CompuNetGroup - Blog CompunetGroup #Ransomware

¿Cómo proteger nuestras aplicaciones WEB?

Wed, 21 Feb 2024 13:37:07 -0300

¿Cómo proteger nuestras aplicaciones WEB?

En la actualidad las amenazas cibernéticas están en constante evolución y la seguridad de las aplicaciones web se ha convertido en una prioridad crítica para empresas. Los ataques como inyecciones SQL, cross-site scripting (XSS), gestión sobre bots, ataques de día cero y ataques de denegación de servicio (DDoS) pueden tener consecuencias devastadoras si no existe alguna tecnología adecuadamente implementada. Es aquí donde entra en juego el WAF (Web Application Firewall), una herramienta esencial para proteger las aplicaciones web contra una variedad de amenazas. Si bien, una solución WAF actúa como una primera, y robusta, barrera de defensa; El abordar el desarrollo seguro de sitios web es también crucial para la seguridad de estos.

En este artículo, exploraremos qué es un WAF, cómo funciona y las ventajas que ofrece para garantizar la seguridad de tus aplicaciones web. Para muchas organizaciones, el cumplimiento de regulaciones como PCI DSS, HIPAA y GDPR es crucial y las soluciones WAF pueden ayudar a cumplir con estos requisitos al proporcionar funciones como registro y generación de informes de seguridad, control de acceso basado en roles, y cifrado de datos entre otras características.

Si quieres saber más sobre cross-site scripting (XSS).

¿Qué es un WAF?

Un WAF, por sus siglas en ingles de Web Application Firewall, es un sistema de seguridad diseñado específicamente para proteger las aplicaciones web contra ataques maliciosos y vulnerabilidades de seguridad. Funciona como una barrera entre las aplicaciones web y los usuarios, monitoreando y filtrando el tráfico HTTP/HTTPS que ingresa y sale de la aplicación. Utiliza una variedad de técnicas para identificar y bloquear ataques, como la inspección de paquetes, el análisis de firmas, y la detección de anomalías en el tráfico. En las nuevas generaciones de WAF se incluyen módulos de aprendizaje, que permiten detectar todo el tráfico anómalo y bloquearlo antes de comprometer los servicios. Técnicamente, se trata de un proxy que intermedia entre el sitio web y las solicitudes de los usuarios que hacen uso de este servicio.

¿Qúe tipos de WAFs existen?

Los WAF basados en red suelen estar basados en hardware y pueden reducir la latencia porque se instalan localmente en las instalaciones a través de un dispositivo dedicado, lo más cerca posible de la aplicación. La mayoría de los principales proveedores de WAF basados en red permiten replicar reglas y configuraciones en varios dispositivos, lo que posibilita la implantación, configuración y gestión a gran escala.

Los WAF basados en host pueden estar totalmente integrados en el propio código de la aplicación. Las ventajas de la implementación de un WAF basado en host incluyen un menor coste y mayores opciones de personalización. Los WAF basados en host pueden ser un reto de gestión porque requieren bibliotecas de aplicaciones y dependen de los recursos del servidor local para funcionar eficazmente. Por lo tanto, pueden ser necesarios más recursos de personal, incluidos los de desarrolladores, analistas de sistemas y DevOps/DevSecOps.

Los WAF alojados en la nube ofrecen una solución de bajo coste para las organizaciones que desean un producto llave en mano que requiere unos recursos mínimos para su implantación y gestión. Los WAF en la nube son fáciles de implantar, están disponibles mediante suscripción y a menudo sólo requieren un simple cambio en el sistema de nombres de dominio (DNS) o proxy para redirigir el tráfico de aplicaciones

¿Por qué un WAF y no un firewall?

Un Firewall opera principalmente a nivel de las capas de red o transporte protegiendo contra amenazas como intrusiones desde el exterior de la red, escaneo de puertos, y otros tipos de ataques que intentan explotar debilidades en la infraestructura de red.

Mientras que un WAF opera a nivel de aplicación y se centra en proteger las aplicaciones web contra amenazas específicas que podrían ser explotadas a través de solicitudes HTTP maliciosas o manipuladas, su objetivo principal es proteger las aplicaciones web contra vulnerabilidades y ataques que podrían comprometer la integridad y la disponibilidad de los datos. Es importante destacar que los fabricantes que cuentan con estas dos capas de protección se sincronizan para tener una mejor respuesta frente a un atacante, siendo más eficientes en el momento de bloquear un tráfico de mala reputación.

¿Como saber si necesito un WAF en mi red?

El primer paso para determinar si se necesita un servicio WAF es evaluar la seguridad de las aplicaciones que hemos publicado, mediante Ethical Hacking o Penetration Testing, en Compunet, ofrecemos este tipo de servicios y otros más que permiten a nuestros clientes identificar todas las brechas de seguridad. A través de este análisis exhaustivo, podemos determinar si es necesario implementar una nueva capa de protección, como un WAF, para salvaguardar adecuadamente nuestros sistemas contra posibles amenazas cibernéticas. Considerando que todas las empresas cuentan con distintos aplicativos y servicios, los WAF suelen ofrecer opciones de configuración y reglas personalizables, lo que permite adaptar la seguridad a las necesidades específicas de cada aplicación de cada cliente. A su vez, existen WAF físicos, virtuales o como servicio. Esto permite a los administradores ajustar las políticas de seguridad según los requisitos de la aplicación y las amenazas identificadas.

En Compunet contamos con especialistas que los ayudaran a buscar la tecnología y configuraciones que más se ajuste a la necesidad de su negocio...

Escrito por Alexis Peña

Líder en Redes e Infraestructura

Get Started Now

RATs ¿Qué son?: Utilizando Telegram para hackearte

Tue, 30 Jan 2024 17:55:53 -0300

RATs ¿Qué son?: Utilizando Telegram para hackearte

En el mundo de la ciberseguridad, los Remote Access Trojans (RATs) son como sombras sigilosas que pueden colarse en nuestros dispositivos. En este artículo, exploraremos qué son los RATs, cómo podrían infiltrarse y, para darle un giro práctico, realizaremos una demostración utilizando Telegram como herramienta y así evadir ciertos controles de seguridad.

¿Qué es un RAT?

Los RATs, son un tipo de Troyano de Acceso Remoto, son programas maliciosos (Malware) diseñados tanto como para dispositivos móviles y Desktops, permiten a un atacante acceder y controlar un dispositivo de forma remota. Imagina una puerta trasera digital que puede abrirse sin que lo notes, y además puedan acceder a toda tu información, suena increíble, pero no lo es.

¿Cómo Se Infiltra?

Los cibercriminales suelen aprovecharse de la confianza de las personas utilizando como medio de propagación el correo electrónico con archivos adjuntos maliciosos o enlaces engañosos. Una vez que logran infiltrarse, pueden operar desde lugar remotos, hacerse del control total de tu dispositivo, además de exfiltrar toda tu información. Si lo pensamos detenidamente, hay muchas posibilidades de que un troyano como este se infiltre en nuestros dispositivos, solo Imagina la cantidad de personas que descargan APPs modificadas desde sus dispositivos móviles para evadir el pago de versiones premium, todo por fuera de las tiendas oficiales, estas versiones modificadas pueden perfectamente estar infectadas y funcionar a la perfección sin que tú lo notes.

Los Malware tipo RAT más detectados hasta la fecha:

RAT para Desktops:

Qbot (Qakbot):

En Primer lugar (5% de impacto a nivel global), este Malware multipropósito desde 2008, se distribuye principalmente por correo no deseado. Roba credenciales, graba pulsaciones de teclas y despliega otros malwares, con avanzadas técnicas de evasión.

FormBook:

En Segundo lugar (4% de impacto global) este Infostealer (Malware que roba información) dirigido a Windows, comercializado como Malware as a Service (MaaS). Roba credenciales, captura pantallas y ejecuta comandos según órdenes del servidor C&C.

Remcos:

Tercer lugar, con ascenso por campañas de descargadores maliciosos. Este RAT presente desde 2016, distribuido a través de documentos maliciosos o descargadores. Capaz de eludir la seguridad de Windows UAC (Control de Cuentas de Usuario), obtiene acceso remoto, roba información y realiza actividades maliciosas.

RAT para Dispositivos Móviles:

Anubis:

Ocupó el primer lugar como el Malware móvil más prevalente. Malware troyano bancario diseñado para Android. Ha evolucionado para incluir funciones de RAT, keylogger, grabación de audio y características de ransomware. Detectado en cientos de aplicaciones en Google Store.

SpinOk:

Segundo lugar en la lista de Malware móvil Módulo de software Android que opera como spyware. Recopila información de archivos en dispositivos y la transfiere a actores maliciosos. Presente en más de 100 aplicaciones de Android, descargado más de 421 millones de veces hasta mayo de 2023.

AhMyth:

Tercer lugar en la clasificación de Malware móvil. Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones Android en tiendas y sitios web. Capaz de recopilar información confidencial, registrar teclas, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara.

Estos son los RATs más detectados según el informe de Check Point Research del año 2023.

Demostración de RAT controlado desde Telegram:

Mostraremos cómo un atacante podría lanzar comandos desde Telegram, pero ¿Por qué desde Telegram? La respuesta es sencilla, tus dispositivos pueden ser infectados con métodos inimaginables, los cibercriminales siempre encontrarán formas nuevas o fuera de lo común, ya que, de alguna forma se debe evadir la detección de los antivirus, si lo piensas bien, una simple conexión a Telegram podría no levantar sospechas.

El Malware tipo RAT con el que infectamos el dispositivo utiliza una combinación con la API de Telegram y la librería OS de Python, es así como este RAT logra tomar el control del dispositivo, en pocas palabras, este Malware queda escuchando mensajes que nosotros le enviaremos a un BOT, el BOT se comunicará con el dispositivo infectado y ejecutará los comandos por nosotros.

//www.youtube.com/embed/syBS_QgjVXs?enablejsapi=1

Los RATs son una amenaza real, pero al comprender cómo operan, estamos mejor equipados para defendernos. Acompáñanos en esta exploración para descubrir cómo proteger tus dispositivos contra estos intrusos digitales.

En el vasto panorama de amenazas cibernéticas, la defensa contra malware tipo RAT se vuelve esencial para salvaguardar nuestra privacidad y seguridad digital. Aquí hay algunas medidas clave que todos debemos adoptar:

Mantén tus programas actualizados: Los RATs a menudo explotan vulnerabilidades en el software. Mantener tus aplicaciones y sistemas operativos actualizados es una barrera esencial.
Sé cauteloso con los correos electrónicos y los sitios webs que visitas: Evita abrir correos electrónicos de fuentes desconocidas y no hagas clic en enlaces ni descargues archivos de dudosa procedencia.
Utiliza soluciones de seguridad confiables: Implementar una solución de seguridad robusta es crucial. Sophos XDR (Extended Detection and Response) es una opción avanzada que va más allá de la detección tradicional, ofreciendo una respuesta proactiva y en tiempo real ante amenazas.

Escrito por Giovanni Díaz

Analista de Ciberseguridad

Get Started Now

Ransomware como Servicio: Un modelo de negocio delictivo muy rentable.

Wed, 11 Oct 2023 11:23:24 -0300

Ransomware como Servicio: Un modelo de negocio delictivo muy rentable.

El mundo digital se encuentra en constante evolución, y con cada avance tecnológico surgen nuevas amenazas para la seguridad cibernética. Una de las tendencias más preocupantes en el panorama actual de la ciberdelincuencia es el "Ransomware como Servicio" (RaaS). Esta modalidad delictiva ha revolucionado la forma en que los ciberdelincuentes realizan sus ataques y ha aumentado significativamente la amplitud y la frecuencia de estos. En este artículo, exploraremos en profundidad qué es el Ransomware como Servicio, cómo funciona y cuáles son las implicaciones para la ciberseguridad.

¿Qué es el Ransomware como Servicio?

El Ransomware como Servicio es un modelo de negocio en el que los ciberdelincuentes ofrecen servicios de ransomware a otros actores maliciosos a través de la dark web y foros clandestinos en línea. En lugar de crear y distribuir su propio ransomware desde cero, los atacantes pueden alquilar o comprar acceso a una infraestructura de ransomware previamente desarrollada y mantenida por terceros. Esto les permite llevar a cabo ataques de ransomware de manera más eficiente y efectiva, incluso si carecen de conocimientos técnicos avanzados.

Cómo Funciona el Ransomware como Servicio (Raas)

El funcionamiento del RaaS implica varios elementos clave:

1. Ofrecimiento del Servicio

Los ciberdelincuentes que operan como proveedores de RaaS ofrecen sus servicios en foros de la Deepweb. Publicitan sus capacidades técnicas y la facilidad de uso de sus herramientas de ransomware, atrayendo así a otros delincuentes que buscan realizar ataques de este tipo.

2. Personalización del Ransomware

Los clientes que deseen utilizar el RaaS pueden personalizar el ransomware de acuerdo con sus objetivos y preferencias. Pueden elegir el nombre del ransomware, el monto del rescate, el período de tiempo para el pago y otros detalles relevantes.

3. Ataque y Distribución

Una vez que un cliente haya personalizado su ransomware, puede utilizar la infraestructura proporcionada por el proveedor de RaaS para llevar a cabo el ataque. Esto suele incluir métodos de distribución, como correos electrónicos de phishing o exploits de vulnerabilidades, para infiltrarse en las redes de las víctimas.

4. Recolección de Rescates

Si el ataque tiene éxito, el ransomware cifra los archivos de la víctima y exige un rescate a cambio de la clave de descifrado. Los pagos generalmente se realizan en criptomonedas, lo que dificulta el seguimiento de los delincuentes.

5. Comisión para el Proveedor de RaaS

El proveedor de RaaS generalmente se lleva una parte de los rescates pagados por las víctimas como comisión. Esto crea un incentivo adicional para que los proveedores de RaaS continúen ofreciendo sus servicios.

Adicionalmente, existen 4 modelos de ganancias en los sistemas RaaS:

Subscripción mensual por un precio fijo (como Netflix)
Programas de afiliados, los cuales son similares de las subscripciones mensuales pero adicionan un porcentaje de las ganancias (entre un 20-30%) que va al desarrollador del ransomware.
Un pago de una licencia de por vida, sin compartir ganancias
Compartir las ganancias entre los participantes.

Algunos de los operadores de RaaS más sofisticados, ofrecen portales de atención, administración, soporte, asesoría y ayuda en la recaudación como parte de sus servicios, haciéndolos, una oferta muy interesante para los delincuentes.

Además de ofrecer los servicios de RaaS, los operadores generalmente ofrecen servicios de Marketing, Phishing y otros para complementar el abanico de productos.

Se estima que hace algunos años, el negocio anual de ransomware crecía hasta $20 Billones de dólares de manera anual, sin duda, un negocio muy llamativo.

Ejemplos de algunos RaaS

Hive

Hive es un grupo RaaS que se hizo popular en abril de 2022, cuando se dirigió a una gran cantidad de clientes de Exchange Server de Microsoft utilizando una técnica de paso rápido. Las organizaciones incluían empresas financieras, organizaciones sin fines de lucro y organizaciones de atención médica, entre muchas más. El 26 de enero de 2023, el Departamento de Justicia de Estados Unidos anunció que interrumpieron las operaciones de Hive al incautar dos servidores back-end pertenecientes al grupo en Los Ángeles, CA. Se estima que Hive dejó más de 1.500 víctimas en todo el mundo y millones de dólares extorsionados en concepto de pago de rescate.

Darkside

DarkSide es una operación RaaS asociada con un grupo de eCrime rastreado por CrowdStrike como CARBON SPIDER. Los operadores de DarkSide tradicionalmente se centraban en máquinas Windows y recientemente se han expandido a Linux, apuntando a entornos empresariales que ejecutan hipervisores VMware ESXi sin parches o roban credenciales de vCenter. El 10 de mayo, el FBI indicó públicamente que el incidente de Colonial Pipeline involucró al ransomware DarkSide . Más tarde se informó que a Colonial Pipeline le robaron aproximadamente 100 GB de datos de su red y que la organización supuestamente pagó casi $ 5 millones de dólares a un afiliado de DarkSide .

REvil

REvil, también conocido como Sodinokibi, fue identificado como el ransomware detrás de una de las mayores demandas de rescate jamás registradas: 10 millones de dólares. Lo vende el grupo criminal PINCHY SPIDER , que vende RaaS bajo el modelo de afiliado y normalmente se queda con el 40% de las ganancias.

De manera similar a las filtraciones iniciales de TWISTED SPIDER, PINCHY SPIDER advierte a las víctimas sobre la fuga de datos planificada, generalmente a través de una publicación de blog en su DLS (dedicated leak site) que contiene datos de muestra como prueba, antes de publicar la mayor parte de los datos después de un período de tiempo determinado. REvil también proporciona un enlace a la publicación del blog dentro de la nota de rescate. El enlace muestra la filtración a la víctima afectada antes de ser expuesta al público. Al visitar el enlace se iniciará una cuenta regresiva que hará que la filtración se publique una vez transcurrido el tiempo indicado.

Implicaciones para la Ciberseguridad

El auge del Ransomware como Servicio ha planteado desafíos significativos para la ciberseguridad a nivel mundial:

1. Mayor Propagación de Ransomware

La disponibilidad de RaaS ha llevado a un aumento en la cantidad de ataques de ransomware en todo el mundo. Esto afecta a empresas, organizaciones gubernamentales y usuarios individuales, causando pérdidas económicas y la interrupción de servicios críticos.

2. Amenaza Democrática

El Ransomware como Servicio permite a ciberdelincuentes con diversos niveles de habilidad llevar a cabo ataques de ransomware. Esto significa que cualquier persona con acceso a la dark web puede convertirse en un perpetrador de estos ataques, lo que dificulta la identificación y persecución de los responsables.

3. Mayor Necesidad de Defensas Robustas

Las organizaciones y usuarios deben fortalecer sus defensas cibernéticas para protegerse contra el ransomware. Esto incluye medidas como la concienciación sobre la seguridad, la actualización de software, el uso de soluciones de seguridad avanzadas y la realización de copias de seguridad regulares.

En síntesis, el Ransomware como Servicio representa una amenaza seria y en constante evolución en el mundo de la ciberseguridad. Su capacidad para permitir a una amplia gama de actores maliciosos llevar a cabo ataques de ransomware hace que sea esencial para la comunidad internacional de la ciberseguridad trabajar en conjunto para combatir esta creciente amenaza y proteger la integridad de los sistemas y datos en línea.

¿Te interesa como proteger aún más tu ciberespacio? Te invitamos a leer el siguiente articulo: https://www.compunetgroup.net/blogs/post/pr%C3%A1cticas-recomendadas-para-proteger-tu-red-del-ransomware y a contactarnos en hola@compunetgroup.net

Escrito por Rodrigo González

Director de Investigación y Ciberseguridad

Get Started Now

OWASP Top 10: A02 - Fallas Criptográficas

Wed, 13 Sep 2023 11:32:53 -0300

OWASP Top 10: A02 - Fallas Criptográficas

Protege tus aplicaciones web de ciberamenazas a través de una sólida implementación criptográfica. No, no caigas en estos errores comunes. Pero antes:

¿Qué es OWASP?

OWASP es un proyecto de seguridad de software sin fines de lucro que se dedica a mejorar la seguridad de las aplicaciones web. Su objetivo principal es concientizar sobre las vulnerabilidades de seguridad existentes y proporcionar recursos y herramientas para ayudar a las organizaciones a proteger sus aplicaciones web de manera más efectiva. Es conocido por su lista de las "10 principales vulnerabilidades de seguridad web" (OWASP TOP TEN) que se actualiza regularmente para reflejar las amenazas más recientes.

Puedes obtener más información sobre OWASP y su lista aquí: https://www.owasp.org/.

Y antes de continuar, te invitamos a revisar nuestro artículo anterior de OWASP donde abordamos una, si no la, principales vulnerabilidades de las aplicaciones web: A01 Broken Access Control aquí: https://www.compunetgroup.net/blogs/post/owasp-top-10-a01-control-de-acceso-roto

OWASP Top 10: A02 - Fallas Criptográficas

En el mundo digital actual, la confidencialidad de la información que “movemos” en el ciberespacio es una preocupación constante de usuarios y organizaciones. Tus aplicaciones web almacenan y transmiten datos sensibles que necesitan ser resguardados de forma segura con los resguardos necesarios. Sin embargo, las fallas criptográficas pueden poner en riesgo la integridad de tus aplicaciones y dar paso a ataques maliciosos que comprometan la seguridad de tus usuarios y tu reputación. Se trata del número 02 en el TOP TEN de OWASP WEB.

Solo imagina, por unos momentos, un escenario donde los atacantes pueden acceder libremente a datos cifrados, modificar información confidencial o incluso generar claves débiles. ¿Preocupante? Bien. Ahora imagina todo lo que pueden hacer estos ciber delincuentes con esa información.

¡No permitas que esto se convierta en una realidad para tu negocio!

Como expertos en ciberseguridad y desarrollo seguro de software, entendemos la importancia de una protección criptográfica sólida. Queremos ayudarte a mantener tus aplicaciones web a salvo de cualquier amenaza y nos interesa que conozcas debidamente las fallas comunes y, por supuesto, como evitarlas.

Ahora, ¿Qué son las fallas criptográficas?

Las fallas criptográficas son errores en el diseño, implementación o configuración de los mecanismos de cifrado utilizados en las aplicaciones web. Estas fallas pueden permitir que los atacantes:

Descifrar datos cifrados
Modificar datos cifrados
Generar claves cifradas débiles

Factores que contribuyen a las fallas criptográficas

Hay una serie de factores que pueden contribuir a las fallas criptográficas, incluyendo:

Uso de algoritmos de cifrado obsoletos o inseguros
Uso incorrecto de algoritmos de cifrado
Configuración incorrecta de algoritmos de cifrado
Implementación incorrecta de algoritmos de cifrado
Uso de librerías de terceros poco confiables

Impacto de las fallas criptográficas

Las fallas criptográficas pueden tener un impacto significativo en la seguridad de las aplicaciones web. Pueden permitir que los atacantes accedan a datos confidenciales, como información de identificación personal, datos financieros o secretos comerciales. Esto puede conducir a una serie de problemas, como robo de identidad, fraude financiero y pérdida de competitividad. Sin duda, un impacto en la imagen de tu organización.

¿Qué hacer? Recomendaciones específicas para evitar fallas criptográficas

Primeramente, siempre incorpora seguridad desde el diseño de tus aplicaciones. Debes ir siempre un paso delante de los ciber delincuentes y, al momento de diseñar, pensar como uno. Revisar estas efectivas recomendaciones:

Utilizar algoritmos de cifrado de clave pública y privada, como RSA o ECC. Se trata de algoritmos estándar de la industria altamente confiables.
Utilizar mecanismos de cifrado de extremo a extremo, que encriptan los datos desde el dispositivo del usuario hasta el servidor de destino. Es decir, no permitas que la comunicación puede ser interceptada.
Establece controles de acceso basados en roles para restringir el acceso a datos confidenciales. Recuerda siempre “ACCESSOS y ROLES en la necesidad de saber y con el mínimo privilegio” SIEMPRE.
Pentesting periódicos para identificar y corregir fallas criptográficas. Incorpora esta práctica en tus procesos de desarrollo, operación y mantención. No tengas duda alguna que invertir en un programa de ciberseguridad es, por lejos, más económico que hacerte cargo de las consecuencias de un ataque exitoso.

No olvides que una sola vulnerabilidad en tu aplicación web puede desencadenar una cascada de eventos indeseables. Evita convertirte en la próxima víctima de un ataque cibernético devastador. ¡La seguridad es tu mejor aliada! De verdad no queremos escribir sobre ti en el próximo artículo.

No hay que buscar muy lejos para encontrar ejemplos impactantes de fallas criptográficas. ¿Recuerdas el caso de Target en 2013? Los atacantes lograron robar las claves de cifrado de las tarjetas de crédito de millones de clientes, lo que resultó en un daño financiero y reputacional inmenso para la empresa. No dejes que tu negocio sufra el mismo destino.

¿Necesitas ayuda? Hablemos. Enfócate en tu negocio y deja la ciberseguridad en expertos.

Escrito por: Osvaldo Navarrete

Analista de Ciberseguridad

hablemos

Nuevo Ciberataque Impacta al Sector Salud en Canadá: Datos Sensibles Comprometidos en Alberta Dental Service Corporation

Tue, 22 Aug 2023 18:10:11 -0400

Nuevo Ciberataque Impacta al Sector Salud en Canadá: Datos Sensibles Comprometidos en Alberta Dental Service Corporation

En un preocupante giro de los acontecimientos, una nueva entidad del sector salud en Canadá ha sido víctima de un ciberataque devastador. En esta ocasión, la Alberta Dental Service Corporation (ADSC), un proveedor de servicios sociales de sanidad del gobierno canadiense centrados en la salud dental ha sido blanco de un ataque de ransomware que comprometió los datos personales de aproximadamente 1,47 millones de personas. Este artículo explora los detalles del ataque, sus implicaciones y la importancia de fortalecer las medidas de seguridad en el sector de la salud.

La Intrusión y Compromiso de Datos

La ADSC se convirtió en la última víctima de un ciberataque que ha dejado al descubierto la vulnerabilidad de las organizaciones en el sector de la salud ante las amenazas cibernéticas. La intrusión, que comenzó el 9 de julio, no fue descubierta completamente hasta semanas después. Durante más de dos meses, los atacantes tuvieron acceso a los sistemas de la ADSC, copiando datos sensibles, incluyendo información personal y detalles bancarios de sus usuarios.

Magnitud del Compromiso de Datos

La información comprometida afectó a un total de 1,47 millones de personas. Entre ellos, 7.300 archivos contenían datos especialmente sensibles, como información personal detallada y datos bancarios. Los datos comprometidos abarcan una amplia gama de información, que incluye nombres, apellidos, fechas de nacimiento, números de identificación, detalles de salud, correos electrónicos y datos de cuentas bancarias. Esta revelación pone de relieve la importancia crítica de proteger la información personal y de salud de los usuarios.

Acción Tomada por ADSC

La ADSC ha logrado recuperar sus sistemas afectados con un impacto mínimo en sus operaciones. Sin embargo, un aspecto preocupante es que, según informes, la organización pudo haber estado en contacto con los atacantes y haber pagado un rescate económico para recuperar el acceso a sus sistemas. Aunque no se han proporcionado detalles sobre la cantidad pagada como rescate, el incidente resalta la creciente tendencia de los ciberdelincuentes que aprovechan el ransomware para obtener ganancias financieras.

Un Patrón Emergente en el Sector Salud Canadiense

Este ataque se suma a una serie de incidentes recientes en el sector de la salud canadiense. La empresa CardioComm, especializada en productos de salud cardiovascular y electrocardiogramas, también fue víctima de un posible ataque de ransomware que interrumpió sus sistemas en línea. Aunque este incidente no se ha detallado públicamente, resalta una preocupante tendencia en el sector de la salud, donde las organizaciones se han convertido en objetivos principales para los ciberdelincuentes.

Necesidad de Fortalecer la Seguridad en el Sector Salud

La serie de ciberataques dirigidos a entidades de salud en Canadá subraya la urgente necesidad de que las organizaciones del sector refuercen sus medidas de seguridad cibernética. La información personal y de salud es altamente sensible y su compromiso puede tener graves consecuencias para los individuos afectados. Es fundamental que las organizaciones inviertan en soluciones de seguridad robustas, como sistemas de detección de intrusiones, firewalls avanzados y capacitación en concienciación sobre ciberseguridad para su personal.

Para obtener más información sobre tendencias y estrategias de mitigación de ransomware, te invitamos a consultar nuestro artículo: Ransomware: Tendencias y Estrategias de Mitigación.

El ciberataque a la Alberta Dental Service Corporation es un recordatorio inquietante de la creciente amenaza que enfrentan las organizaciones del sector de la salud en un entorno digital cada vez más hostil. La seguridad cibernética se ha convertido en una prioridad esencial para proteger los datos personales y de salud de los pacientes. Las organizaciones deben tomar medidas preventivas y proactivas para fortalecer sus sistemas y salvaguardar la confianza de sus usuarios en medio de esta ola creciente de ataques cibernéticos.

En Compunet, entendemos la complejidad de los desafíos de seguridad a los que se enfrentan las organizaciones. Nuestro equipo de expertos altamente capacitados se especializa en brindar soluciones personalizadas para prevenir, detectar y responder a amenazas cibernéticas.

No arriesgues la seguridad de tu organización. ¡Contáctanos hoy mismo y descubre cómo podemos fortalecer tu ciberdefensa! Tu seguridad es nuestra prioridad.

Lockbit 3.0 es una variante de malware muy peligrosa

Wed, 28 Jun 2023 12:47:16 -0400

Lockbit 3.0 es una variante de malware muy peligrosa

El Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT) ha publicado un documento con una serie de recomendaciones preventivas para ayudar a las empresas a protegerse contra el peligroso ransomware Lockbit 3.0.

Lockbit 3.0 es una variante de malware muy peligrosa que puede cifrar los archivos de una organización y exigir un rescate para su liberación. Esta nueva versión es especialmente preocupante, ya que utiliza técnicas avanzadas de evasión de detección y puede propagarse rápidamente a través de una red.

Para ayudar a prevenir una infección de Lockbit 3.0, el CSIRT recomienda las siguientes medidas de seguridad:

1. Mantener el software actualizado: Asegúrese de que su sistema operativo, aplicaciones y herramientas de seguridad estén actualizados con las últimas versiones y parches de seguridad.

2. Realizar copias de seguridad regularmente: Haga copias de seguridad de sus datos críticos con regularidad y guarde las copias en un lugar seguro y separado de su red principal.

3. Implementar medidas de seguridad robustas: Utilice soluciones de seguridad avanzadas como firewalls, sistemas de detección de intrusiones y antivirus para detectar y prevenir amenazas.

4. Educar a los empleados: Capacite a sus empleados sobre la importancia de la seguridad informática y cómo detectar y evitar correos electrónicos sospechosos y enlaces maliciosos.

5. Tener un plan de respuesta a incidentes: Tener un plan de respuesta a incidentes detallado y probado puede ayudar a minimizar el impacto de una infección de ransomware.

El documento del CSIRT también proporciona información detallada sobre la forma en que Lockbit 3.0 se propaga y los métodos que utiliza para evadir la detección. Además, se incluyen recomendaciones para detectar y responder a una posible infección.

Siguiendo estas recomendaciones, las empresas pueden mejorar significativamente su seguridad informática y reducir el riesgo de una infección de Lockbit 3.0. No se arriesgue a una infección de ransomware, tome medidas preventivas hoy mismo.

Fuente : https://www.csirt.gob.cl/

Descarga el documento https://csirt.gob.cl/media/2023/06/10CND23-00103-01.pdf

Hablemos

Descifrando el Smishing: ¡Su paquete ha sido retenido!

Tue, 23 May 2023 17:54:54 -0400

Descifrando el Smishing: ¡Su paquete ha sido retenido!

Durante las últimas semanas, nuestro país ha sido víctima de una masiva ola de mensajes de texto maliciosos. En estos mensajes, se repiten frases como "Estimado, tu paquete se devolverá hoy si no lo recoges en el punto de recogida..." o "Su paquete ha sido retenido por aduanas. Para su envío, pague las tasas de...". De hecho, es muy probable que algún familiar suyo o incluso usted mismo haya recibido un SMS como este. En este artículo, exploraremos cómo los ciberdelincuentes aprovechan los mensajes de texto para engañar a las personas y robar su información confidencial. Desvelaremos los pasos clave de un ataque de smishing y te proporcionaremos consejos para protegerte de esta amenaza digital.

1. El Gancho: Un Pedido Perdido o Retenido

Todo comienza con un mensaje de texto urgente que te informa sobre un pedido retenido o perdido. Este mensaje está diseñado para generar intriga y preocupación, capturando tu atención de inmediato. Los estafadores saben que una situación inesperada puede desencadenar respuestas emocionales impulsivas, lo que los hace más propensos a caer en la trampa.

2. El Engaño Perfecto: Un Sitio Web Falso

Después de presionar en el enlace, te dirigen a un sitio web que aparenta ser legítimo. Utilizando técnicas de diseño y marca convincentes, el sitio se asemeja a la página oficial de la tienda o proveedor. Sin embargo, es importante tener en cuenta que este sitio es falso y ha sido creado para engañarte.

Sitio web falso de Correos de Chile

Fuente: CSIRT del Gobierno de Chile

3. El Intento de Robo de Datos: Capturando tus Credenciales Bancarias

Dentro del sitio web falso, se te solicita que ingreses tus datos bancarios para procesar el pago y resolver el problema del pedido. Sin saberlo, estás proporcionando información confidencial directamente a los estafadores. Con tus credenciales bancarias en su poder, pueden realizar transacciones fraudulentas y comprometer tu seguridad financiera.

Sitio web falso de Correos de Chile , intentando obtener tus datos bancarios

Fuente: CSIRT del Gobierno de Chile

Pero ¿eso es todo? Como si fuera poco que te hayan robado tus datos bancarios o de tarjeta de crédito, quisimos adentrarnos más y verificar qué más están capturando los cibercriminales. ¡Ubicación! Así es, los cibercriminales incluyeron tu ubicación:

Función incluida en los Headers del sitio web malicioso

Los datos de ubicación que han obtenido los cibercriminales

Esto podría permitir al atacante recopilar información sobre la ubicación geográfica de las víctimas y utilizarla para dirigir ataques más específicos o personalizados en el futuro, además de hacer parecer más “creíble” el engaño, basándose en tu propia ubicación y mostrándola en pantalla.

¿Cómo evito caer en este tipo de estafas?, para esto, te proporcionamos los siguientes consejos:

Mantener la calma: Si recibes un mensaje de texto sobre un pedido retenido, evita dejarte llevar por la urgencia y la presión. Tómate un momento para evaluar la situación de manera racional.

Verifica la fuente del mensaje: Examina cuidadosamente el remitente del mensaje. Los cibercriminales suelen utilizar nombres o números de teléfono falsos para parecer legítimos. Si algo parece sospechoso o no reconoces el remitente, desconfía.

No hagas clic en enlaces sospechosos: Evita hacer clic en los enlaces proporcionados en el mensaje de texto. Estos enlaces pueden redirigirte a sitios web falsos diseñados para robar tu información personal y financiera. Si necesitas verificar el estado de tu pedido, accede directamente al sitio web oficial del proveedor o tienda.

No reveles información personal o financiera: Nunca compartas información confidencial, como tu número de tarjeta de crédito, CVV, contraseñas u otra información personal sensible a través de mensajes o sitios webs derivados de mensaje de texto no solicitados. Las entidades legítimas nunca te pedirán estos datos por mensaje de texto.

El smishing es una táctica de phishing por SMS que busca explotar tus emociones y tu sentido de urgencia. Conocer la anatomía de este ataque te ayuda a mantenerte alerta y protegerte. Recuerda nunca compartir información confidencial a través de mensajes de texto no solicitados y mantener actualizados tus conocimientos sobre ciberseguridad. ¡Mantén tus datos seguros y evita caer en las garras de los estafadores digitales!

Escrito por: Giovanni Díaz

Analista de Ciberseguridad

¿Qué es protección Zero Trust Network Access?

Thu, 30 Mar 2023 10:53:29 -0300

¿Qué es protección Zero Trust Network Access?

Hace unas semanas les hablé respecto de la importancia de la seguridad en la red desde el mismo diseño. Te dejo acá el articulo para que puedas leerlo, son 5 minutos 😉 https://www.compunetgroup.net/blogs/post/es-segura-mi-red

Hoy, quiero cambiar tu paradigma desde los antiguos modelos de seguridad perimetral y seguridad adaptativa hacia el modelo de confianza cero o Zero Trust Network Access (ZTNA para los amigos).

¿Qué es protección Zero Trust Network Access?

En el mundo de la ciberseguridad, Zero Trust es el conjunto de políticas pensadas para que ningún equipo o usuario dentro o fuera de la red de un cliente tenga acceso a los servicios e infraestructura, a menos que sea de extrema necesidad. Se trata de un nuevo paradigma en el modelo de implantación, gestión y operación de seguridad y ciberseguridad.

John Kindervag, en el 2010, mientras trabajaba como analista principal en Forrester Research, desarrolló una arquitectura Zero que permitía garantizar la protección eficaz de los activos más valiosos de una organización.

En resumen, una red Zero Trust:

Registra e inspecciona todo el tráfico de la red corporativa
Limita y controla el acceso a la red
Verifica y protege los recursos de la red

Se trata de mantener, siempre y en todo momento, la premisa de CONFIANZA CERO validando y verificando la identidad de un usuario, los privilegios que este posee para determinado acceso en un especifico y determinado contexto. Es decir, nunca dar por hecho una relación de confianza basada únicamente en la autenticación, privilegios o activos y validar constantemente el contexto. Con contexto, nos referimos, por ejemplo, a la ubicación, configuraciones, políticas, etc. ZTNA implementa un concepto, fundamental en la arquitectura de este modelo, denominado la microsegmentación lo cual es, en estricto rigor, la implementación de túneles 1:1 entre usuario o activo estableciendo conexiones seguras, con un alto performance, únicamente hacia el activo (aplicación, sistema, servicio, etc) que es definido de manera indistinta a otros privilegios otorgados micro segmentando el acceso seguro de manera tal que nunca sea comprometido un “acceso” remoto completo de un determinado usuario y, siempre, validando el contexto a nivel de política.

¿Por qué necesitaría un modelo de seguridad Zero Trust?

En la actualidad la mayoría de las empresas invierten una gran cantidad de recursos y activos para proteger la información pensado que solo desde la red pública existen ataques. ¿Pero estamos realmente protegidos? ¿Qué pasa con un computador infectado que se conecta a la red LAN o que se conecta mediante un cliente VPN?; que se supone que son redes seguras, o incluso el equipo sea infectado ya estando autentificado.

La pandemia nos enseñó a seguir trabajando desde cualquier lugar del mundo mientras exista un acceso a Internet aumentando exponencialmente, con esto, los vectores y superficie de ataque y explotación de vulnerabilidades de las compañías, es por esto que Zero Trust se convirtió en el mejor amigo para todas las compañías que evolucionaron a modalidades híbridas o full teletrabajo. Extendiendo la seguridad hasta el lugar en que los trabajadores se encuentren.

Para poder implementar la metodología Zero Trust acá tenemos un listado de algunas de las acciones más importantes:

Segmentación de la red para impedir movimientos laterales.
Catalogar todos los activos y servicios para luego asignar permisos en función a roles.
Análisis en tiempo de real de equipamiento.
Bloqueo de vulnerabilidades.
Disminuir el uso de VPN y Firewall.
Autentificación multi factor (MFA).
Visibilidad de los entornos locales, de nube y de los dispositivos IoT, etc.
Estrategia de seguridad frente a amenazas avanzadas.
Análisis completo del Hardware del usuario.

Actualmente existen fabricantes que cuentan con la tecnología que permite un diseño y despliegue de ZTNA en toda su empresa, para más información no olvides contactarnos para poder evaluar el diseño que más se acomode a su negocio y necesidades.

Escrito por: Alexis Peña

Líder en Redes en Compunet Group.

¿Qué son los IoC y los IoA?

Wed, 15 Mar 2023 14:26:07 -0300

¿Qué son los IoC y los IoA?

La monitorización, análisis, correlación e inteligencia de ciberseguridad es un rol clave, fundamental, el cual es realizado por los analistas de ciberseguridad que operan un SOC. Su labor es la analizar, de manera constante y continua, cualquier “indicador” que pueda representar una amenaza para la seguridad y ciberseguridad de nuestros activos y ciber-activos; Para el negocio.

Para que tengas contexto respecto de la operación que realiza un SOC, te invito a leer nuestro artículo escrito por Darling Núñez, analista de ciberseguridad: https://www.compunetgroup.net/blogs/post/conoces-que-labor-cumple-un-soc

¡Entonces, vamos!

¿Qué es un IoC?

IoC son las siglas de Indicator of Compromise. Es decir, se trata de una unidad métrica para determinar la existencia o no de un compromiso sobre uno o más activos o ciberactivos. Es, en estricto rigor, un indicado estático y de carácter forense. Es estático, toda vez que es un indicador que está o no está (booleano) y cuando está, se trata de una evidencia forense de una posible brecha de seguridad que se ha materializado. Se trata entonces de un indicador que permite realizar búsquedas proactivas de actividad inusual, brechas y/o vulnerabilidades sea de forma manual o automatizada a través de algún software o script desarrollado para este propósito desde el equipo de analistas de SOC, como parte de las tareas del SOC, para detección y búsqueda temprana de actividad maliciosa.

Un IoC no siempre es fácil de detectar, en ocasiones está “escondido” en registros de LOG “sin correlacionar”, en índices de bases de datos, en sistemas “silos”, en metadatos, etc. Ejemplos de IoC pueden ser:

Archivos
Actividad anómala en procesos de log-in (red flags)
Consultas DNS
Actividad anómala en la red
Incremento o actividad inusual de disco (base de datos, registros)
Accesos anómalos al contexto (ubicación, intentos fallidos, dispositivos, sistemas operativos, etc.)
Cambios en privilegios, permisos, roles, archivos, registros, etc.

¿Qué es un IoA?

IoA son las siglas de Indicator of Attack. Es decir, se del registro de un ataque (o intención de ataque) registrando el alcance (activo) y las técnicas, tácticas y procedimientos (TTP) que se están empleando, siendo esto último, en términos de indicador, más relevante que el origen que lo detona sea esto un malware, un atacante externo u otro; Por supuesto, en el contexto del análisis y uso del indicado de ataque toda vez que se trata de un indicador, dinámico, el cual efectivamente señala la materialización de un incidente y es dinámico al “cambiar” conforme las distintas etapas del ataque se suceden siendo un indicador fidedigno, con bajo o nulo falso-positivo, y que ayuda a identificar el tipo de ataque (campaña a través de las TTP).

En el contexto de que este indiciador es dinámico ya que permite “avanzar” en las distintas etapas del ataque: Reconnassance, Weaponization, Delivery, Explotation, Instalation, C&C and Movement (Lateral). Es decir, se trata de un indicador altamente dinámico y proactivo que operan en tiempo real por la naturaleza propia de un ataque.

¿Cuál es la diferencia entre un IoC y un IoA?

Primeramente, mientras el IoC es un indicador estático, IoA es dinámico y mientras IoC es una evidencia, desde el punto de vista forense, IoA es un indicador predictivo al que se le debe poner énfasis toda vez que “avisa” de un ataque en progreso o inminente. Entonces, normalmente los equipos SOC detectan IoA antes o durante la ejecución de un ataque de manera tal de contener y evitar la exfiltración de datos o el compromiso de sistemas e infraestructura deteniendo, consecuentemente, el negocio. Finalmente, el IoC es una firma estática donde, de manera previa, alguien debió conocer el IoC para tomar su firma y así podamos reconocerlo mientras que un IoA es dinámico y se le detecta por las TTP empleadas.

Los indicadores de ataque (IOA) se centran en detectar la intención de lo que un agente de amenaza se encuentra realizando, independientemente del malware o exploit utilizado en un ataque. Mientras que los indicadores de compromiso (IoC), al igual que las firmas AV, abordan un enfoque basado en la detección sin ser capaz de detectar las crecientes amenazas de intrusiones que no hacen uso de malware y/o emplean exploits de día cero. (Thank so much my dear friend Mike!).

Los equipos de analistas de ciberseguridad que operan en SOC hacen uso de ambos indicadores creando una sinergia en el uso de ambos indicadores apoyados por el mapa de TTP que ha documentado MITRE (ATT&CK), correlación a inteligencia de amenazas para tener una visibilidad 360 de todos los activos gestionados y el comportamiento de la infraestructura en su totalidad.

¿Y qué pasa cuando hay un ataque?

Entonces viene la respuesta a incidentes. Otro día 😉

César Millavil A

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM

Prácticas recomendadas para proteger tu red del Ransomware

Tue, 06 Dec 2022 12:30:34 -0300

Prácticas recomendadas para proteger tu red del Ransomware

El 66% de las organizaciones se vieron afectadas por el ransomware el año pasado*, lo que demuestra que los ciberdelincuentes se han vuelto considerablemente más capaces de ejecutar ataques a escala que nunca antes.

Los ataques modernos aprovechan herramientas informáticas legítimas, como el Protocolo de Escritorio Remoto (RDP), para acceder a las redes, lo que dificulta notablemente la detección inicial. La raíz del problema es que hay demasiada confianza implícita en el uso de estas herramientas, lo que ha demostrado ser imprudente en repetidas ocasiones.

La aplicación de sólidas medidas de seguridad en la red es una forma segura de mitigar este riesgo. En este artículo, compartimos consejos prácticos de seguridad de red para ayudar a elevar la protección contra el ransomware.

Microsegmenta tu red

La microsegmentación permite limitar el movimiento lateral de las amenazas. Una forma de conseguirlo es crear pequeñas zonas o VLAN y conectarlas mediante switches gestionados y un firewall para aplicar la protección antimalware e IPS entre segmentos. Esto permite identificar y bloquear las amenazas que intentan moverse lateralmente a través de la red.

Sustituye la VPN de acceso remoto por una solución de acceso a la red de confianza cero (ZTNA)

ZTNA es el sustituto moderno de la VPN de acceso remoto. Elimina la confianza inherente y el amplio acceso que proporciona la VPN, y en su lugar utiliza los principios de la confianza cero: no confiar en nada, verificar todo.

Implementa la protección más fuerte posible

Despliega el mayor nivel de protección en tu firewall, endpoints, servidores, dispositivos móviles y herramientas de acceso remoto, siempre. En particular:

Asegúrate de que tu firewall cuenta con inspección TLS 1.3, IPS de última generación y DPI de streaming con aprendizaje automático y sandboxing para protegerte de las últimas amenazas de día cero.

Asegúrate de que tus endpoints tienen capacidades de protección de última generación para protegerse contra el robo de credenciales, los exploits y el ransomware

Reduce la superficie de los ciberataques

Recomendamos que revises las reglas de tu firewall y elimines cualquier acceso remoto o acceso al sistema RDP a través de VPN, NAT o reenvío de puertos, y que te asegures de que cualquier flujo de tráfico está debidamente protegido. Eliminar la exposición del acceso remoto contribuye en gran medida a reducir el número de vías de entrada de los atacantes para lanzar ataques de ransomware.

Mantén el firmware y el software parcheados y actualizados

Esto es importante tanto para la infraestructura de red (como el firewall o el software de acceso remoto o los clientes) como para los sistemas, dado que cada actualización incluye importantes parches de seguridad para vulnerabilidades previamente descubiertas.

Utiliza la autenticación multifactorial (MFA)

Asegúrate que tu red funciona con un modelo de confianza cero en el que cada usuario y dispositivo tiene que ganarse continuamente la confianza verificando su identidad. Además, aplica una política de contraseñas fuertes y considera la adopción de soluciones de autenticación como Windows Hello for Business.

Responde al instante a los ciberataques

Utiliza las tecnologías de automatización y la experiencia humana para acelerar la respuesta a los ciberincidentes y su reparación. Asegúrate de que tu infraestructura de seguridad de red te ayuda a responder automáticamente a los ataques activos para que puedas aislar un host comprometido antes de que pueda causar daños graves.

Una forma cada vez más popular de conseguirlo es a través de un servicio de detección y respuesta gestionada (MDR). El MDR es un servicio totalmente gestionado, 24 horas al día y 7 días a la semana, ofrecido por expertos especializados en detectar y responder a los ciberataques que las soluciones tecnológicas no pueden evitar por sí solas.

* The State of Ransomware 2022, Sophos

Fuente: https://news.sophos.com/es-es/2022/12/05/practicas-recomendadas-para-proteger-tu-red-del-ransomware/