Etiqueta: Ciberseguridad

Publicado el

La inteligencia sobre las Amenazas en la Ciberseguridad

Debido a la constante evolución de los malware, una herramienta esencial a tomar en cuenta por las organizaciones es el uso de la inteligencia sobre las amenazas. Cuando una organización tiene activos nacionales, financieros, personales o intelectuales, mantener un enfoque completo de seguridad es la única manera de protegerse de la ciberdelincuencia, para ello debe utilizar una solución activa y eficaz como la inteligencia sobre las amenazas.

Esta herramienta combina información de múltiples fuentes, lo que proporciona una pantalla de protección más eficaz para su red.

Las organizaciones comprenden la necesidad de adoptar una herramienta como la inteligencia sobre amenazas, en su arquitectura de seguridad, que sea incisiva, en tiempo real, que brinde información actualizada sobre las técnicas de hackeo y los vectores de ataque con la finalidad de prevenir ataques.

La inteligencia sobre las amenazas debe abarcar todas las superficies de ataques, incluidos los dispositivos móviles, la nube, la red, los puntos de conexión y el IoT (internet de las cosas), vectores de ataque muy comunes en las organizaciones, esto nos ayudara a frenar las amenazas, controlar la red, tener una respuesta rápida ante incidentes y ataques

 Familias de Malware

  • Agent Tesla es un RAT avanzado que funciona como un registrador de pulsaciones de teclas e interceptación de contraseñas, capaz de monitorear y recopilar el ingreso de datos a través del teclado de la victima y del portapapeles del sistema, capturas de pantalla y extraer credenciales.
  • AZORult troyano que recopila y extrae datos del sistema infectado, puede enviar contraseñas guardadas, archivos locales, criptobilleteras e información del perfil de la PC a un servidor C&C remoto.
  • Cerberus es un RAT con funciones especificas de pantallas bancarias superpuestas para dispositivos Android, opera en un modelo de MaaS (Malware como un servicio), toma el control de mensajes de texto, registro de teclas, rastreo de ubicación, entre otros
  • Clop es un ransomware dirigido a grandes empresas y corporaciones, ejecuta una estrategia de doble extorsión, además de cifrar los datos, los atacantes amenazan con publicar la información robada si no cumplen con las demandas de rescate.
  • Coinhive es un servicio de criptomineria diseñado para realizar minería no autorizada en la línea de la criptomoneda Monero, cuando el usuario visita una pagina web en particular, utiliza gran cantidad de recursos informáticos de la maquina infectada, afectando su rendimiento.
  • Danabot es un troyano bancario modular escrito en Delphi dirigido a plataformas Windows, se distribuye mediante correos electrónicos maliciosos de spam, descargando código de configuración actualizados y otros módulos de servidor C&C que incluyen un sniffer para interceptar credenciales, un stealer para robar contraseñas de aplicaciones populares, un modulo VNC para control remoto entre otros.
  • DarkGate es un malware multifunción que combina capacidades de ransomware, robo de credenciales, RAT y criptomineria, principalmente al sistema Windows, emplea una variedad de técnicas de evasión.
  • DoppelPaymer variante del ransomware BitPaymer que apunta principalmente a medianas y grandes empresas, además de cifrar los datos, amenazan con publicarlos si no atienden sus demandas de rescate.
  • Dridex es un troyano bancario que tiene como objetivo la plataforma Windows, se introduce mediante campañas de spam y kits de explotación, se basa en seminarios web para interceptar y redirigir credenciales bancarias a un servidor controlado por los atacantes. También puede descargar y ejecutar módulos para el control remoto.
  • Emotet es un troyano modular de auto propagación, se utiliza como distribuidor de otros malware utilizando múltiples métodos para mantener la persistencia y técnicas de evasión, se puede propagar por correo electrónico de suplantación de identidad (phishing)
  • Formbook es un interceptor de información dirigido al sistema operativo Windows. Se distribuye a modo de MaaS en foros de hackeo ilegales, recopila credenciales de varios navegadores web y capturas de pantalla, controla y registra pulsaciones de teclas y puede descargar y ejecutar archivos.
  • Glupteba es una puerta trasera que gradualmente se convirtió en botnet.
  • Guerrilla es un troyano para Android incrustado en múltiples aplicaciones legitimas y con la capacidad de descargar cargas útiles maliciosas adicionales, genera ingresos publicitarios fraudulentos para los desarrolladores de aplicaciones.
  • Hawkeye es un malware de interceptación de información para Windows diseñado para robar credenciales de correo electrónico, registro de pulsaciones de teclas, actualmente tiene la capacidad de tomar capturas de pantalla, propagarse a través de USB, se vende como un MaaS.
  • Hiddad es un malware para Android que reempaqueta aplicaciones legitimas y las libera en tiendas de terceros, su función principal es mostrar anuncios, pero también pude obtener acceso a datos de seguridad clave integrados en el sistema operativo.
  • IcedID es un troyano que se propaga mediante spam y utiliza otros malware como Emotet para ayudar a su propagación, roba datos financieros a través de ataques de redireccionamiento.
  • JSEcoin es un criptominero basado en la web, realiza la minería de la criptomoneda Monero, ceso su actividad en abril 2020.
  • KPOT es un troyano que tiene como objetivo la plataforma Windows, roba información personal de diversas fuentes como navegadores web, cuentas Microsoft, mensajería instantánea, FTP, correos electrónicos, VPN, RPD, criptomonedas, software de juegos, enviando la información recopilada al servidor remoto, toma capturas de pantalla.
  • Lokibot es un interceptor de información de consumo para Windows, recolecta credenciales desde diversas aplicaciones, navegadores web, clientes de correo electrónico, herramientas de administración TI.
  • Lotoor es una herramienta de hackeo que aprovecha las vulnerabilidades de los sistemas operativos Android con el fin de obtener privilegios de usuario raíz de los dispositivos móviles infectados.
  • Lucifer es un criptominero y malware hibrido de DDoS que aprovecha las vulnerabilidades Windows, utiliza ataques de fuerza bruta para obtener credenciales de inicio de sesión e invadir servidores y equipos Windows, actualmente evoluciono a un malware multiplataforma y de múltiples arquitecturas con Linux y dispositivos IoT como objetivo.
  • Maze es un ransomware de doble extorsión, además de cifrar los datos de las victimas, publican los datos si sus demandas de rescate no son atendidas.
  • Mirai es un malware de IoT (internet de las cosas) que rastrea dispositivos IoT vulnerables como cámaras web, módems, enrutadores y los convierte en bots, utilizado por sus operadores para llevar a cabo ataques masivos de DDoS.
  • MyloBot es un botnet equipado con técnicas complejas de evasión como anti-VM, anti-sandbox y anti-depuración, permite tomar el control total del sistema.
  • NanoCore es un troyano de acceso remoto que fija los usuarios del sistema operativo Windows, puede efectuar capturas de pantalla, minería de criptomonedas, control remoto del robo de sesión del escritorio y cámara web.
  • Necro es un instalador de troyanos para Android, puede descargar otros malware, mostrar anuncios y cobrar fraudulentamente por suscripciones de pago.
  • NRSMiner es un criptominero utiliza la vulnerabilidad EternalBlue para propagarse a otras computadoras vulnerables en redes internas.
  • Phorpiex es un botnet también conocido como Trik, puede distribuir otras familias de malware a través de campañas de spam y campañas de extorsión sexual a gran escala.
  • PreAMo es un malware de clics para dispositivos Android, genera ingresos al imitar al usuario y hacer clic en anuncios sin el conocimiento del usuario.
  • Predator the Thief es un interceptor de información sofisticado, puede extraer contraseñas, acceder a la cámara de la victima y robar información de billeteras de criptomonedas.
  • Pykspa es un gusano que se propaga mediante el envío de mensajes instantáneos a os contactos Skype, extrae información personal del usuario y se comunica con servidores remotos mediante un algoritmo de generación de dominio.
  • Qbot también conocido como Qakbot, troyano bancario diseñado para robar las credenciales bancarias y las pulsaciones de teclas de los usuarios, distribuido por correo electrónico de spam, emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección.
  • Ragnar Locker es un ransomware que utiliza técnicas sofisticadas de evasión, como una maquina virtual en sistemas específicos para ocultar su actividad, también utilizan la doble extorsión.
  • Ramnit es un troyano bancario modular que roba la información de la sesión web y brinda a los operadores la capacidad de robar las credenciales de las cuentas de todos los servicios utilizados por la victima, cuentas bancarias, corporativas y de redes sociales, utiliza dominios con códigos fijos y dominios generados por un algoritmo de generación de dominio DGA para comunicarse con el servidor C&C.
  • Remcos es un RAT que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos spam, diseñado para evitar la seguridad de control de cuentas de usuario (User Account Control UAC) de Microsoft Windows y ejecutar malware con privilegios de alto nivel.
  • RigEK el mas antiguo y conocido de los exploits kits, sus servicios están a la venta en foros de hackeo y en la red TOR, ha evolucionado para entregar desde AZORult y Dridex hasta ransomware y criptomineros poco conocidos.
  • RubyMiner Esta dirigido a servidores Windows y Linux, busca servidores web vulnerables como PHP, Microsoft IIS y Ruby on Rails para usar en criptomineria mediante el minero de Monero de código abierto XMRig.
  • Ryuk es un ransomware utilizado por el grupo TrickBot en ataques bien planificados contra varias organizaciones en todo el mundo, es una derivación del ransomware Hermes cuyas capacidades técnicas son relativamente bajas, incluyen un instalador básico y un sistema de cifrado sencillo, sin embargo, logro causar graves daños a las organizaciones objetivo y las forzó a pagar rescates extremadamente altos en bitcoins, este ransomware se utiliza en ataques personalizados.
  • Sodinokibi es un ransomware como servicio que opera un programa de afiliados, cifra los datos en el directorio del usuario y elimina las copias de seguridad con el fin de dificultar la recuperación de los datos. Se propaga a través de las vulnerabilidades de servidores y del spam, por hackeo en los sistemas de back-end de los proveedores de servicios administrados (Managed Service Provider MSP), campañas de publicidad maliciosa con redirección al kit de explotación de RIG.
  • Trickbot es un troyano bancario modular dirigido a la plataforma de Windows, se introduce a través de campañas de spam u otras familias de malware como Emotet, envía información del sistema infectado, pudiendo descargar y ejecutar una variedad de módulos arbitrarios incluyendo un modulo VNC para control remoto y un modulo SMB para propagarse dentro de una red comprometida, puede no solo robar credenciales bancarias de la PC objetivo, sino también para el movimiento y reconocimiento laterales en la organización objetivo en si, antes de implementar un ataque de ransomware a toda la organización.
  • Ursnif es una variante del troyano bancario de Gozi para Windows, cuyo código fuente se ha filtrado en línea, tiene capacidades como las del ataque Man-in-the-browser para robar información y las credenciales bancarias para los servicios populares en línea, además puede robar información de clientes de correo electrónico, exploradores, billeteras de criptomonedas, descargar y ejecutar archivos adicionales en el sistema infectado.
  • Valak originalmente era un instalador de malware, fue mejorado con capacidades de interceptación de información, se propaga a través de campañas de malspam y suele responder a los hilos de correo electrónico de una cuenta comprometida. Este malware se envía junto con otro malware como Ursnif.
  • Vidar es un interceptador de información que fija los sistemas Windows, diseñado para robar contraseñas, datos de tarjetas de crédito, información confidencial de diversos navegadores web, billeteras digitales. Se vende en varios foros en línea y se utiliza como un instalador de malware para descargar el ransomware GrandCrab.
  • WannaMine es n sofisticado gusano de criptomineria Monero, se propaga mediante la vulnerabilidad EternalBlue, implementa un mecanismo de propagación y técnicas de persistencia aprovechando las suscripciones de eventos. (Windows Management Instrumentation WMI)
  • xHelper es un malware de Android que muestra principalmente anuncios intrusivos de ventanas emergentes y spam de notificaciones, es muy difícil eliminarlo por sus capacidades de reinstalación.
  • XMRig es un software de minería de CPU de código abierto utilizado para extraer la criptomoneda Monero, los atacantes utilizan este software para integrarlo a un malware.
  • Zeus es un troyano para Windows, se utiliza para robar información bancaria, credenciales de la cuenta que son enviadas a los atacantes mediante una cadena de servidores de comando y control. (C&C)
  • Zloader es un malware bancario que utiliza inyecciones web para robar credenciales e información privada, puede extraer contraseñas y cookies del navegador web de la victima, descarga VNC lo que permite conectarse al sistema y realizar transacciones financieras desde el dispositivo del usuario.
Publicado el

Ciberseguridad y la temible amenaza interna

La amenaza cibernética se ha convertido en un juego interminable en que los delincuentes cada vez se muestran mas sofisticados elevando de manera permanente el estándar para que las organizaciones se defiendan.
La ciberdelincuencia es toda una industria, de hecho, algunas personas se ganan la vida con esta actividad.

Sin embargo, una de las amenazas mas potentes de mayor crecimiento y difícil de controlar se encuentra dentro de la organización. La frontera entre los empleados internos y externos cada vez es mas difusa, las organizaciones trabajan con varios proveedores, contratista, trabajadores independientes, personal temporal y algunos procesos se tercerizan a diferentes proveedores de servicios que tienen acceso a información privilegiada de la organización con lo cual es muy fácil perder el rastro de quien es una amenaza interna dificultando el control y conocer lo que pueden hacer.

La amenaza interna es temible por cuanto una persona que pretende hacer daño no requiere ser un experto, solo le basta observar los tutoriales que existen en YouTube sobre lo quiere hacer o navegar por la Dark Web para encontrar las herramientas indicadas.

No Existe una solución mágica a este problema y en realidad es difícil controlarlo, sin embargo podemos minimizar el riesgo con las siguientes practicas básicas:

  • Cortafuegos
  • Configuración segura de los sistemas
  • Actualizaciones regulares de software
  • Protección contra Malware
  • Control de accesos de usuarios, contraseñas robustas

Por otro lado, se tiene el problema de los empleados que se mueven dentro de la organización en el tiempo que van adquiriendo diferentes roles con diversas cuentas y privilegios de acceso asegurándose que estos sean revocados y actualizados de forma inmediata. Esto requiere una coordinación efectiva entre los gerentes de área, RRHH y Seguridad o TI.

La gestión de accesos y privilegios en una organización es todo un reto y es vital que se conduzca de manera efectiva, de lo contrario, la amenaza interna muy difícil de controlar.

Publicado el

Capacitación, la clave para combatir los ataques cibernéticos

La mejor estrategia para combatir el cibercrimen es tener empleados capacitados. Es fundamental que todos entiendan las amenazas de seguridad, l mentalidad de los ciberdelincuentes para poder defenderse en forma efectiva contra los ataques.

Las organizaciones enfrentan enormes desafíos de ciberseguridad, perdiendo mucho dinero anualmente debido a la violación de datos. Hay que tomar en cuenta que la seguridad cibernética es muy complicada y los atacantes muy creativos, se adaptan rápidamente para poder eludir las defensas. Es una tendencia marcada el crecimiento exponencial del cibercrimen en todo el mundo.

En el intento para controlar las perdidas, las empresas invierten significativamente mas recursos en seguridad informática en forma reactiva, enfocando su tiempo y recursos en tratar de evitar que sus vulnerabilidades sean explotadas, en lugar de evitar que estas existan, tratándolas proactivamente, estrategia real y efectiva que nos ayudara a ganar la carrera contra el cibercrimen.

Se estima que el 90% de las organizaciones consideran que la ciberseguridad es una idea de ultimo momento y sus estrategias de control se centran en remediar si se producen estos ataques en lugar de prevenirlos. Esta mala estrategia causa enormes perdidas, implicando inactividad del sistema, daños a la marca, perdida de confianza de los clientes, así como costos por responsabilidad.

Falta de comprensión y compromiso.

Un obstáculo para adoptar un enfoque proactivo en la seguridad de la información es la falta de capacitación y compromiso por parte de los miembros de la organización, esto se evidencia debido a que los tipos de vulnerabilidades y ataques con algunas variantes son en gran medida los mismos y repetitivos. Esta claro que existe una falta de capacitación tanto del personal de seguridad como para los usuarios en general.

Es prioritario que las organizaciones cuenten con una política efectiva de seguridad de la información, con personal bien capacitado, de igual manera las áreas de RRHH y Seguridad deben poner atención a la amenaza interna verificando al personal.

Publicado el

¿QUÉ ES LA CIBERSEGURIDAD?

Es el conjunto de técnicas utilizadas para proteger la integridad de las redes, programas y datos contra ataques o accesos no autorizados. Se espera que el mercado de la ciberseguridad alcance los 170 mil millones para 2020. Este rápido crecimiento se ve impulsado por una serie de tendencias tecnológicas, incluida la avalancha de iniciativas con requisitos de seguridad en constante evolución, como «traiga su propio dispositivo». (BYOD) y el internet de las cosas (IoT); la rápida adopción de aplicaciones y cargas de trabajo basadas en la nube, que extienden las necesidades de seguridad más allá del centro de datos tradicional; así mismo las estrictas normas de protección de datos, como el Reglamento General de Protección de Datos de la Unión Europea   y el  Cybersecurity Framework (CSF) del Instituto Nacional de Tecnología de Seguridad (NIST)  EEUU .

¿Por qué es necesaria la ciberseguridad?

La funcionalidad principal de la ciberseguridad implica proteger la información y sistemas de las amenazas informáticas, como Malware, Ransomware, Phishing, etc. Desafortunadamente, los delincuentes informáticos han aprendido a lanzar ataques automatizados y sofisticados con costos cada vez más bajos. Mantener  la estrategia y las operaciones de seguridad cibernética es un desafío, especialmente en las redes gubernamentales y empresariales donde, las amenazas cibernéticas a menudo apuntan a los activos secretos, políticos, militares o de infraestructura de una nación o de su gente . Algunas de las amenazas comunes se describen a continuación con más detalle.

  • El ciberterrorismo es el uso de la tecnología de la información por parte de grupos terroristas para promover su agenda ideológica o política. Esto se traduce en ataques a redes, sistemas informáticos e infraestructuras de telecomunicaciones.
  • La guerra cibernética involucra a los estados  que utilizan la tecnología de la información para penetrar en las redes de otro país y causar daños o interrupciones. En los Estados Unidos y en muchas otras naciones, la guerra cibernética ha sido reconocida como el quinto dominio de la guerra (siguiendo la tierra, el mar, el aire y el espacio). Los ataques en la guerra cibernética son ejecutados principalmente por piratas informáticos bien entrenados para explotar las complejidades de las redes y operan bajo el auspicios y  apoyo de los estados que buscan entrometerse en las redes de su objetivo para comprometer datos valiosos, degradar las comunicaciones, perjudicar servicios de infraestructura tales como transporte, servicios básicos, servicios médicos e interrumpir el comercio.
  • El ciberespionaje  es la práctica de utilizar la tecnología de la información para obtener información secreta sin el permiso de sus propietarios o titulares. El ciberespionaje se utiliza con mayor frecuencia para obtener ventajas estratégicas, económicas, políticas o militares, y se realiza utilizando técnicas de craqueo y malware.

¿Cómo mantener la ciberseguridad efectiva?

Históricamente, las organizaciones y los gobiernos han adoptado un enfoque reactivo para combatir las amenazas cibernéticas, combinando tecnologías de seguridad individuales para proteger sus redes y la valiosa información que contienen. Este método no solo es costoso y complejo, sino que las noticias de ciberataques devastadores continúan dominando los titulares de los medios de información, haciendo que este método sea inefectivo. De hecho, dada la omnipresencia de las violaciones de datos, la ciberseguridad ha pasado a ser prioritario para las organizaciones que buscan centrarse en la prevención con la finalidad de controlar las amenazas que afecten las redes reduciendo el riesgo a un grado manejable. 

Abrir chat
¿Necesitas ayuda?
Hola,

Si tuvieses alguna duda y/o consulta, será un placer para nosotros poder ayudarte.

Comunícate con nosotros directamente vía Whatsapp, donde resolveremos todas tus dudas y preguntas.

Contacte ahora!!