Los defensores de las empresas tienen un trabajo duro. A diferencia de las pequeñas empresas, las grandes empresas pueden tener miles de puntos finales, hardware heredado de fusiones y adquisiciones, y aplicaciones heredadas que son críticas para el negocio y evitan la aplicación de parches a tiempo. Agregue a eso un diluvio de indicadores y metadatos del perímetro que pueden representar las etapas iniciales de un ataque devastador, o puede que no sea nada.

Entonces, ¿cómo salen los defensores de la red detrás de la bola 8? ¿Cómo aportan los líderes una estrategia efectiva para movilizar recursos de respuesta a incidentes (IR)? Para lidiar con problemas complejos como estos, los investigadores de seguridad han desarrollado una serie de modelos de IR para ayudar a llevar una estrategia de máxima eficacia y eficacia a los esfuerzos de defensa de la red.

La cadena cyber kill.

En 2011, Lockheed Martin desarrolló la cadena cyber kill . Prestada por el ejército de los EE. UU., La cadena de destrucción esencialmente rompe la mayoría de los ataques cibernéticos a sus elementos constitutivos, y teoriza que el hecho de forzar una parada en cualquiera de las siete fases evitará todo el ataque. Entonces, si un ataque es atrapado en la fase de instalación y remediado, el atacante ya no puede actuar para cumplir con los objetivos. Pero si la protección de punto final puede detener un ataque en la fase de entrega, tanto mejor.

La idea general que hace que la cadena de muertes sea una forma tan atractiva de ver un ataque es que no se puede bloquear todo. Malspam atravesará las defensas del perímetro. El reconocimiento a veces sucederá, te guste o no. La explotación definitivamente ocurrirá con ese empleado que se compromete a hacer clic en todo.

Así que en lugar de lanzar una línea Maginot de defensas cada vez mayores a un costo cada vez mayor, la cadena de muertes sugiere que los defensores tienen siete oportunidades para cerrar un ataque, y pueden luchar en el campo de batalla de su elección. Si bien sería mejor identificar un ataque en la fase de Reconocimiento, matarlo en la fase de Entrega puede mantener la red igual de segura, sin quemar su SOC esperando que lo atrapen todo. Echa un vistazo a algunos detalles más sobre cómo se implementa la cadena kill aquí.

El modelo ATT & CK.

Un modelo algo más granular, ATT & CK es una matriz que mapea una larga lista de capacidades de atacante a una cadena de ataque de 12 pasos. A menudo visto como un complemento de la cadena de muertes, el ATT & CK puede ser un ejercicio útil para hacer coincidir las TTP ya observadas para atacar las fases de la cadena y determinar las prioridades de defensa. Cuando se analizan los casos de uso del modelo, el intercambio de datos de amenazas es uno de los más útiles. El mapeo de una matriz completa de TTP observadas puede ser un método para compartir rápidamente una instantánea del panorama de amenazas en múltiples grupos defensivos u diferentes organizaciones.

La mayoría de las críticas de la cadena de muertes y sus variantes más recientes se reducen a «¿qué pasa con X?» Esto es un poco equivocado, ya que las capacidades de los atacantes cambian con el tiempo, y una matriz completa de TTP sería agotadora y probablemente inexacta. de alguna manera. Con lo que realmente se pretende ayudar a estos modelos es traer inteligencia y estrategia de amenazas al SOC para eliminar la reactividad ciega. El uso de cualquier modelo estratégico puede traer mejores resultados que el monitoreo ciego.

Inteligencia: el punto más grande.

La idea clave para el líder de SOC o CISO que busca implementar un modelo de IR no es elegir el modelo singularmente correcto. Más bien, la implementación de la defensa estratégica en cualquier forma puede aumentar la capacidad de respuesta, la eficiencia y la precisión del SOC. Tener una matriz bien mapeada que vincule los indicadores observados con fases de ataque específicas puede ser una ayuda para priorizar las respuestas, así como para juzgar la gravedad de un ataque exitoso capturado en la mitad del proceso.

Más importante aún, tener un modelo de respuesta a incidentes obliga al personal de SOC a responder a un incidente de una manera estratégica, abordando las amenazas más alejadas de la cadena de ataque primero y utilizando la clasificación de amenazas para obtener información sobre posibles ataques en curso. Al igual que con la guerra convencional, vencer los ataques y ganar la guerra depende de tener un plan.

Aquí hay una evolución interesante en una estafa muy desgastada: tomar una ganancia falsa generadora de ganancias y convertirla en algo completamente distinto.

Durante años, los jugadores se han quedado atascados navegando por las aguas traicioneras de los sorteos de videojuegos falsos . Con tantos sorteos de juegos genuinos reales, nunca estás seguro de si un sitio que ofrezca puntos de Xbox gratis, o créditos de Steam, o contenido descargable, hará lo que dice.

Por lo general, el sitio le pedirá que elija su recompensa, luego «verifique que es un ser humano» o simplemente ayude en un proceso ficticio haciendo clic en un anuncio o completando una encuesta o descargando un archivo y esperando que no sea malware.

El jugador nunca recibe sus recompensas . Sin embargo, pueden terminar con algunos visitantes inesperados en sus escritorios.

¿Cuál es el cambio aquí?

Un individuo emprendedor claramente ha tenido suficiente de la naturaleza salvaje de los videojuegos y ha decidido intentar ganar dinero en un ámbito menos explorado.

Paso a paso, Bitcoin, o para ser más precisos, Bitcoin Cash . Bitcoin efectivo es una forma de criptomoneda que siguió su propio camino en 2017, y luego se divide de nuevo en lo que sólo puedo llamar a la gran Bitcoin guerra en efectivo de 2018 cuando dos grupos rivales imaginaron muy diferentes direcciones para la moneda en ciernes.

La intención, con o sin división, se suponía que era una moneda digital que funcionaba más como una moneda que como una inversión digital. Es este terreno fértil el que prepara la escena para el sitio que estamos a punto de ver: Bitcoin-cash-generator (punto) com.

Click para agrandar

Empezando las cosas

El sitio web afirma que «inyecta exploits en los conjuntos de efectivo de Bitcoin y la cadena de bloques». Intentan presionar a los visitantes desde el principio, afirmando que limitan el uso de la herramienta a 30 minutos por dirección IP, hasta un beneficio máximo de 2.5 BCH. Eso es alrededor de £ 815 / US $ 1,024, así que es un poco ordenado de ganancias por saltar algunos aros. Para referencia, la cantidad mínima que un visitante puede solicitar es 0.1 BCH, aproximadamente £ 32 / US $ 41.

Cualquiera que sea la porción del pastel que un visitante elija, van a recuperar un poco de dinero … ¿O lo son?

¿En qué aros tenemos que saltar?

A diferencia de muchos sitios de estafa de juegos similares, sorprendentemente poco. Sin un aspecto social, no hay ninguna razón real para pegar botones de compartir en todo el lugar o pedir que se los envíen a los amigos. Esto es todo sobre el visitante del sitio solamente. Simplemente tienen que “Ingrese su dirección de efectivo de Bitcoin abajo [sic]” y mueva un control deslizante para seleccionar la cantidad deseada. (Y realmente, ¿quién elegirá algo menos que el máximo?) Luego, presionan el botón de inicio.

Las ventanas emergentes abundan de otras direcciones IP que reciben cantidades. «La gente» en la sala de chat confirma que funciona muy bien. Cualquier duda que pueda haber tenido un usuario probablemente haya desaparecido en este punto.

Click para agrandar

Después de confirmar la cantidad deseada, nos dirigimos a las carreras «este sitio web no está haciendo nada».

Construyendo la mentira

Aquellos que estén familiarizados con los puntos de juegos falsos / sitios web de tarjetas de regalo gratis conocerán el ejercicio. Aparece una colección de cajas aleatorias, que afirman estar pirateando el Gibson. Cuanto más vagamente técnico sea el sonido de todo, mejor, cualquier cosa que venda la visión de las hazañas reales, de honestidad a bondad, haciendo cosas extrañas de explotar en el fondo.

Click para agrandar

«Inyectar solicitudes de transferencia en la cadena de bloques». Odio cuando eso sucede.

Click para agrandar

“Conexión al canal de mantenimiento de blockchain”

Bueno, por supuesto, siempre es útil cuando se conecta al antiguo canal de mantenimiento de la cadena de bloques.

Este es uno   de mis favoritos en particular, ya que es el intento de cada programa de televisión de mostrarte algo de piratería en una pantalla en una imagen hilarante:

Click para agrandar

También es útil para desenterrar varios sitios web similares que aparentemente usan aspectos del mismo código «Definitivamente estamos pirateando una cadena de bloques honesta».

Durante el supuesto proceso de piratería, se hacen varias reclamaciones en las que varios intentos no han logrado obtener el efectivo, pero continúan perseverando en ello. Si bien muchas de las estafas de encuestas son casi instantáneas, estas cosas realmente extienden la ilusión y hacen que los visitantes esperen unos minutos mientras la batalla titánica (ficticia) se desvanece.

Eventualmente: ¡éxito!

Lamentablemente, el éxito tiene un precio. En este punto, esta nueva encuesta le pedirá que complete algunas ofertas. El sitio de puntos de videojuegos gratuitos le pedirá que instale un juego dudoso o enlaces de spam en las redes sociales.

¿Aquí?

Necesitan que hagas una pequeña donación, porque por supuesto que sí. El sitio dice lo siguiente:

La red de BitcoinCash requiere que se pague una pequeña tarifa por cada transacción que se envíe a los mineros, de lo contrario, es posible que una transacción nunca se confirme. Para garantizar que su transacción se confirme de manera consistente y confiable, pague a los mineros una tarifa de 0.00316 BCH por esta transacción en: [dirección de la billetera]

La solicitud de 0.00316 BCH (aproximadamente £ 1 / US $ 1.30) se realiza independientemente de si solicita la cantidad mínima / máxima de efectivo gratis. No se escala hacia arriba.

Click para agrandar

¿Esto funciona?

La única cosa que no funciona en todo esto es visitantes del sitio web que envían pequeñas cantidades de dinero a la gente detrás del sitio web (s). Como se mencionó anteriormente, hemos visto algunos otros sitios que hacen lo mismo, como freebtc (punto) uw (punto) hu y smartcoingenerator (punto) com:

Click para agrandar

Click para agrandar

Senderos de dinero

Un aspecto interesante de este tipo de estafa que se ramifica en el mundo de las monedas digitales es una mayor visibilidad de las travesuras del propietario del sitio. Solo puede llegar tan lejos con estafas de encuesta o perfiles de redes sociales al azar que envían enlaces de spam. Aquí, sin embargo, gran parte de lo que constituye una transacción digital está ahí fuera en el éter como un asunto de registro público.

Hay industrias completas dedicadas al análisis de las transacciones de Bitcoin y cómo las personas hacen que su dinero digital fluya por los tubos del dinero. En general, la experiencia de la mayoría de la gente de ver cómo se mueven las ruedas de Bitcoin se centra en Bitcoin antiguo y simple. Bitcoin Cash es un poco diferente, pero todavía puedes echar un vistazo detrás de escena.

Los diversos sitios que hemos visto ofrecen diferentes direcciones para enviar sus «pequeñas transacciones», y no todos están enfocados en BitCoin Cash. Con referencia a la utilizada en Bitcoin Cash Generator, parecen haber ganado un poco de dinero hasta ahora . Sin embargo, parece dudoso que alguien se retire de eso.

Otra estafa muerde el polvo

Estos sitios de Bitcoin Cash Generator son otro subgénero de estafas de encuestas que deben presentarse bajo la etiqueta «Algo para nada». Si obtener la moneda digital en tus manos fuera tan fácil, todos lo harían. En cambio, es un punto de venta único para un puñado de sitios web que acechan en las esquinas de la red.

Imagina un mundo en el que la inteligencia artificial se ha vuelto rebelde: los robots se han rebelado contra sus amos y ahora han esclavizado a toda la humanidad. No hay más belleza natural en el mundo y todo es horrible.

¿Sacar eso de tu sistema? Bueno.

La realidad de la IA maliciosa, al menos en el futuro cercano, es mucho menos distópica. Sin embargo, esuna realidad, y estará aquí antes de lo que la gente pueda pensar. Al igual que con toda la tecnología disruptiva, después de la adopción temprana y feliz, pronto sigue el abuso. Y si los cibercriminales saben una cosa, es cómo sacar provecho de una tendencia.

Por lo tanto, el último informe de Malwarebytes Labs adopta un enfoque pragmático para evaluar los peligros de la IA y el aprendizaje automático (ML), analizando exactamente cómo se utilizan estas tecnologías hoy en día, sus beneficios y nuestras preocupaciones por el abuso en el futuro cercano. ¿Por qué? Para que los desarrolladores, profesionales de la seguridad y otras organizaciones puedan incorporar AI de manera responsable y protegerse contra posibles ataques.

Sin más preámbulos, presentamos:

Cuando la inteligencia artificial sale mal: separar la ciencia ficción de la realidad

Los estafadores de soporte técnico son conocidos por participar en un juego de locos con defensores. Por ejemplo , el mes pasado hubo informes de que los delincuentes habían invadido Microsoft Azure Cloud Services para alojar páginas de advertencia falsas, también conocidas como bloqueadores de navegadores. En este blog, echamos un vistazo a una de las principales campañas que es responsable de dirigir el tráfico a esas páginas scareware alojadas en Azure.

Descubrimos que los estafadores han estado comprando anuncios que se muestran en los principales portales de Internet para dirigirse a un grupo demográfico más antiguo. De hecho, estaban usando resultados de búsqueda pagados para dirigir el tráfico hacia blogs de señuelos que redirigirían a las víctimas a una página de bloqueo de cejas.

Este esquema ha estado funcionando durante meses y se ha intensificado recientemente, manteniendo al mismo tiempo el mismo modus operandi. Aunque no son demasiado sofisticados, los actores de amenazas detrás de esto han podido abusar de las principales plataformas publicitarias y los proveedores de alojamiento durante varios meses.

Aprovechamiento de resultados de búsqueda pagados

Las estafas de soporte técnico se distribuyen normalmente a través de campañas de publicidad maliciosa. El tráfico de adultos baratos suele ser el primero en la lista para muchos grupos de estafadores. No solo es rentable, sino que también contribuye a la psicología de los usuarios que creen que se infectaron después de visitar un sitio web poco fiable.

Otras veces, vemos a los estafadores apuntando activamente a las marcas al tratar de hacerse pasar por ellas. La idea es atraer a las víctimas que buscan apoyo con un producto o servicio en particular. Sin embargo, en esta campaña en particular, los delincuentes se dirigen a personas que buscan recetas de comida.

Hay dos tipos de resultados de una página de resultados del motor de búsqueda (SERP):

• Resultados de búsqueda orgánicos que coinciden con la consulta de búsqueda del usuario en función de la relevancia. Los sitios que figuran en la lista superior suelen ser los que tienen la mejor optimización de motores de búsqueda (SEO).
• Resultados de búsqueda pagados, que son básicamente anuncios relevantes para la consulta del usuario. Requieren un presupuesto determinado donde no todas las palabras clave tienen el mismo costo.

Debido a que los resultados de búsqueda pagados generalmente se muestran en la parte superior (a menudo combinados con los resultados de búsqueda orgánicos), tienden a generar más clics.

Buscamos varias recetas en varios portales web diferentes (CenturyLink, Att.net, Yahoo! search y xfinity) y pudimos encontrar fácilmente los anuncios comprados por los estafadores.

No tenemos métricas exactas sobre cuántas personas hicieron clic en esos anuncios, pero podemos inferir que esta campaña atrajo una cantidad significativa de tráfico en función de dos indicadores: el primero es nuestra propia telemetría y el segundo de un acortador de URL utilizado por uno de los sitios web:

Si bien esos anuncios son típicos y coinciden bastante bien con nuestra búsqueda de palabras clave, en realidad se redirigen a sitios web creados con intenciones maliciosas.

Sitios web de señuelos

Para apoyar su plan, los estafadores han creado una serie de blogs relacionados con los alimentos. El contenido parece ser genuino, e incluso hay algunos comentarios sobre muchos de los artículos.

Sin embargo, tras una inspección más cercana, podemos ver que esos sitios básicamente han tomado contenido de varios sitios de desarrolladores web que ofrecen plantillas HTML gratuitas o de pago. “<! – Mirrored from …” es un artefacto dejado por la herramienta de copiadora del sitio web de HTTrack . Incidentalmente, este tipo de reflejo es algo que a menudo presenciamos cuando se trata de páginas de bloqueo de navegador que se han copiado de otros sitios.

Durante nuestras pruebas, visitar esos sitios directamente no generó ningún redireccionamiento malicioso, y parecían ser absolutamente benignos. Con solo pruebas circunstanciales y sin la llamada pistola humeante, todavía no se pudo establecer un caso.

Cadena de infección completa

Después de algunas pruebas y errores que incluyeron el intercambio de varias cadenas de Usuario-Agente y evitar el uso de VPN comerciales, finalmente pudimos reproducir una cadena de infección completa, desde el anuncio original hasta la página de bloqueo del navegador.

La URL del blog se llama tres veces consecutivas, y la última realiza una solicitud POST con el eventual redireccionamiento condicional al bloqueo de cejas. En la captura de pantalla a continuación, puede ver la diferencia entre el encubrimiento adecuado (sin comportamiento malicioso) y la redirección a una página de bloqueo de cejas:

Página de browlock

La página de advertencia falsa es bastante estándar. Comprueba el tipo de navegador y sistema operativo para mostrar la plantilla adecuada para las víctimas de Windows y Mac OS.

Los estafadores a menudo registran rangos completos de nombres de host en Azure mediante iteraciones a través de números adjuntos a cadenas aleatorias. Si bien muchas de esas páginas se bajan rápidamente, las nuevas se están recuperando constantemente para mantener la campaña en marcha. Aquí hay algunos patrones de URI que observamos:

10-server [.] Azurewebsites [.] Net / call-now1 / 
2securityxew-561error [.] Azurewebsites [.] Net / Call-Now1 / 
10serverloadingfailed-hgdfc777error [.] Azurewebsites [.] Net / chx / 
11iohhwwwefefuown. azurewebsites [.] net / Call-Support1 / 
11serversecurityjunkfile-65error [.] azurewebsites [.] net / Call-Mac-Support / 
2serverdatacrash-de-12error [.] azurewebsites [.] net / mac / 
2systemservertemporaryblockghjccccc- azurewebsites [.] net / mac-support /

Creemos que los delincuentes también pueden estar rotando el sitio de señuelo que realiza la redirección además del filtrado de usuario existente para evitar la detección de los escáneres de seguridad.

Encontrar a los perpetradores

No aprobamos la interacción directa con los estafadores, pero parte de esta investigación fue sobre quién estaba detrás de esta campaña para tomar medidas y evitar más víctimas.

Para continuar con el engaño, los técnicos deshonestos nos mintieron sobre el estado de nuestra computadora e inventaron amenazas imaginarias. El objetivo era vender paquetes de soporte costosos que en realidad agregan poco valor.

La empresa que vende esos servicios es A2Z Cleaner Pro (también conocida como Coretel Communications) y una víctima la identificó previamente en agosto de 2018 en un comentario de blog en el sitio web de la FTC.

Su sitio web está alojado en 198.57.219.8, donde encontramos otros dos artefactos interesantes. La primera es una compañía llamada CoreTel que también es utilizada por los estafadores como una especie de entidad comercial. Parece ser una estafa de otro dominio que ya existía por varios años y también alojado en la misma dirección de IP:

Y luego, hay dos nuevos sitios de recetas que se registraron en junio y, al igual que en los anteriores, también usan contenido copiado de otros lugares:

Mitigación y derribo.

La extensión del navegador de Malwarebytes ya estaba bloqueando heurísticamente las diversas páginas de bloqueo de cejas.

Inmediatamente informamos los anuncios fraudulentos a Google y Microsoft (Bing), así como los blogs de señuelos a GoDaddy. La mayoría de sus dominios ya han sido eliminados y sus campañas publicitarias han sido prohibidas.

Esta campaña de estafa de soporte técnico se dirigió hábilmente a un segmento mayor de la población mediante el uso de resultados de búsqueda pagados para recetas de alimentos a través de portales en línea utilizados por muchos proveedores de servicios de Internet.

No hay duda de que los estafadores continuarán abusando de las plataformas publicitarias y los proveedores de alojamiento para llevar a cabo su negocio. Sin embargo, la cooperación de la industria para los derribos puede retrasarlos y evitar que miles de víctimas sean defraudadas.

Indicadores de compromiso

Blogs de señuelos

alhotcake [.] com 
bestrecipesus [.] com 
cheforrecipes [.] com 
chilly-recipesfood [.] com 
cookwellrecipes [.] com 
dezirerecipes [.] com 
dinnerplusrecipes [.] com 
dinnerrecipiesforu.com 
handmaderecipies [com] 
homecookedrecipe [.] com 
hotandsweetrecipe [.] com 
just-freshrecipes [.] com 
lunch-recipesstore [.] com 
mexirecipes [.] com 
neelamrecipes [.] com 
nidhikitchenrecipes [.] com 
organicrecipesandfood [.] com 
recipes4store [.] com 
recipestores [.] com 
royalwarerecipes [.] com 
smokyrecipe [.] com 
specialsweetrecipes [.] com 
starcooking [.] starrecipies del club 
[.] com 
sweethomemadefoods [.] com
tatesty-recetas [.] com 
today4recipes [.] com 
tophighrecipes [.] com 
toptipsknowledge [.] com 
totalspicyrecipes [.] com 
vegfood-recetas [.] com 
yammy-recetas [.] com 
handmaderecipies [.] com 
homecookedrecipe [.] com 
com hotandsweetrecipe [.] 
just-freshrecipes [.] com 
almuerzo-recipesstore [.] com 
mexirecipes [.] com 
neelamrecipes [.] com 
nidhikitchenrecipes [.] com 
organicrecipesandfood [.] com 
recipes4store [.] com 
recipestores [.] com 
royalwarerecipes [.] com 
smokyrecipe [.] com 
specialsweetrecipes [.] com 
starcooking [.] starrecipies club 
[.] com 
sweethomemadefoods [.] com 
tatesty-recetas [.] com
today4recipes [.] com 
tophighrecipes [.] com 
toptipsknowledge [.] com 
totalspicyrecipes [.] com 
vegfood-recipes [.] com 
yammy-recetas [.] com
healthycookingidea [.] com 
recipesstudios [.] com

a2zpcprotection [.] com 
a2zcleanerpro [.] com

Regex para que coincida con las URI de browlock en Azure

^ http (s |): \ / \ / (?! www) ^. {2} [az] {2,7} \ / ([cC] all – ([nN] ow | Support) 1 | chx | macx | (Call -)? [MM] ac- [sS] upport)

La semana pasada, en el blog Malwarebytes Labs, examinamos los crecientes problemas de las ciudades inteligentes , nos sumergimos profundamente en la inteligencia artificial , abordamos Radiohead y analizamos las lecciones aprendidas de Chernobyl en relación con la infraestructura crítica . También exploramos un nuevo ataque de phish de Steam y separamos un cryptominer de Mac .

Otras noticias de ciberseguridad.

• Florida City recurre al ransomware: el Ayuntamiento de Riviera Beach acuerda pagar $ 600,000 para recuperar el uso de computadoras secuestradas . (Fuente: Forbes)
• La advertencia de virus de Smart TV se pierde: un peculiar mensaje promocional de advertencia sobre los   peligros que representan los televisores inteligentes desaparece . ¿Pero por qué? (Fuente: El Registro)
• Las cámaras Nest usadas permiten el acceso continuo a la cámara: esto se ha corregido, pero sigue leyendo para ver qué sucede en el reino de IoT cuando los dispositivos antiguos se conectan de la forma en que preferirías que no lo hicieran . (Fuente: Wirecutter)
• Los perfiles falsos en LinkedIn van a espiar: una historia interesante de estafadores que utilizan imágenes de perfil generadas por AI para hacer que sus cuentas falsas se vean un poco más creíbles . (fuente: seguridad desnuda)
• Bella Thorne lucha contra los extorsionadores: la actriz decidió compartir fotografías robadas de sí misma para enseñarle una lección a un hacker. (Fuente: Hollywood Reporter)
• Este phish es un fanático de la encriptación: una nueva estafa reclama que un mensaje encriptado está esperando, pero es necesario iniciar sesión para poder verlo . (Fuente: Bleeping Computer)
• Problemas con las aplicaciones móviles: abundan las vulnerabilidades de alto riesgo tanto en aplicaciones iOS como en Android . (Fuente: Help Net Security)
• Twitter toma cuentas patrocinadas por el estado: la plataforma de redes sociales eliminó alrededor de 5,000 cuentas que se utilizan para impulsar la propaganda . (Fuente: Infosecurity Magazine)
• El malware llega a Google 2FA: un nuevo ataque hace todo lo posible por evitar las restricciones de seguridad adicionales . (Fuente: We Live Security)
• Un agujero de seguridad en uno: el malware móvil intenta deslizar numerosas piezas de información personal . (Fuente: SC Magazine)

Durante el fin de semana, recibí este mensaje no solicitado de un conocido en Steam:

1 juego gratis para nuevos usuarios! 
Tome el juego que desee https://t.co/{redacted}

Afortunadamente, otros amigos en Steam fueron rápidos en advertir públicamente a otros acerca de las cuentas potencialmente hackeadas, enviando mensajes dudosos a cualquier persona (si no a todos) en su red. Estuve leyendo estas horas de advertencia antes de recibir una muestra del mensaje de spam en mi propia cuenta.

Una búsqueda en línea superficial revela que esta campaña ha estado ocurriendo desde mediados de marzo de este año. Debido a que es bastante bajo perfil, no muchos fueron capaces de profundizar en él. Intentaremos hacer eso aquí.

La última campaña de phishing de Steam: un recorrido

Los usuarios de Steam tuvieron razón al señalar que esta URL acortada efectivamente redirige a un dominio de phishing, pero no de inmediato.

Al hacer clic en el enlace t.co , que es una URL abreviada de Twitter, en el chat se lleva a los usuarios al sitio que hay detrás: steamredirect [punto] divertido . Este es el dominio de re-director que lleva a los usuarios a la página de phishing «adecuada», que pretende ser un sitio donde se pueden ganar juegos gratis.

En el medio del sitio se encuentra la sección «Pruebe su suerte», un juego de ruleta donde los usuarios pueden obtener su (supuesto) juego gratuito. Todo lo que tienen que hacer es presionar el botón azul Play.

Luego, la página le muestra al usuario que tiene menos de 30 minutos para reclamar la clave completa al iniciar sesión en su cuenta de Steam a través del sitio web. Al mismo tiempo, la página también muestra que el usuario tendría que esperar 24 horas antes de poder rodar la ruleta nuevamente y obtener otro juego gratuito.

Al hacer clic en el botón Iniciar sesión a través de Steam aquí, o en la esquina superior derecha del sitio, se abre una página que se parece a la página de inicio de sesión de Steam de terceros no afiliada estándar. Esto es como una ventana emergente o una nueva pestaña. El sitio hizo ambas cosas durante varias pruebas.

Aquí hay algunas razones por las que, en este punto, los usuarios de Steam deberían comenzar a considerar abandonar todos los sitios y no entregar sus credenciales:

• Los enlaces en la página, como «Configuración de privacidad del perfil» y «crear una cuenta» no funcionan.

• La barra de direcciones URL está en blanco. Los sitios legítimos de terceros no afiliados muestran un certificado EV para Valve Corp, y la URL en la barra de direcciones indica que el inicio de sesión se realiza en steamcommunity.com .

• El cuadro desplegable Idioma en la esquina superior derecha no funciona. También parece estar en ruso, incluso cuando los visitantes están fuera de Rusia.

El suministro de credenciales a esta página de phishing, como sabemos, hará que las cuentas sean secuestradas para que proliferen aún más los enlaces de phishing.

Los enlaces en campañas idénticas en el pasado no estaban ocultos detrás de un acortador de URL. Tampoco es de extrañar que estos enlaces siguieran cambiando. En este caso, las URL acortadas se han redirigido a los siguientes dominios, que tienen menos de cuatro meses, en algún momento:

• easyk3y [punto] com
• ezzkeys [punto] com
• g4meroll.com
• g4me5.com
• gift4keys [punto] com
• gifts-key [punto] com
• ong4me [punto] com
• tf2details [punto] com
• yes-key [punto] com

Tenga en cuenta que algunos de estos sitios aún están en línea, y si los visita, todos se verán así:

Al momento de escribir este artículo, la única forma de acceder a la página real de «juegos gratis de ruleta» que hemos estado mostrando anteriormente es agregando ciertas cadenas al final de las URL. Eso es probablemente una buena cosa.

Mantén la calma y mantente alerta

Steam siempre ha sido la plataforma elegida por los estafadores durante mucho tiempo debido a sus millones de usuarios activos. Esta no es la primera vez que los usuarios se conocen y reaccionan ante una campaña de phishing. De hecho, este último tiene todos los signos reveladores de campañas anteriores: Steam friend envía un mensaje con un enlace de la nada, el enlace conduce a una página de inicio de sesión de Steam falsa, las credenciales de Steam recopiladas se utilizan para secuestrar cuentas y enviar correos electrónicos falsos a sus amigos.

Sí, todavía hay usuarios de Steam que se enamoran de viejos trucos. Sin embargo, también es bueno ver a los usuarios de Steam darse cuenta del peligro desde el principio, avisar a sus amigos y, si sospechan que están afectados, intente contener sus cuentas zombi para evitar que otros usuarios se pongan en peligro.

Así que mantén la calma, mantente alerta, mantente informado y continúa cuidándonos unos a otros.

No todo está bien en la tierra de la planificación de ciudades inteligentes, ya que el último gran desarrollo planificado de la empresa hermana de Google, Sidewalk Labs, sigue teniendo problemas en Toronto, Canadá.

¿Una oleada de apoyo?

Al parecer, construir una ciudad «desde cero» ya no es una cosa: al menos algunas personas con una mano en el diseño urbano digital están diciendo que ahora «Desde Internet hasta». El plan era tomar la línea de costa de Toronto y transformarla en una innovadora ubicación de ciudad inteligente. Sidewalk Labs consiguió el contrato para diseñar una gran parte de la línea de costa de Toronto en 2017, con potencial de expansión.

La nueva tecnología y un ojo para el diseño ecológico deberían haber sido la guinda del pastel. En cambio, las continuas demoras en revelar lo que está sucediendo están llevando a quejas y grupos de protesta como Block Sidewalk que no están contentos con la dirección que tomaron las cosas.

Un bache en el camino

Resulta que planificar algo como una ciudad inteligente es increíblemente complicado, y las cosas parecen estar retrasándose . Peor aún, nadie parece poder decirle a los residentes exactamente lo que viene en este nuevo mundo de conexión digital. Sidewalk Labs de Google desea probar y establecer un «Estándar global» para la forma en que deben tratarse los datos de los usuarios , pero aún no hay información real disponible sobre cómo funcionará esto en la práctica.

Curiosamente, las preocupaciones sobre la privacidad de los datos ahora están principalmente en primer plano , ya que los grandes críticos de la tecnología influyen. No es divertido cuando su proyecto está en el extremo receptor de comentarios como «Un experimento de colonización en el capitalismo de vigilancia» o «… una visión distópica. eso no tiene cabida en una sociedad democrática «, especialmente si su objetivo principal era construir algunas casas con paneles de madera y un sistema de drenaje funcional.

Varias renuncias del panel asesor e incluso del ex comisionado de privacidad de Ontario, que dicen: «Me imaginé que creamos una ciudad inteligente de privacidad en lugar de una ciudad inteligente de vigilancia» definitivamente no ha ayudado a suavizar las preocupaciones.

El significante claro es que la compra temprana es crucial para que uno de estos proyectos despegue. Sin una afirmación temprana de lo que se puede esperar, las personas se esforzarán y dirán que no, independientemente de lo que se ofrezca.

Puebla, en el centro-este de México, es un buen ejemplo de esto. Tienen 15 ubicaciones programadas para convertirse en ciudades inteligentes. Santa Maria Tonantzintla se ha negado esencialmente a ir más allá después de la falta de información sobre lo que viene a continuación. La demolición de algunos puntos de referencia locales ciertamente no ayudó en nada . Me hubiera vinculado al proyecto de 15 ciudades, pero el sitio web está fuera de línea, lo que puede o no ser muy importante para este tipo de empresa.

¿Qué es una ciudad inteligente?

Buena pregunta, y una que podemos dar por sentado. Definir una ciudad inteligente puede ser un ejercicio de frustración , pero los expertos los consideran como uno de dos sabores distintos: de arriba hacia abajo y de abajo hacia arriba .

De arriba hacia abajo ciudades inteligentes

Estos son proyectos importantes que se unen a través de una combinación de gobiernos, ayuntamientos y grandes proveedores de tecnología. Idealmente, una ciudad entera se construye desde la nada, con la tecnología esencial necesaria para que todo funcione correctamente desde el principio.

Alguien, en algún lugar, se encuentra al estilo Mago de Oz con un gran banco de control que garantiza que todos los aspectos de la vida cotidiana funcionen a la perfección, desde la recolección de basura y el alumbrado público hasta la gestión del flujo de tráfico y el uso de energía.

Así es como se desarrolla en un mundo ideal sin tener que preocuparse de que las cosas vayan mal, de todos modos. Como verás en breve, las cosas tienden a ir mal un poco. Por ahora, veamos el siguiente estilo de ciudad inteligente.

De abajo hacia arriba ciudades inteligentes

Esto es lo que las personas que viven en una ciudad se levantan cuando las dejan en sus propios dispositivos (probablemente no pretendan hacer un juego de palabras). Crowdfunders, crowdsourcing, pequeñas organizaciones disruptivas que trabajan con comunidades para hacer que las cosas funcionen de manera más eficiente; Todo está aquí, y es tan caótico como te imaginas.

Juntando el rompecabezas

Por supuesto, generalmente es difícil abofetear a una ciudad desde cero y llegar a casa a tiempo para la cena; la mayoría de nuestros pueblos y ciudades ya están aquí con nosotros. Lo que más tenemos es un conjunto aleatorio de enfoques liderados por el consejo y atornillados a infraestructuras que se desmoronan, mientras que las aplicaciones independientes y los proyectos comunitarios hacen lo suyo. Los residentes están, en general, atrapados en medio de este flujo y reflujo, y nunca hay una garantía real de que todo funcione como se espera.

Chanchullos ciudad inteligente

A pesar de sus mejores esfuerzos, los proyectos pueden y se encuentran en situaciones problemáticas. Muchos de ellos ni siquiera están estrictamente relacionados con la seguridad; Es probable que sea más propenso a ser víctima de negligencia o mala planificación. Aun así, el resultado final sigue siendo el mismo, ya sea que alguien haya pirateado el Gibson o no, y un problema seguirá causando dolores de cabeza. A continuación, observamos algunos problemas que enfrentan los estilos superior e inferior de smart city.

Problemas de ciudad inteligente

1) En el Reino Unido, Westminster tuvo problemas cuando la empresa que administraba las luces de la calle de la ciudad fue administrada. Sin nadie en la rueda de la bombilla, los residentes se sorprendieron al encontrar que unas 8,000 luces de la calle se disparaban las 24 horas del día, los 7 días de la semana, durante toda una semana . El consejo local tuvo que pagar una «pequeña tarifa» a los nuevos administradores de la empresa para resolver los problemas.

Si bien usted pensaría que un plan de contingencia estaría en su lugar para la explosión del contrato a este nivel, de alguna manera terminó siendo perdido. Nadie quiere irse a la cama con bombillas inteligentes, por lo general, mucho más brillantes que entran por la ventana, sin mencionar el consumo de energía / el impacto ambiental. Un ejemplo simple pero efectivo de cómo a veces de arriba hacia abajo se equivoca.

2) ¿Qué pasaría si la identidad de todo un barrio desapareciera de los mapas en línea en la medida en que su invisibilidad basada en datos significara que nunca podría encontrarla ? Eso es exactamente lo que le sucedió a la comunidad de Fruit Belt, también conocida como «Medical Park», cortesía de los datos erróneos no solo del Ayuntamiento, sino también de una variedad de empresas de mapeo, organizaciones tecnológicas y agentes de datos.

La lucha de los residentes para reclamar tanto el nombre como el reconocimiento de la ubicación como un espacio físico es algo bastante. Al igual que con Westminster y sus luces 24/7, vemos otra situación en la que las empresas difuntas dejan problemas imprevistos a su paso sin que nadie juegue a limpiar.

3) También existe la amenaza de hacks en un sistema de arriba hacia abajo; controlar el centro, controlar la ciudad . Dispositivos expuestos, contraseñas predeterminadas, vulnerabilidades y fallas críticas, todo listo y esperando que alguien venga y se aproveche. Esperas que se rompa una luz de la calle o que estalle una tubería. Lo que no espera es que las personas manipulen los sistemas de alerta temprana o las señales de tráfico que muestran mensajes aleatorios .

4) Siguiendo con el mismo tema, el proyecto Securing Smart Cities ha hecho mucho trabajo en esta área , que busca formas en que las empresas, los gobiernos, los medios de comunicación y más puedan trabajar juntos para abordar estas inquietudes. Entre otras cosas, han realizado una investigación inteligente sobre cómo los sistemas de CCTV pueden ser un peligro de algo que suena tan banal como no cubrir las etiquetas. También han explicado cómo los malos actores podrían escalar los ataques (por ejemplo) para eliminar los acondicionadores de aire en varias calles o en un radio aún mayor con la ayuda de unos $ 50 equipos. Puede que no parezca un gran problema, pero en un clima caluroso podría ser potencialmente letal para los enfermos o ancianos.

5) Los residentes de Hong Kong que protestaban por la ley de extracción propuesta optaron por evitar usar sus tarjetas de Metro para viajar por temor a ser rastreados por el gobierno . En cambio, optaron por pagos en efectivo como los turistas tienden a hacer. Esta información se ha utilizado en el pasado para hacer cumplir la ley, por lo que uno puede entender su aprensión. En un lugar donde incluso la publicidad se ha usado para nombrar y avergonzar a las camadas de la basura a través del ADN , esto plantea preguntas potentes acerca de dónde, exactamente, se encuentra el poder cuando gran parte de nuestra vida cotidiana es un capricho de los sistemas de arriba hacia abajo.

De abajo hacia arriba problemas de la ciudad inteligente

1) El rastreo en la era de la tecnología inteligente es algo que la gente está naturalmente preocupada. Cuando miré la simulación de pirateo NITE Team 4 , mencioné el seguimiento del teléfono de alguien a través de vallas publicitarias inteligentes. Me sorprendió particularmente que apareciera en un videojuego, porque es un concepto que supuestamente no existe, pero no parece real, pero sí lo es.

¿Vagando por las calles, paseando en un auto, caminando por algunas tiendas? Si su Wi-Fi está habilitado, es muy posible que esté siendo rastreado con fines de marketing .

2) ¿Qué sucede cuando su propietario y / o complejo de edificios decide que ha llegado el momento de que todos reciban cerraduras inteligentes, ya sea que las quieran o no ? El caos es lo que sucede. No todos son fanáticos de tomar el control de las funciones básicas como la seguridad de las instalaciones lejos del residente, y hay múltiples razones convincentes para no tenerlas instaladas.

Caso en cuestión: ¿Qué pasa si hay posibles problemas de seguridad? ¿Qué pasa si se corta la corriente mientras hay un incendio en el apartamento? ¿Qué pasa si las cerraduras dejan de funcionar mientras estás dormido? ¿Quién tiene acceso a los datos? Antes de que te des cuenta, todo se ha vuelto un poco legal y algunas personas en trajes probablemente gritan mucho.

3) Por supuesto, no podemos continuar sin el desorden cada vez mayor que es la tecnología de hogares inteligentes y el caso de IoT y los casos de abuso doméstico . Es un ejemplo escalofriante de lo que puede salir mal con demasiadas tecnologías aleatorias que se combinan en la configuración del mundo real con un actor malicioso en el medio.

Muy a menudo, no hay ninguna posibilidad de que la persona maltratada sea capaz de descubrir dónde están sucediendo las malas tecnologías, y puede ser un desafío para los expertos en tecnología que están familiarizados con estos problemas encontrar un punto de partida decente para su investigación.

Castillos de arena en el mar

Estamos arañando la superficie aquí, pero hay mucho que ver en lo que respecta a la construcción de una ciudad inteligente, ya sea liderada por el gobierno o la gente que lo haga por sí misma . También hay algunas historias de gran éxito en el mundo de las ciudades inteligentes: no todos son desastres, farolas rotas y señales de tránsito que gritan sobre los brotes de zombis.

Por ejemplo, Bristol en el Reino Unido viene a la mente como un gran ejemplo de cómo reconstruir una ciudad de una manera que tenga sentido . Sin embargo, aún queda un largo camino por recorrer antes de que tengamos otras ciudades inteligentes para competir con Bristol, y eso probablemente se aplique al proyecto de la ribera de Toronto, un tanto asediado.

A medida que estos proyectos avanzan, las cuestiones de datos, privacidad y consentimiento parecen ser los lugares donde se dibujan las líneas de batalla principales. Sin algunas respuestas sólidas en su lugar, los generales pueden verse expulsados ​​de la ciudad por una comunidad alegremente sin tecnología.

Este mes, una historia de ransomware ha estado haciendo muchas olas: el ataque a las redes de la ciudad de Baltimore . Este ataque ha estado recibiendo más presión de lo normal, lo que podría deberse a las acciones tomadas (o no tomadas) por el gobierno de la ciudad, así como a los rumores sobre el mecanismo de infección por ransomware.

En cualquier caso, la historia de Baltimore nos inspiró a investigar otras ciudades en los Estados Unidos, identificando cuáles han tenido la mayor cantidad de detecciones de ransomware este año. Si bien identificamos numerosas ciudades cuyas organizaciones tenían graves problemas de ransomware, Baltimore, y ninguno de los otros ataques a ciudades de alto perfil, como Atlanta o Greenville, no fue una de ellas. Esto sigue una tendencia de aumentar las infecciones por ransomware en las redes organizativas que hemos estado observando desde hace un tiempo .

Para frenar esto, estamos brindando a nuestros lectores una guía sobre cómo no solo evitar ser atacados con ransomware, sino también lidiar con las consecuencias del ransomware. Básicamente, esta es una guía sobre cómo no ser el próximo Baltimore. Si bien muchos de estos ataques están dirigidos, los ciberdelincuentes son oportunistas: si ven que una organización tiene vulnerabilidades, se abalanzarán y causarán el mayor daño posible. Y el ransomware es tan dañino como puede ser.

Ataque de Baltimore ransomware

A partir de hoy, los servidores de la ciudad de Baltimore aún no funcionan. El ataque original ocurrió el 7 de mayo de 2019 , y tan pronto como ocurrió, la ciudad cerró numerosos servidores en sus redes para mantenerlos a salvo de la posible propagación del ransomware.

El ransomware que infectó a Baltimore se llama RobinHood o, a veces, RobinHood ransomware. Cuando se descubrió una nota de rescate, exigió un pago de $ 100,000 o aproximadamente 13 Bitcoins. Al igual que otros ransomware, venía con un temporizador, que exigía que las víctimas pagaran en una fecha determinada, o el costo de la recuperación de archivos aumentaría en $ 10,000 por día.

RobinHood ransomware es una nueva familia de malware, pero ya se ha hecho un nombre para infectar a otras redes de la ciudad, como lo hizo para la Ciudad de Greenville . Según un informe del New York Times, algunos investigadores de malware han afirmado que el exploit filtrado por la NSA EternalBlue está involucrado en el proceso de infección, sin embargo, el análisis de Vitali Kremez en Sentinel One no muestra ningún signo de actividad de EternalBlue. Más bien, el método de propagación del ransomware de un sistema a otro implica la manipulación de la herramienta PsExec .

Este no es el primer ataque cibernético con el que Baltimore ha lidiado recientemente. De hecho, el año pasado sus sistemas de despacho del 911 fueron comprometidos por los atacantes , dejando a los despachadores usando lápiz y papel para realizar su trabajo. Algunos puntos de venta han culpado al diseño de red históricamente ineficiente de la ciudad a los Jefes de Información (CIO) anteriores, de los cuales ha habido muchos. Dos de sus CIOs renunciaron solo en esta década en medio de acusaciones de fraude y violaciones éticas.

Tendencias

Aparte de Baltimore, el ransomware dirigido a organizaciones ha estado activo en los Estados Unidos durante los últimos seis meses, con brotes periódicos y picos masivos que representan un nuevo enfoque para la infección corporativa de los ciberdelincuentes.

El siguiente mapa de calor muestra un efecto compuesto de las detecciones de ransomware en organizaciones en todo el país desde principios de 2019 hasta ahora.

Las áreas principales de detección de cargas pesadas incluyen regiones alrededor de ciudades más grandes, por ejemplo, Los Ángeles y Nueva York, pero también vemos detecciones pesadas en áreas menos pobladas. El siguiente diagrama ilustra aún más esta tendencia: la profundidad de color representa la cantidad de detección general para el estado, mientras que el tamaño de los círculos rojos representa la cantidad de detecciones para varias ciudades. Cuanto más profundo es el color, más detecciones contiene el estado. Cuanto mayor sea el círculo, mayor será el número de detecciones en la ciudad.

Cuando observamos con mayor profundidad e identificamos las 10 ciudades principales en 2019 (hasta ahora) con detecciones de ransomware pesados, vemos que ninguna de ellas incluye ciudades sobre las que hemos leído en las noticias recientemente. Esta tendencia apoya la teoría de que no es necesario estar rodeado de víctimas de ransomware para convertirse en uno.

Dondequiera que el ransomware decida aparecer, aprovechará la infraestructura débil, los problemas de configuración y los usuarios ignorantes para entrar en la red. El ransomware se está convirtiendo en un arma más común para alojarse contra las empresas que en años anteriores. La siguiente tabla expresa el aumento masivo de detecciones de ransomware que vimos a principios de año.

Enero y febrero son brillantes ejemplos del tipo de fuerte empuje que vimos de familias como Troldesh a principios de año. Sin embargo, si bien parece que el ransomware se está extinguiendo después de marzo, pensamos más en ello como los criminales que toman un respiro. Cuando profundizamos en las tendencias semanales, podemos ver picos específicos que se debieron a fuertes detecciones de familias específicas de ransomware.

A diferencia de lo que hemos observado en el pasado con el ransomware centrado en el consumidor, donde se lanzó una amplia red y observamos una constante constante de detecciones, el ransomware se centró en los ataques del mundo corporativo en pulsos cortos. Estos pueden deberse a que ciertos marcos de tiempo son los mejores para atacar a las organizaciones, o puede ser el tiempo requerido para planear un ataque contra usuarios corporativos, lo que requiere la recopilación de correos electrónicos corporativos e información de contacto antes del lanzamiento.

En cualquier caso, la actividad de ransomware en 2019 ya alcanzó un número récord, y aunque solo hemos visto algunos picos en los últimos meses, puede considerar estos baches en la carretera entre dos grandes paredes. Simplemente no hemos golpeado la segunda pared todavía.

Observaciones

A pesar de un aumento en el ransomware que apunta a las redes de organizaciones, las redes de ciudades que han sido afectadas por el ransomware no aparecen en nuestra lista de las principales ciudades infectadas. Esto nos lleva a creer que los ataques de ransomware en la infraestructura de la ciudad, como lo que estamos viendo en Baltimore, no se producen debido a brotes generalizados, sino que son específicos y oportunistas.

De hecho, la mayoría de estos ataques se deben a vulnerabilidades, brechas en la seguridad operativa y una infraestructura débil en general descubierta y explotada por los ciberdelincuentes. A menudo, se afianzan en la organización mediante la captura de empleados en campañas de phishing e infectando puntos finales o teniendo la suficiente confianza como para lanzar una campaña de phishing contra objetivos de alto perfil en la organización.

También siempre se debe tener en cuenta las configuraciones erróneas, la actualización lenta o la aplicación de parches, e incluso las amenazas internas que son la causa de algunos de estos ataques. Los investigadores de seguridad y los funcionarios de la ciudad aún no tienen una respuesta concreta sobre cómo RobinHood infectó los sistemas de Baltimore en primer lugar.

Evitación

Hay varias respuestas a la pregunta, » ¿Cómo puedo vencer el ransomware? ”Y desafortunadamente, ninguno de ellos aplica el 100 por ciento del tiempo. Los delincuentes cibernéticos pasaron la mayor parte del 2018 experimentando con nuevos métodos para romper las defensas con ransomware, y parece que están poniendo a prueba esas experimentaciones en 2019. Incluso si las organizaciones siguen «todas las reglas», siempre hay nuevas oportunidades para infección. Sin embargo, hay maneras de adelantarse al juego y evitar los peores escenarios. Aquí hay cuatro áreas que deben tenerse en cuenta al intentar planificar los ataques de ransomware:

Parches

Si bien dijimos que EternalBlue probablemente no participó en la propagación del ransomware RobinHood, ha sido utilizado por otras familias de ransomware y malware en el pasado. Con este fin, los sistemas de parches se están volviendo cada vez más importantes, ya que los desarrolladores no solo están corrigiendo errores de usabilidad o añadiendo nuevas funciones, sino que están llenando los huecos que pueden ser explotados por los malos.

Si bien la aplicación de parches rápidamente no siempre es posible en una red empresarial, es necesario identificar qué parches se requieren para evitar un posible desastre y desplegarlos en un ámbito limitado (como en los sistemas más vulnerables o que contienen datos altamente prioritarios). En la mayoría de los casos, los parches de inventario y auditoría deben completarse, independientemente de si el parche se puede extender a través de la organización o no.

Actualizaciones

Durante los últimos siete años, muchos desarrolladores de software, incluidos los de sistemas operativos, han creado herramientas para ayudar a combatir el delito informático dentro de sus propios productos. Estas herramientas a menudo no se ofrecen como una actualización del software existente, pero se incluyen en versiones actualizadas. Windows 10, por ejemplo, tiene capacidades antimalware integradas en el sistema operativo, lo que lo convierte en un objetivo más difícil para los ciberdelincuentes que Windows XP o Windows 7. Observe qué software y sistemas están llegando al final de su ciclo de desarrollo. . Si una organización los ha eliminado del soporte, entonces es una buena idea buscar la actualización del software por completo.

Además de los sistemas operativos, es importante al menos considerar y probar una actualización de otros recursos en la red. Esto incluye varias herramientas de nivel empresarial, como plataformas de colaboración y comunicación, servicios en la nube y, en algunos casos, hardware .

Email

Hoy en día, los ataques por correo electrónico son el método más común de propagación de malware, ya sea mediante el uso de ataques de phishing generalizados que engañan a quienes puedan o los ataques de phishing especialmente diseñados, en los que se engaña a un objetivo en particular.

Por lo tanto, hay tres áreas en las que las organizaciones pueden enfocarse cuando se trata de evitar las infecciones por ransomware o cualquier tipo de malware. Esto incluye herramientas de protección de correo electrónico, capacitación de concienciación sobre seguridad y educación del usuario , y bloqueo posterior a la ejecución de correo electrónico.

Existen numerosas herramientas que proporcionan seguridad adicional y posible identificación de amenazas para los servidores de correo electrónico. Estas herramientas reducen la cantidad de posibles correos electrónicos de ataque que recibirán sus empleados, sin embargo, pueden ralentizar el envío y la recepción de correos electrónicos debido a que comprueban todo el correo que entra y sale de la red.

Sin embargo, la educación del usuario implica enseñar a sus usuarios cómo es un ataque de phishing . Los empleados deben poder identificar una amenaza basada en la apariencia en lugar de la funcionalidad y, al menos, saber qué hacer si se encuentran con un correo electrónico de este tipo. Indique a los usuarios que reenvíen correos electrónicos sospechosos a los equipos de seguridad o de TI internos para investigar más a fondo la amenaza.

Finalmente, el uso de software de seguridad de punto final bloqueará muchos intentos de infección por correo electrónico, incluso si el usuario termina abriendo un archivo adjunto malicioso. La solución de punto final más efectiva debe incluir tecnología que bloquee los exploits y los scripts maliciosos, así como la protección en tiempo real contra sitios web maliciosos. Si bien algunas familias de ransomware tienen descifradores disponibles que ayudan a las organizaciones a recuperar sus archivos, la reparación de los ataques exitosos de ransomware rara vez devuelve datos perdidos.

Seguir los consejos anteriores proporcionará una mejor capa de defensa contra los métodos principales de infección hoy en día, y puede ayudar a su organización a repeler los ataques cibernéticos más allá del ransomware.

Preparación

Obviamente, ser capaz de evitar la infección en primer lugar es preferible para las organizaciones, sin embargo, como se mencionó anteriormente, muchos actores de amenazas desarrollan nuevos vectores de ataque para penetrar las defensas de las empresas. Esto significa que no solo debe establecer una protección para evitar una violación, sino que debe preparar su entorno para una infección que se contagiará.

La preparación de su organización para un ataque de ransomware no debe tratarse como un «si» sino como un «cuándo» si espera que sea útil.

Para ese fin, aquí hay cuatro pasos para preparar a su organización para el «cuándo» experimenta un ataque de ransomware.

Paso 1: Identificar datos valiosos

Muchas organizaciones segmentan su acceso a los datos según la necesidad requerida. Esto se denomina compartimentación, y significa que ninguna entidad individual dentro de la organización puede acceder a todos los datos. Para ello, necesita compartimentar sus datos y cómo se almacenan con el mismo espíritu. El objetivo de hacer esto es mantener los datos más valiosos (y el mayor problema si se pierden) segmentados de los sistemas, las bases de datos o los usuarios que no necesitan acceder a estos datos de manera regular, lo que hace más difícil que los delincuentes roben o Modificar dichos datos.

La información de identificación personal , la propiedad intelectual y la información financiera de los clientes son tres tipos de datos que deben identificarse y segmentarse del resto de su red. ¿Para qué necesita Larry, el pasante, acceso a los datos del cliente? ¿Por qué la fórmula secreta para el producto que vende en el mismo servidor que los cumpleaños de los empleados?

Paso 2: Segmentar esos datos

Si es necesario, debe desplegar servidores o bases de datos adicionales que pueda colocar detrás de capas adicionales de seguridad, ya sea otro cortafuegos, autenticación multifactor o simplemente limitando la cantidad de usuarios que pueden tener acceso. Aquí es donde los datos identificados en el paso anterior van a vivir. 

Dependiendo de sus necesidades operativas, es posible que deba acceder a algunos de estos datos más que a otros y, en ese caso, debe configurar su seguridad para tenerla en cuenta, de lo contrario, podría dañar la eficiencia operativa más allá del punto donde corre el riesgo. vale la recompensa

Algunos consejos generales sobre la segmentación de datos:

• Mantenga el sistema con estos datos lejos de la Internet abierta.
• Requerir requisitos de inicio de sesión adicionales, como una autenticación VPN o multifactor para acceder a los datos
• Debe haber una lista de sistemas y qué usuarios tienen acceso a los datos de qué sistemas. Si un sistema es violado de alguna manera, ahí es donde empiezas.
• Si tiene el tiempo y los recursos, despliegue un servidor que apenas tenga protección, agregue datos que parezcan legítimos pero que, en realidad, sean falsos, y asegúrese de que sean vulnerables y fáciles de identificar por un atacante. En algunos casos, los delincuentes tomarán el fruto de poca importancia y se irán, asegurando que sus datos valiosos reales permanezcan intactos.       

Paso 3: Copia de seguridad de datos

Ahora sus datos se han segmentado según la importancia que tienen, y están detrás de una capa de seguridad mayor que antes. El siguiente paso es identificar y priorizar una vez más los datos importantes para determinar cuánto de ellos se puede hacer una copia de seguridad (es de esperar que todos los datos importantes, si no todos los datos de la compañía). Hay algunas cosas a tener en cuenta al decidir qué herramientas usar para establecer una copia de seguridad segura:

• ¿Es necesario actualizar estos datos con frecuencia?
• ¿Es necesario que estos datos permanezcan en mi seguridad física?
• ¿Qué tan rápido necesito poder realizar una copia de seguridad de mis datos?
• ¿Qué tan fácil debería ser acceder a mis copias de seguridad?

Cuando pueda responder estas preguntas, podrá determinar qué tipo de solución de almacenamiento a largo plazo necesita. Hay tres opciones: en línea, local y fuera del sitio.

En línea

El uso de una solución de respaldo en línea probablemente sea lo más rápido y fácil para sus empleados y / o personal de TI. Puede acceder desde cualquier lugar, usar la autenticación de múltiples factores y estar tranquilo sabiendo que está asegurado por personas que protegen los datos para ganarse la vida. La copia de seguridad puede ser rápida e indolora con este método, sin embargo, los datos están fuera del control físico de la organización y, si se viola el servicio de copia de seguridad, eso podría comprometer sus datos.

En general, las soluciones de respaldo en línea probablemente sean la mejor opción para la mayoría de las organizaciones, debido a lo fácil que son para configurar y utilizar.

Local

Tal vez su organización requiere copias de seguridad de almacenamiento local. Este proceso puede variar desde increíblemente molesto y difícil a super fácil e inseguro.

El almacenamiento local le permite almacenar sin conexión, pero en el sitio, manteniendo una presencia de seguridad física. Sin embargo, está limitado por su personal, recursos y espacio sobre cómo puede establecer una operación de respaldo localmente. Además, los datos operativos que deben utilizarse diariamente pueden no ser candidatos para este tipo de método de copia de seguridad.

Fuera del sitio

Nuestra última opción es almacenar datos en discos duros o cintas extraíbles y luego guardarlos en un lugar externo. Esto podría ser preferible si los datos son especialmente sensibles y deben mantenerse alejados de la ubicación en la que se crearon o usaron. El almacenamiento externo asegurará que sus datos estén seguros si el edificio explota o es allanado, pero el proceso puede ser lento y tedioso. Tampoco es probable que utilice este método para datos operativos que requieren acceso y copias de seguridad regulares.

Las copias de seguridad externas solo son necesarias en casos de almacenamiento de información extremadamente confidencial, como secretos del gobierno, o si los datos deben mantenerse y conservarse para los registros, pero no se requiere acceso regular.                                              

Paso 4: Crea un plan de aislamiento

Nuestro último paso para preparar a su organización para un ataque de ransomware es saber exactamente cómo aislará un sistema infectado. La velocidad y el método en que lo hace podría salvar los datos de toda la organización de una infección de ransomware que se propaga activamente.

Un buen plan de aislamiento tiene en cuenta tantos factores como sea posible:

• ¿Qué sistemas se pueden aislar rápidamente y cuáles necesitan más tiempo (p. Ej., Puntos finales frente a servidores)?
• ¿Se puede aislar el sistema local o remotamente?
• ¿Tienes acceso físico?
• ¿Qué tan rápido puedes aislar los sistemas conectados al infectado?

Hágase estas preguntas sobre cada sistema en su red. Si la respuesta a la rapidez con la que puede aislar un sistema «no es lo suficientemente rápida», entonces es hora de considerar la reconfiguración de su red para acelerar el proceso.

Afortunadamente, existen herramientas que brindan a los administradores de red la capacidad de aislar remotamente un sistema una vez que se detecta una infección. Invertir tiempo y recursos para garantizar que tenga un plan efectivo para proteger los otros sistemas en su red es primordial con el tipo de amenazas que vemos hoy.

Resiliencia ransomware

Como hemos cubierto, ha habido un gran aumento en el ransomware centrado en la organización en 2019 y esperamos ver más picos en los próximos meses, pero no necesariamente en las ciudades que podría esperar. La realidad es que las grandes ciudades principales afectadas por el ransomware conforman solo algunos de los cientos de ataques de ransomware que se producen todos los días contra organizaciones de todo el país.

Los ciberdelincuentes no obedecerán las reglas sobre cómo realizar los ataques. De hecho, están constantemente buscando nuevas oportunidades, especialmente en lugares donde los equipos de seguridad no están cubriendo activamente. Por lo tanto, gastar todos sus recursos en medidas de evitación va a dejar a su organización en un mal lugar. 

Tomarse el tiempo para establecer un plan para cuando sea atacado y construir sus redes, políticas y cultura en torno a ese concepto de resiliencia evitará que su organización se convierta en otro titular.

Cuando las personas toman la decisión de ponerse en forma, tienen que dedicar el tiempo y la energía para hacerlo. Ir al gimnasio una vez no lo va a cortar. Lo mismo ocurre cuando se trata de cambiar la cultura de una organización . Para ser efectivo en cambiar el comportamiento de los empleados, la capacitación debe ser continua y relevante.

La tecnología está evolucionando rápidamente. Cada vez más, las nuevas soluciones son capaces de defender mejor la empresa contra actores maliciosos desde dentro y desde fuera, pero las herramientas por sí solas no pueden proteger contra los ataques cibernéticos.

El informe de investigación de violaciones de datos de 2019 (DBIR) de Verizon encontró que:

Si bien la piratería y el código malicioso pueden ser las palabras que más resuenan entre las personas cuando se utiliza el término «violación de datos», existen otras categorías de acción de amenazas que han existido por mucho más tiempo y aún son ubicuas. La ingeniería social, junto con el uso indebido, el error y lo físico, no se basan en la existencia de la cibernética.

En resumen, la gente importa. La educación de los empleados importa.

El enfoque tecnológico para asegurar la empresa ha comenzado a desmoronarse en la última década, según Lance Spitzner, director de investigación y comunidad del Instituto SANS. “El desafío al que nos enfrentamos es que siempre hemos percibido la ciberseguridad como un problema técnico. Los malos usan la tecnología para atacar la tecnología, así que concentrémonos en usar la tecnología para asegurar la tecnología «, dijo Spitzner.

Cada vez más, las organizaciones han llegado a comprender que también tenemos que abordar el problema humano. Los hallazgos del DBIR de este año son evidencia de que el comportamiento humano es un problema para la seguridad de la empresa. Según el informe:

• El 33 por ciento de las violaciones de datos incluyeron ataques sociales.
• 21 por ciento resultó de errores en eventos casuales
• El 15 por ciento de las infracciones se debió a un uso incorrecto por parte de usuarios autorizados.
• El 32 por ciento de las violaciones involucradas al phishing.
• El 29 por ciento de las violaciones involucró el uso de credenciales robadas

Llamando a todos los interesados

Algunas organizaciones aún están implementando el anticuado entrenamiento anual por computadora y se preguntan por qué su programa de conciencia de seguridad no está funcionando. A pesar de que el equipo de seguridad entiende que deben hacer más, crear un programa efectivo de educación para empleados requiere la participación de una variedad de diferentes partes interesadas, dijo Perry Carpenter, evangelista jefe y oficial de estrategia de KnowBe4 y autor de Transformational Security Awareness: Qué neurocientíficos, narradores de historias y los especialistas en marketing pueden enseñarnos sobre cómo conducir conductas seguras .

“Si se quedan estancados una vez al año, tienen que encontrar una manera de justificar el cambio, por lo que hay algunas ventas que tienen que hacer a su equipo ejecutivo para obtener soporte para comunicaciones más frecuentes y más presupuesto. Esencialmente es el toque más alto que tienen que vender «, dijo Carpenter.

Incluso aquellas organizaciones que no tienen el presupuesto para utilizar un proveedor externo pueden encontrar formas de crear contenido atractivo, lo que significa que los equipos de seguridad tienen la tarea de tener que justificar la necesidad de un mayor compromiso de los empleados.

Una forma de vender esa necesidad, según Carpenter, es aprovechar el efecto psicológico conocido como la decadencia del conocimiento. “Vamos a algo y dos días después, olvidamos la mayor parte del contenido. Cuanto más nos alejamos de él, más irrelevante, desconectado e invisible se vuelve «.

La evidencia muestra que una mayor frecuencia de educación sobre seguridad es el primer paso hacia la creación de un programa de concientización más atractivo. «En todas las cosas que haces, estás fortaleciendo o permitiendo la atrofia», dijo Carpenter.

Una vez que tenga la participación para poder hacer crecer realmente el programa de concienciación de seguridad de la empresa, debe descubrir cómo conectarse con las personas. Es por eso que Carpenter es un fanático de un enfoque de marketing que utiliza varios canales.

Dado que algunas personas aprenden mejor visualmente, mientras que otras prefieren la instrucción en persona, la identificación de los formularios de contenido más atractivos para los diferentes empleados informará los tipos de capacitación necesarios para que el programa tenga éxito.

No más muerte por PowerPoint

Los antiguos programas de capacitación basados ​​en computadoras desarrollados por auditores han hecho poco para defender a la empresa contra los sofisticados ataques de phishing. Si quiere que la gente se preocupe por la seguridad, necesita construir un puente entre la tecnología y la gente.

A veces, aquellos que tienen una alta habilidad técnica no son expertos en comunicarse con las personas. «Tradicionalmente, algunos de los mayores bloqueadores de los programas de concientización eran personas de seguridad que creían que si el contenido no era técnico no era seguridad», dijo Spitzner.

Ahora, los profesionales de la seguridad están comenzando a darse cuenta de que los empleados responden de manera diferente a una variedad de vectores de ataque, por lo que Omer Taran, cofundador y CTO de CyberReady dijo que recopilar y analizar datos de rendimiento en tiempo real es crucial para crear una mejor educación de sensibilización programa.

«Los ‘planes de tratamiento’ especialmente diseñados deben incluir una frecuencia ajustada, recordatorios oportunos, simulaciones personalizadas y contenido de capacitación que ayude a reformar este grupo particularmente susceptible», dijo Taran.

Empoderar a los empleados

Para que las empresas se mantengan un paso por delante de los ciberdelincuentes, los programas de educación de sus empleados deben ser atractivos. Es por eso que construir una cultura consciente de la seguridad es uno de los pasos más importantes que puede tomar la organización.

“Los procesos y las políticas están bien, pero si no está ganando los corazones y las mentes y no está ganando la aceptación de los empleados, es probable que no se inicie. A los malos no les importa lo bien escritas que estén sus políticas, o incluso si tiene alguna «, dijo Lisa Plaggemier, evangelista jefe de Infosec.

También es importante no jugar el juego de la culpa. Más bien, dijo Plaggemier, «capacitar a los empleados con campañas de concientización y capacitación de buena calidad, que se realizan a través de un programa que influye en el comportamiento»

Para que la protección contra fraudes cibernéticos y el fraude sean partes clave de la cultura de su empresa, Plaggemier recomendó que los líderes y gerentes consideren estos consejos:

• Sé un ejemplo. Los líderes tienen la capacidad de cambiar actitudes, creencias y, en última instancia, el comportamiento de los empleados. Si los líderes están tomando atajos de seguridad que ponen a la compañía en riesgo, los empleados no creerán que la compañía tome en serio todo lo posible para mantener un lugar de trabajo seguro.

• Ser claro Donde la confusión puede crear una cultura de comportamientos reactivos en lugar de proactivos, la claridad ayuda a priorizar el trabajo. Deje en claro que proteger a la empresa es una prioridad principal al crear políticas escritas y tener procesos y procedimientos claros establecidos.

• Ser repetitivo . La repetición es clave para inculcar buenos hábitos de seguridad en sus empleados. Los seres humanos crean nuevos hábitos a lo largo del tiempo al repetir sus acciones. Aliente a los empleados a realizar esas tareas fuera de lo común, como llamar a un proveedor para confirmar que realmente le pide que cambie su cuenta de «pago a», se convierta en rutina.

• Sea positivo . El miedo, la incertidumbre y la duda no son buenos motivadores. En su lugar, utilice un lenguaje que empodere a sus empleados. Haga que las personas sientan que son importantes en la información que comparte con ellos para que puedan ser mejores, más inteligentes y más confiados en sus decisiones cuando se enfrentan a algo potencialmente malicioso