Hospitales, el nuevo y jugoso objetivo de los cibercriminales

Hospitales, el nuevo y jugoso objetivo de los cibercriminales

Los cibercriminales han comenzado a amenazar la vida de miles de personas en el mundo al ser capaces de acceder a dispositivos médicos vulnerables, como marcapasos, ventiladores o sistemas de monitoreo, en su nuevo y lucrativo blanco de ataque: los hospitales.

Los centros médicos de todo el planeta, incluido el sistema de salud de Reino Unido, considerado el más fuerte del mundo, han visto crecer en el último año el número de ciberataques, que ahora han evolucionado al punto de tomar el control de equipos y aparatos.

‘Robar una base de datos es nada frente a la amenaza de matar a alguien. El gran riesgo es que nadie puede garantizar, ni ellos mismos, qué pasará cuando un criminal manipula de forma remota un dispositivo’, afirmó Dmitry Bestuzhev, director de Investigación para Latinoamérica de Kaspersky Lab.

‘Cualquiera con un mínimo de conocimiento informático puede comprometerlos o alterarlos. La única línea para que pase es tener la intención porque es bastante fácil hacerlo’, alertó.

En junio pasado, en medio del ciberataque global Wannacry, que aprovechó la vulnerabilidad en el sistema operativo Windows XP conocida como EternalBlue, esta nueva amenaza fue perceptible incluso en Latinoamérica, donde la mayoría del equipamiento médico opera bajo el software de Microsoft.

El Hospital de Barretos, ubicado en Sao Paulo y principal centro brasileño contra el cáncer, cayó víctima del virus. Fuentes de la institución confirmaron en ese momento que no solo se vio afectada la base de datos de los pacientes, sino también el funcionamiento de algunos aparatos.

Para Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, este tipo de instituciones se han convertido en un ‘blanco atractivo por tener equipos obsoletos‘, ya que, al depender de sistemas operativos sin soporte como Windows XP, ‘actualizarlos implica un alto costo‘.

En opinión de Sebastián Brenner, director de Ingeniería para Latinoamérica de Symantec, ‘el problema de los hospitales es que no tienen una planeación estratégica de seguridad en la infraestructura de tecnología’.

‘El número de ataques a instituciones de salud está incrementándose de manera acelerada. La razón principal es el valor de la información que tienen, que es altamente buscada y pagada en los mercados clandestinos’, agregó.

‘Un expediente médico se puede llegar a obtener por 50 dólares en mercado underground, lo cual es 10 a 15 veces el valor de los datos de una tarjeta de crédito’, afirmó Brenner.

El experto señaló que la modalidad más común de ataque a los hospitales es el ransomware o secuestro de datos, en el que el cibercriminal instala un virus, encripta bases como la de historias clínicas y luego pide un rescate.

Este tipo de ataques en Latinoamérica es más común en Brasil, México, Argentina, Chile y Colombia, pero es en Estados Unidos donde se han reportado más casos, como explicó Javier Albarracín Almanza, de la consultora española everis.

Mencionó que a principios de 2016 el hospital californiano Hollywood Presbyterian reconoció haber pagado 40 bitcoins, alrededor de 17,000 dólares, al ser víctima de un ataque de ransomware.

Un hospital en Kentucky tuvo que apagar sus servidores web y poner un cartel de que se encontraban en medio de una crisis, mientras una institución en Washington suspendió el uso de registros electrónicos de pacientes y volvió a utilizar papel al tiempo que solucionaba un problema similar.

Una situación que se ha agravado con la incursión de tendencias como IoMT (Internet de las Cosas Médicas), la misma de conectar todos los sensores médicos a la red, y las nuevas generaciones de equipos de salud, que habilitan amenazas que no están siendo consideradas.

EFE

Leer más

Reporte de Ciberseguridad de medio año. Parte II

Reporte de Ciberseguridad de medio año. Parte II

Uso de multi-productos, dan lugar a un complicado enfoque de seguridad.

Hoy las organizaciones cuentan en su infraestructura con las herramientas tecnológicas que necesitan. El problema es cómo las utilizan. Los ejecutivos entrevistados declaran que su organización cuenta con muchas herramientas de diferentes fabricantes lo que les ofrece un enfoque complicado para su seguridad, cuando este debe ser transparente y holístico.

Un enfoque de seguridad fragmentado y multiproducto dificulta la capacidad de la organización para gestionar las amenazas. También aumenta exponencialmente el número de activadores de seguridad que los equipos de sus departamento deben revisar.

Cuando los equipos de seguridad pueden consolidarse, reducir el número de proveedores utilizados y adoptar un enfoque abierto, integrado y simplificado de la seguridad, las organizaciones reduzcan su exposición a las amenazas y las preparan para hacer frente a los desafíos de seguridad y la protección de datos del mundo del IoT que está surgiendo rápidamente.

Pilares de la seguridad

Se ha dicho de manera constante que los tres pilares fundamentales de la seguridad en las organizaciones son: las personas, los procesos y la tecnología. Adoptar tecnología y diseñar procesos sin tener personal capacitado y especializado en seguridad no son suficientes.

El reporte identifica que el reto para las organizaciones es contar con personas con las competencias y conocimiento necesarios para hacer frene a la seguridad. En el mundo en general y en particular en México, existe una déficit entre las personas especializadas y la demanda de ellas en las organizaciones.

Conclusiones y hallazgos del Reporte de Ciberseguridad de Cisco

  • La detección de ataque ha disminuido a 3.5 horas en promedio.
  • No más de dos tercios de las organizaciones están investigando las alertas de seguridad, y en industrias como salud y transporte, el número es de apenas el 50%.
  • Las empresas están debilitando menos del 50% de los ataques legítimos que detectan.
  • Los procedimientos de ataque tradicionales como el spam, el spyware y el adware están resurgiendo.
  • El ransomware ha evolucionado y el ransomware como servicio ha crecido significativamente.

Los hallazgos mas relevantes por industria:

  • Sector publico. De las amenazas investigadas, el 32% son identificadas como legitimas, pero sólo el 47% de dichas amenazas son finalmente remediadas.
  • Venta al por menor. 32% de los entrevistados dijo que su organización ha perdido ingresos como resultado de un ataque de seguridad en el último año. El promedio de pérdida de clientes u oportunidades de negocio gira alrededor del 25%
  • Servicios. Consideran como críticos las amenazas de ciberseguridad.
Leer más

¿Otro ataque de ransomware? Bienvenido a la nueva normalidad

¿Otro ataque de ransomware? Bienvenido a la nueva normalidad

¿Qué ocurre cuando se combina la estructura y enfoque del crimen organizado con la organización y escala de un estado nación? Se obtienen dos ataques de ransomware a nivel global como ningún otro que el sector haya visto antes. Bienvenidos a la nueva normalidad.

El miércoles pasado se desencadenó, a nivel global, otro ataque del tipo ransomware llamado Petya que, según los informes, impactó en más de 12,000 computadoras, encriptando sus discos duros e inutilizándolos.

Petya utilizó un exploit descubierto por la NSA y fue lanzada por el grupo de hackers Shadow Brokers, quienes encriptaron los datos (en esta ocasión en los discos duros, en vez de hacerlo en los archivos individuales) y exigieron $300 USD en Bitcoins. Denominado ExternalBlue, este exploit es una exposición de Bloques de Mensajes del Servidor (SMB, por sus siglas en inglés) que afecta principalmente a las máquinas de Windows, y provee el tipo de exposición por el cual se esfuerzan los estados nación: una aplicación que está bien arraigada en Internet y que es ampliamente utilizada tanto por las empresas privadas como por los organismos gubernamentales.

A diferencia de WannaCry, que fue difundido y escaneando sistemas de internet vulnerables que ejecutaban SMB en la internet pública, Petya fue distribuido internamente a través de una dependencia de la cadena de suministros, mediante una aplicación de software contable llamada MeDoc. Aparentemente, estos actores maliciosos agregaron el exploit a la distribución de una actualización de MeDoc, que luego se abrió camino para llegar a los clientes, comprometiendo los sistemas internos de la compañía aprovechando el exploit EternalBlue.

Muchas compañías protegieron su visibilidad pública a EternalBlue, aunque aparentemente no pasó lo mismo con su susceptibilidad interna, y esto posibilitó que Petya se esparciera rápidamente a escala global. Petya fue particularmente destructivo por naturaleza, toda vez que encriptó el Registro de Arranque Maestro (Master Boot Record), impidiéndoles a los usuarios ingresar al sistema y tornando inutilizable a la PC en su totalidad.

WannaCry y Petya representan una nueva era de ataques extorsivos, donde los grupos del crimen organizado buscan exploits que les den la mayor cantidad de víctimas en el menor tiempo posible. En lugar de ransomware “dirigido”, que opera esperando que haya un elevado porcentaje de participación de pago de víctimas específicas, ésta es una técnica ransomware más del tipo “spam”. Procura infectar a la mayor cantidad de personas posibles, es decir, que aun con un porcentaje de participación más pequeño, reditúa más que los ataques dirigidos concentrados.

Además, Petya también agregó el elemento de dependencia de la cadena de suministro, compañías que aceptan actualizaciones de los proveedores directamente en las producciones. Si bien éste no es el primer y principal riesgo para las compañías de un ataque al proveedor de la cadena de suministros (Target, etc.), es algo de lo que tomarán nota otros cibercriminales.

Entonces, ¿qué hacer para protegerse? A continuación, algunas recomendaciones:

  • Realice un backup de sus datos críticos.
  • Emparche sus sistemas lo más rápido posible.
  • Segmente sus sistemas de producción y de usuarios para contener la dispersión de las infecciones y de los peligros.
  • Instruya a sus usuarios acerca de los peligros del phishing.
  • Acepte las nuevas actualizaciones de su cadena de suministro primero en un entorno de prueba y monitoree dicho entorno de prueba buscando infecciones.
  • Solicíteles a sus proveedores de seguridad, firmas específicas para los exploits de los Shadow Brokers, para poder determinar cuando alguien está tratando de usarlas en su entorno.
  • No pague ransomware (rescate). Rara vez recuperará sus archivos. Más importante aún, quedará etiquetado como alguien que va a pagar.
  • Contacte a su ISP para que lo ayude a rastrear y a bloquear los ataques contra sus puntos de acceso a internet.

Para más información sobre cómo proteger su negocio de un ataque ransomware, lea el blog de Dale “Ransomware: Una Verdadera Historia de Terror”.

Dale Drew, Chief Security Officer en Level 3

Leer más

Un sólo ransomware atacó más de 150 empresas en 90 paises

Un sólo ransomware atacó más de 150 empresas en 90 paises

En los últimos meses, se ha hablado sobre ataques mundiales de ransomware, el más sonado en las últimas semanas es WannaCry, que afectó 150 empresas en más de 90 países. Aprovechando la vulnerabilidad de los sistemas, instala un archivo infectado que se conecta a una URL para bajar el código y cifrar la información; el resultado: secuestro datos para obtener ganancias al extorsionar al usuario. Por lo anterior y el cúmulo de oportunidades que los delincuentes virtuales tienen, estas son las cinco tendencias más importantes que la industria y sus usuarios deben tener en cuenta:

  • La industria: el principal objetivo de los delincuentes cibernéticos

La banca y los servicios financieros son los más afectados debido a su fuerza económica y a su alcance en usuarios; aún sufre de pérdidas millonarias recurrentes por ciberterrorismo y crimen organizado: comprometer la seguridad bancaria de un país significa comprometer la estabilidad de éste. Los principales ataques cibernéticos están dirigidos a entidades y no a usuarios. En proporción, la banca recibe cerca del 60% de los ataques, en segundo lugar, está el retail con cerca del 35% y en tercer lugar gobierno con 11% de los ataques.

  • Smartphones: los dispositivos más atacados por malware

Las configuraciones para crear códigos maliciosos son cada vez más sofisticadas; lo anterior se suma al hecho de que Android, el sistema operativo más utilizado en el mundo, no cuenta con las mismas restricciones que iOS a la hora de crear y poner en el mercado apps. Las amenazas de tipo ransomware atacan a terminales móviles a través de antenas no legítimas para poder realizar robo de información sensible o la recepción de comunicaciones.

  • Mayor velocidad y habilidad de los hackers al infectar

Hay un crecimiento de ataques del tipo de ciberespionaje y cibersabotaje a través de APTs (Advanced Persistent Threat, por sus siglas en inglés), que ha evolucionado a lo largo del tiempo; cada vez son más sofisticadas, veloces en la infección y casi indetectables. Afortunadamente, el escenario aún no se presta para que existan afectaciones físicas a infraestructuras críticas.

  • Aumento de ciberataques autónomos

Si bien los principales atacantes son células organizadas, también se experimenta un efecto de atacantes autónomos, ciberdelincuentes que no requieren de mucha infraestructura e inversión para actuar y obtener ganancias. Se presenta un aumento en el Malvertising-as-a-Service que consigue monetizar el compromiso de una web sin comprometer a la web como tal pero logra obtener onerosas ganancias. Los archivos adjuntos con nombres engañosos siguen siendo la principal forma de infección, así como las descargas en sitios no legítimos.

  • Falta de previsión y protección ante los ataques

Aún no existe suficiente conciencia sobre las previsiones de seguridad que las empresas necesitan, la mayoría de ellas activan su necesidad de seguridad una vez que fueron atacadas. El sector menos consciente de la seguridad que amerita es el retail, ya que es primordialmente reactivo y no previsor: el ransomware y el fraude de sistemas junto con las ATP’s sustraen información que amenazan a esta industria. Sin embargo, hoy vemos mayor interés en distintos sectores para mantener a sus usuarios protegidos y buscan hacer conciencia entre sus empleados.

S21sec detecta tres pilares para una estrategia de protección de ataques cibernéticos:

  • Procesos: es de suma importancia la medición del buen funcionamiento de la tecnología y su correcta ejecución, establecer protocolos para el manejo de un incidente y su registro. Además, considerar la planeación de métodos de defensa, la detección temprana y la correcta gestión de vulnerabilidad y parches para combatir un ataque.
  • Tecnología: un pilar prioritario es mantener un nivel adecuado de funcionamiento de los sistemas de respaldo y previsión de incidentes, contar con análisis de crisis y recuperación, así como con pruebas de respaldos y restauración a través de un cifrado que ayude a combatir la amenaza.
  • Gente: las personas son la base para mantener a las empresas protegidas, debemos hacer conciencia y sensibilizar a los usuarios de las amenazas latentes a las que están expuestos.

“Durante casi 20 años S21sec se ha enfrentado al surgimiento, evolución y crecimiento del crimen cibernético, es por ello que se mantiene a la vanguardia en temas de proyecciones, tendencias y estrategias para combatir los ataques latentes y así mantener protegidos a los usuarios en el mundo. Por ello también formamos parte de la organización No More Ransom!, con la que trabajamos de la mano para luchar en contra del crimen cibernético y, con esta oferta integra, llegamos a México para colaborar con las industrias y sus usuarios; mantenerlos protegidos es nuestra misión”, concluyó Sabas Casas, VP LATAM.

Sabas Casas, Vicepresidente de América Latina  de S21SEC

Leer más

Las actividades de Petya han sido observadas desde 2016 por FireEye

Las actividades de Petya han sido observadas desde 2016 por FireEye

Organizaciones primordialmente de Australia, Estados Unidos, Polonia, Holanda, Noruega, Rusia, Ucrania, India, Dinamarca y España, han reportado interrupciones a sus sistemas en las últimas 24 horas. De acuerdo con FireEye, la empresa de seguridad guiada por inteligencia, las acciones se atribuyen a una variante del ransomware Petya, que puede haber sido diseminado a través de EternalBlue, usado durante el ataque de WannaCry del último mes.

“Esta actividad destaca la importancia para las empresas y gobiernos de asegurar sus sistemas contra ciberataques. El panorama de amenazas ha cambiado y es importante que cambien las prácticas de ciberseguridad para adecuarlas a las amenazas”, dijo Robert Freeman, vicepresidente para Latinoamérica. “Desde una estrategia robusta de respaldo, segmentación de redes y navegación aérea, donde sea apropiada, además de otras defensas contra ransomware, las organizaciones se pueden defender por sí mismas de las operaciones de diseminación y corregir rápidamente las infecciones causadas por ella”, agregó.

Reportado desde 2016 por la empresa, Petya es un tipo completo de rescate. “Petya es una familia atípica de ransomware, en tanto que como malware no encripta archivos individuales de los sistemas de las víctimas, pero invalida el registro del master boot (MBR) y encripta la tabla del archivo maestro (MFT) que vuelve al sistema inoperativo hasta que se pague el rescate. Este malware contiene un cuentagotas, un inicializador customizado y un pequeño núcleo de Windows que corre rutinas adicionales de encriptación.

De acuerdo con los investigadores en la empresa líder global de ciberinteligencia, todavía está bajo escrutinio si esta amenaza es nueva o una extensión de las conocidas, ya que las campañas de ransomware son de ocurrencia regular en este tiempo. El análisis inicial de los artefactos y el tráfico en la red de la víctima indican que una versión modificada de la vulnerabilidad EternalBlue SMB fue usada, al menos en parte, para propagarla a otros sistemas junto con los comandos WMI, MimiKatz y PSExec. Los pasos del ataque están bajo evaluación y la información será actualizada en tiempo real.

FireEye ha establecido un Evento de Protección a la Comunidad y continúa investigando estos reportes y la actividad de la amenaza involucrada en incidentes disruptivos. Es un servicio (FaaS) enfocado en monitorear el ambiente global de los clientes de la empresa.

“Mientras que la detección de FireEye aprovecha el análisis de comportamiento de técnicas maliciosas, nuestro equipo ha creado una regla YARA para ayudar a las organizaciones retroactivamente buscando en sus ambientes a este malware, así como para detectar futuras actividades”, agregó Robert Freeman. “Nuestro equipo está enfocado en las técnicas de intrusión que son críticas para la operación de malware: uso del drive SMB, lenguaje de demanda de rescate, funciones subyacentes y APIs, así como utilerías de sistema usadas para movimientos laterales”, finalizó.

Leer más

Ciberataque afecta centro de tratamiento contra cáncer en Brasil

Ciberataque afecta centro de tratamiento contra cáncer en Brasil

El último ciberataque global que ha dañado sistemas informáticos en todo el mundo, en especial en Ucrania y Rusia, afectó en Brasil al Hospital de Barretos, en el interior del estado de Sao Paulo y el principal centro de referencia en el país para el tratamiento contra el cáncer.

El Hospital del Cáncer de Barretos y otras de sus unidades en ciudades paulistas como Jales y Fernandópolis, tuvieron daños en su sistema informático, lo que afectó el funcionamiento de algunos aparatos y la base de datos de los pacientes usada por los médicos, señalaron fuentes del centro oncológico.

La unidad del hospital en Porto Velho, capital del norteño y amazónico estado de Rondonia, presentó también problemas en su sistema, lo que perjudicó el tratamiento de cerca de 6,000 pacientes en toda la red nacional del centro.

Al igual que en la mayoría de los computadores del mundo que fueron afectados, los 1,000 equipos del Hospital de Barretos exhibían un mensaje en el que se pedía 300 dólares en la moneda virtual bitcoin para liberar los ordenadores infectados por el virus “ransomware” que literalmente secuestra las máquinas.

Algunas empresas en Brasil, en particular agencias de comunicación, también sufrieron con el ciberataque del martes y tuvieron que mandar a casa a sus empleados.

La consultora global Grant Thornton señaló en Brasil que un estudio realizado en 36 países apuntó que este tipo de ataques cibernéticos causó en las empresas afectadas pérdidas por un valor de 280,000 millones de dólares en los últimos doce meses.

EFE

Leer más

Nuevo ciberataque global superaría a WannaCry

Nuevo ciberataque global superaría a WannaCry

El nuevo ciberataque se está extendiendo bastante rápido por decenas de organizaciones importantes de todo el mundo, según diversos expertos que señalan que, si bien es pronto para saber si es más o menos virulento que el WannaCry, parece ‘un trabajo bastante profesional y más desarrollado’.

Según el análisis inicial de Talos, la organización de investigación de seguridad de Cisco, el ataque comienza en Ucrania, posiblemente a partir de sistemas de actualización de software para un paquete de contabilidad de impuestos ucraniano llamado MeDoc, quien habría confirmado la información.

MeDoc es un software de impuestos ampliamente utilizado por diversas organizaciones en Ucrania. De igual manera habido otros informes de este ataque en Francia, Dinamarca, España, el Reino Unido, Rusia y Estados Unidos.

Una vez que este ransomware entra en el sistema, utiliza tres formas de propagarse automáticamente alrededor de la red, una de las cuales es la conocida vulnerabilidad Eternal Blue, similar a la que se desarrolló en el ataque WannaCry del mes pasado.

‘Se trata de un ransomware ya conocido y, aún así, ha logrado afectar a muchas organizaciones, con lo cual es un trabajo bastante profesional’, dijo el experto en ciberseguridad Deepak Daswani.

Daswani explicó que la infección de equipos es por un malware del tipo ransomware, de la familia conocida como Petya o Petrwrap, mediante el que se solicita un pago de 300 dólares en la moneda virtual bitcoin.

El virus de hoy es una variante de Petya, un tipo de ransomware que ya había aparecido otras veces y que, en este caso, se propaga a través de los mismos mecanismos que WannaCry -el de mayo pasado-.

‘Parece que explota las mismas vulnerabilidades’, detalló Daswani, ‘por lo que es raro que sigan existiendo tantos equipos expuestos sin actualizar en organizaciones tan importantes’.

En cuanto si será más o menos virulento que el WannaCry, este experto manifestó que dependerá del impacto que genere en los equipos y del número de computadoras que finalmente comprometa.

Por su parte, Josep Albors, responsable de investigación y concienciación del laboratorio de ciberseguridad ESET, dijo que este malware no parece que cifre la información, sino que modifica el índice del disco duro, haciendo imposible el acceso a la misma.

WannaCry cifraba la información directamente y mostraba un mensaje pidiendo un rescate, pero el actual virus cambia el índice, por lo que el equipo no sabe buscar la información, lo que, en su opinión, significa que ‘han invertido en desarrollo’.

En estas circunstancias, Albors apuntó que se debe mantener la calma y, salvo que se sea experto, no se debe trata de actuar sobre el disco duro, que se debe poner en manos de especialistas y no utilizar herramientas de reparación si no se dominan, ya que se pueden producir mas daños.

Al parecer, ambos ransomware -el de ahora y el del pasado mayo- explotan la misma vulnerabilidad de Windows, si bien en la forma de propagarse hay algunas singularidades como que aprovecha algunas herramientas profesionales de comunicación entre equipos -como PSExec-.

Como recomendaciones generales sigue siendo válido mantener los sistemas operativos actualizados, disponer de copias de seguridad y sistemas capaz de detectar los ataques.

Las primeras versiones del Petya se detectaron en el primer trimestre de 2016 y la versión actual sobre las 13 horas de hoy, según Albors.

EFE

Leer más

México, segundo país de AL con mayor actividad maliciosa

México, segundo país de AL con mayor actividad maliciosa

El año 2016 estuvo marcado por ciberataques de gran alcance que han afectado el servicio de sitios de servicios y han impactado a países enteros.

En este tipo de amenazas se incluyen asaltos virtuales a bancos por varios millones de dólares así como intentos explícitos de interrumpir el proceso electoral de Estados Unidos.

También se presentaron algunos de los mayores ataques distribuidos de denegación de servicio (DDoS), conducidos por una botnet de dispositivos del Internet de las Cosas (IoT).

Si bien los ciberataques alcanzaron una notoriedad sin precedentes en medios noticiosos y provocaron la interrupción de servicios de manera masiva, los mecanismos de ataque utilizados son herramientas y tácticas simples y conocidas, tales como: vulnerabilidades de día cero y malware sofisticado a través de aplicaciones y programas de uso frecuente como documentos y archivos de Office.

De acuerdo con el Informe sobre Amenazas a la Seguridad en el Internet (ISTR), realizado por Symantec, el 95% del malware ocurre a través de PowerShell, un lenguaje común de script instalado en PCs y archivos de Microsoft Office como armas, así como el uso abordajes simples, como correo electrónico de spear phishing y ‘herramientas del día a día’, es decir, que emplean cualquier herramienta a la que consigan acceder, como software legitimo de administración de red y recursos del sistema operativo.

El informe arroja que, durante 2016, México se ubicó como el segundo país de América Latina y el Caribe que presenta mayor actividad maliciosa, únicamente detrás de Brasil.

Otros descubrimientos que presenta el ISTR:

  • 1 en cada 131 correos electrónicos incluye un enlace o adjunto malicioso (el índice más alto en cinco años).
  • El volumen de víctimas de ransomware aumentó 266%; Estados Unidos es el país que más sufre ataques, pues el 64% de los norteamericanos paga rescate.
  • Los CIOs perdieron registro de cuántas apps utilizan sus empresas en la nube. Al ser interrogados, la mayoría dirá que hasta 40, cuando en la realidad el número llega casi a 1,000.

El informe ISTR de Symantec brinda una amplia visión del escenario de amenazas, que incluye conocimiento detallado sobre actividades de amenazas globales, tendencias de cibercrímenes y motivaciones de los grupos de ataque. Los más destacados incluyen:

 

Las naciones, blanco de grandes ataques

Un nuevo tipo de grupos de atacantes han revelado grandes ambiciones financieras, que pueden ser un ejercicio para ayudar a financiar otras actividades secretas y subversivas.

 

Grupos de ataque transforman software común en armas

El uso del correo electrónico se ha tornado en el arma principal para los cibercriminales y una peligrosa amenaza para los usuarios.

 

Ceder a la extorsión digital: los estadounidenses están más dispuestos a pagar pedidos de rescate

El ransomware continúa creciendo como un problema global y un negocio lucrativo para los criminales. Symantec ha identificado más de 100 nuevas familias de malware lanzadas en el mercado, más del triple del volumen visto anteriormente, y un incremento del 36% en los ataques globales de ransomware.

 

Ataques dirigidos: Subversión y sabotaje tomaron protagonismo a través de las noticias en todo el mundo.

El mundo del ciberespionaje pasó por un cambio importante hacia actividades más explícitas, destinadas a desestabilizar y desorganizar las organizaciones y los países blanco de ataque. Los ciberataques contra el Partido Demócrata de Estados Unidos y la subsiguiente filtración de información robada fueron uno de los principales puntos de discusión de las elecciones presidenciales en ese país.

Con la Comunidad de Inteligencia de Estados Unidos atribuyendo los ataques a Rusia y concluyendo que la campaña habría sido juzgada un éxito, es posible que esas tácticas se utilicen nuevamente en esfuerzos para influir la política y sembrar el caos en otros países.

Los ciberataques que involucran sabotaje han sido tradicionalmente raros, sin embargo 2016 vio dos olas separadas de ataques que contenían malware destructivo.

En enero y nuevamente en diciembre se usó en Ucrania el malware contra objetivos determinados, una variante que borra el contenido de discos. Tales ataques ocasionaron también cortes de energía.

Mientras tanto, el troyano Shamoon, que también borra el contenido de discos, resurgió tras cuatro años de ausencia y fue usado contra varias organizaciones en Arabia Saudita.

Leer más

Detienen a niño en Japón por crear programa de ransomware

Detienen a niño en Japón por crear programa de ransomware

Un niño de 14 años fue detenido en Japón por crear un programa de ransomware (secuestro de datos) similar a Wannacry, el cual pide el pago de un rescate para tener acceso a la computadora afectada, informaron hoy medios locales.

El estudiante, que ha admitido las acusaciones, creó el ransomware, lo subió a una página web extranjera y enseñó a los usuarios de la plataforma a descargarlo y usarlo, según fuentes citadas por la agencia de noticias Kyodo.

Este ransomware, que ya se ha descargado un centenar de veces, permitía al usuario infectar la computadora de la víctima y pedir un rescate en moneda virtual, aunque aún no se han confirmado pérdidas económicas, añadieron las mismas fuentes.

El joven, que supuestamente aprendió por sí mismo a crear este tipo de programa, reveló a los investigadores que tan solo quería ‘hacerse famoso’, según la cadena nipona NHK.

La compañía nipona de seguridad informática Trend Micro ha detectado más de 65,000 ataques de ransomware durante el último año en Japón, una cifra que multiplica por diez la del año anterior.

EFE

Leer más

Prevención, la mejor alternativa ante el ransomware

Prevención, la mejor alternativa ante el ransomware

Llega a la oficina por la mañana, inicia sesión, y se da cuenta de que algo no está bien. Todos los programas se están abriendo, pero ninguno de sus datos están ahí.

A continuación, se abre una ventana en la pantalla que dice: “Si desea sus datos de nuevo, deberá pagar…”.

Usted o uno de sus colegas debió de haber hecho clic en un enlace incorrecto de Internet que descargó un virus de malware.

Durante la noche, este virus invadió sus equipos a través de la red y realizó la encriptación de los archivos de datos, incluyendo sus archivos en línea de copia de seguridad, los cuales ahora están detenidos, aún dentro de sus sistemas. La oferta es que una vez que se paga el rescate, recibirá la clave de cifrado que desbloquea sus datos.

El terror comienza a apoderarse de usted, no sabe cuánto tiempo este virus ha estado en sus sistemas, qué parte de los datos se ha visto afectada, o la forma de librarse.

Obviamente, la pérdida de acceso a sus datos sería un evento crítico o incluso terminal para la mayoría de las organizaciones. Pero puede ser aún más grave cuando la organización infectada es un banco, un hospital o una dependencia gubernamental.

También conocido como un virus crypto-locking, este es un problema que está propagándose en todo el mundo. La petición de rescate puede ser de miles o incluso millones de dólares estadounidenses y el pago se hace en Bitcoin, que permite el seguimiento de la transacción, pero de los autores es imposible.

Una vez que su organización está infectada por el Ransomware, básicamente tienen tres opciones:

  1. Pagar el rescate y rezar para recibir la clave de descifrado (también rezar para que esto no vuelva a suceder).
  2. Pasar días o semanas restaurando datos de las copias de seguridad fuera de línea (si es que existen) y volver a crear los datos nuevos desde la última copia de seguridad fuera de línea (si es posible).
  3. Simplemente renunciar y alejarse.

 

Según una nota de CNN, la mayoría de las organizaciones elije la opción uno, a pesar de que no se anuncia públicamente por razones obvias.

 

La prevención es la mejor opción

Tener una alta capacidad antivirus, junto con procedimientos que controlen el comportamiento en línea de los empleados, puede ser algo eficaz para evitar ser infectado por Ransomware. Pero las personas mal intencionadas están desarrollando continuamente nuevas maneras de engañar al software y a los seres humanos para a acceder a sus datos.

Algunos expertos en la materia recomiendan un enfoque de “air gap”, en el que el sistema que está llevando a cabo la copia de los datos este separada físicamente de la red. Esto tiene sentido, excepto que el sistema de protección tiene que estar conectado periódicamente para copiar los nuevos datos, tiempo que va a estar en riesgo de infección (y los delincuentes son conscientes de ello). Además, puede tardar días o incluso semanas para copiar los datos a sus sistemas. El impacto financiero durante este tiempo de inactividad es probablemente peor que pagar el rescate.

Por lo que también necesita una capacidad de recuperación rápida y efectiva que no incluya el pago de un rescate. Además, necesita proteger la copia de los datos recientes de las aplicaciones comunes, el control del sistema de copia de seguridad, y contra empleados potencialmente deshonestos.

Los clientes de Hitachi Data Systems han tenido estas capacidades integradas en los sistemas operativos básicos de las matrices de almacenamiento, desde hace muchos años. Es una tecnología de microcode que permite bloquear cualquier volumen de datos en el disco por un período de tiempo definido. Durante este período de retención, nadie puede cambiar o borrar los datos en el volumen protegido, ni administradores de bases de datos, de almacenamiento, de copia de seguridad o incluso los ingenieros de Hitachi. La única manera de impactar estos volúmenes que están protegidos es dañar físicamente el sistema de almacenamiento o sus unidades de disco, pero esto implica un tipo diferente de problema de seguridad.

La solución es aplicar el bloqueo por un periodo a una copia basada en matrices del volumen de datos; esta opción se ha creado usando capacidades altamente eficientes de snapshot o de clonación. Así, si sus datos están encriptados por Ransomware, sólo tiene que restaurar desde la instantánea (snapshot) o clonar de nuevo al volumen original, y pueden estar funcionando en pocos minutos sin importar el tamaño de los datos.

Los clientes de Hitachi, incluidos organizaciones financieras y médicas, están utilizando una política bastante sencilla para protegerse contra Ransomware, y muchas otras amenazas que podrían afectar sus datos: crear una instantánea de tiempo una vez por semana, con un período de bloqueo de 14 días. Con esta política, siempre tienen dos copias de sus datos protegidos y disponibles, y el tiempo de recuperación en el peor caso es de siete días. Estos ajustes de tiempo pueden ser según sea necesario, dependiendo de la tolerancia a la pérdida de datos.

Por Richard Vining, HDS Sr. Product Marketing Manager

Leer más
Página 1 de 812345...»»