datos, pero esto tiene un costo significativo de rescate. Depende del propietario del dispositivo decidir si pagar o no un rescate para recuperar datos, y existen buenos argumentos a favor y en contra de hacerlo y riesgos específicos. Si paga, es posible que no recupere sus datos o podría generar más demandas de pago. Si no paga, corre el riesgo de perder todo lo que hay en el dispositivo. Obviamente lo mejor es no contraer una infección de ransomware si es posible.

Comportamiento de navegación arriesgado

Una de las cosas más fáciles que pueden hacer todos los usuarios para reducir significativamente el riesgo de dispositivos comprometidos, es abstenerse de comportamientos riesgosos de navegación web. Esto requiere tener conocimiento de los tipos de sitios web de los que se abusa con mayor frecuencia en los ataques y simplemente evitarlos. Si bien algunos de los comportamientos de navegación más riesgosos involucran sitios web de naturaleza adulta, hay muchos tipos de sitios web que tienen altas probabilidades de ser empleados en ataques a los usuarios, en estos sitios se pueden descargar música y películas que a menudo se promocionan en las redes sociales, ofrecen encuestas u otras novedades, así mismo, sitios web de apuestas, sitios con ventanas emergentes excesivas o que promocionen y noticias, además los usuarios también deben ser conscientes de que incluso los sitios web legítimos pueden ser utilizados para difundir malware, incluidos sitios web de juegos populares o sitios de noticias y entretenimiento.

Desactivar todas las descargas automáticas

Es una buena practica cuando esté en línea, deshabilitar las descargas automáticas de todos los archivos multimedia, como imágenes, audio, video y archivos de documentos, en aplicaciones y navegadores. Aunque es bueno desplazarse por los feeds de las redes sociales y hacer clic en todos los contenidos, puede poner en riesgo a la empresa si esta utilizando el dispositivo para el trabajo.

Comprobación de URL y documentos abreviados

URL abreviadas, que son particularmente populares en sitios de redes sociales como Twitter que tienen límites de caracteres, presentan un problema potencial para los usuarios porque no muestran exactamente a donde se dirige el enlace. Además, los acotadores de URL personalizados que se utilizan para crear enlaces URL personalizados que aparentan ser legítimos, pueden ser utilizados para dirigir a un sitio web malicioso.

A menudo, se puede ver la ruta de destino de una URL abreviada simplemente colocando el cursor del mouse sobre la dirección antes de hacer clic. 

SSL / HTTPS y seguridad del sitio web

Algunos sitios web se adhirieran a las mejores prácticas de seguridad al ofrecer conexiones encriptadas, como sitios bancarios y de comercio electrónico donde la información confidencial es intercambiada. Esas prácticas deberían estar vigentes para todos y cada uno de los sitios web independientemente de si hay información sensible o no, ya que protege a los usuarios de ataques.

Al visitar cualquier sitio web, los usuarios deben asegurarse de ver “HTTPS” y / o el ícono del candado en la barra de direcciones URL para asegurarse de que el trafico del sitio web se encuentra encriptado mediante Secure Socket 

Algunos navegadores incluso notificarán al usuario si el sitio web tiene la reputación de ser riesgoso o malicioso. Es una buena idea prestar atención a estas advertencias y evitar esos sitios. También hay herramientas y servicios disponibles que proporcionan filtrado de DNS que bloquea automáticamente los sitios web no seguros.

El correo electrónico es uno de los principales vectores de ataque y no podemos dejar de enfatizar lo importante que es estar atento cuando se trata de la seguridad del correo electrónico; Como usuarios finales, nos hemos acostumbrado demasiado a utilizar el correo electrónico para fines de rutina con niveles de comunicación a menudo voluminosos, siendo fácil bajar la guardia y obviamente los atacantes conocen esto.

Phishing y Spear Phishing

La mayoría de nosotros probablemente conocemos los riesgos de los correos electrónicos no deseados que pueden ser parte de campañas de phishing. 

El phishing es una forma de ingeniería social en la que los atacantes intentan engañar a los destinatarios para que revelen información confidencial o ejecuten un archivo con malware infectando su dispositivo y la red a la que esta conectado. 

Spear phishing lleva el phishing a otro nivel mediante el aprovechamiento de información privilegiada relacionada con el objetivo, aumentando significativamente la probabilidad de que el ataque tenga éxito.  Puede incluir el uso de correos electrónicos falsificados, diseñados para parecer que son de un remitente legítimo y confiable, comprometiendo cuentas de correo electrónico personal o corporativas utilizadas en un ataque. 

Los correos electrónicos de suplantación de identidad pueden incluir enlaces maliciosos o documentos contaminados que pueden generar una infección de malware o simplemente pueden contener instrucciones para navegar a un sitio web que parece legítimo pero que esta controlado por los atacantes donde se le pide al objetivo que ingrese las credenciales de la cuenta u otra información confidencial.

Publicado el

Pasos de un ataque de Phishing

  1. El delincuente informático hace una lista del personal clave de la organización que tiene acceso a información confidencial que desea.
  2. Busca a los empleados en Facebook y otras redes sociales para conocer sus intereses.
  3. El delincuente informático envía un correo electrónico con un archivo adjunto infectado con malware que despierte el interés de la victima.
  4. El empleado objetivo recibe el correo electrónico, que al ser un tema de su interés accesa al archivo adjunto.
  5. El malware se libera en su ordenador y comienza a enviar copias de todos los documentos y archivos al delincuente informático.
  6. El delincuente informático puede estar en cualquier parte del mundo, recibe la información robada consumándose el ataque.

Publicado el

Ciberataques de Ingeniería Social

Son amenazas que se basan en un conjunto de técnicas dirigidas a los usuarios con el objetivo de que las victimas revelen información personal o facilitar que los ciberdelincuentes tomen el control de sus dispositivos.

El ciberdelincuente persigue manipular psicológicamente a los usuarios e inducirlos a ingresar a un enlace, descargar un archivo que infecte el dispositivo de la victima o revelen información confidencial, como datos personales, claves de acceso, cuentas bancarias, para ello utilizan los siguientes ataques:

  • Phishing: Se propaga mediante el correo electrónico, redes sociales y aplicaciones de mensajería.
  • Vishing: Se realiza por medio de llamadas telefónicas.
  • Smishing: Se realiza por el envío de mensajes SMS.
  • Baiting: Conocido como cebo o gancho, la finalidad es atraer la curiosidad de las victimas por medio de anuncios y webs que promocionan concursos, sorteos o premios.
  • Shoulder surfing: Técnica utilizada por los ciberdelincuentes para conseguir información confidencial observando por encima del hombre desde una posición cercana.
  • Dumpster diving: Proceso de buscar en nuestra basura informática, información útil al ciberdelincuente.
  • Spam: Envío de mensajes no deseados que pueden contener malware.
  • Fraudes online.

Como evitamos un ciberataque de ingeniería social:

  • Al recibir un correo electrónico debemos asegurarnos de que el remitente es de confianza.
  • Precaución con los mensajes que contengan solicitudes urgentes, promociones, ofertas atractivas y errores gramaticales.
  • Si nos invitan a ingresar a un enlace, debemos comprobar que coincide con la dirección indicada, escribiendo la dirección URL en el navegador.
  • Antes de descargar algún archivo adjunto, es recomendable analizarlos con un antivirus.
  • No ceder ante las presiones de quienes nos llaman por teléfono con fines maliciosos.
  • Evitar conectar dispositivos de almacenamiento externo.
  • Activar el filtro anti spam en la configuración de la cuenta de correo electrónico.
  • Utilizar un filtro de pantalla anti-espía que impide que otras personas puedan ver el contenido de un dispositivo desde diversos ángulos.
  • Utilizar contraseñas seguras, gestores de contraseñas o sistemas de autenticación de dos o mas factores.
  • Eliminar la información que no sea de utilidad en forma segura.
Abrir chat
¿Necesitas ayuda?
Hola,

Si tuvieses alguna duda y/o consulta, será un placer para nosotros poder ayudarte.

Comunícate con nosotros directamente vía Whatsapp, donde resolveremos todas tus dudas y preguntas.

Contacte ahora!!