Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
agosto
(Total:
49
)
- Especificaciones y características PCI-Express 6.0
- Consejos básicos seguridad para evitar malware en ...
- Estudio demuestra que el 40% del código generado p...
- Grave vulnerabilidad afecta base datos Cosmos util...
- El kernel de Linux cumple 30 años
- Hackea más de 300 cuentas de iCloud para robar 620...
- Samsung puede bloquear remotamente televisores rob...
- Obtener privilegios de administrador en Windows 10...
- Plataforma de Microsoft Power Apps expone por erro...
- España compra 15 dispositivos para desbloquear iPh...
- Las 15 principales vulnerabilidades en sistemas Linux
- Medidas de seguridad para usuarios de Discord
- Desarticulada en A Coruña una red que robaba cuent...
- La Policía Nacional Española desmantela una granja...
- Tesla presenta prototipo de robot humanoide para 2022
- Cloudflare mitiga el ataque HTTP DDoS más grande c...
- Vulnerabilidad crítica en QNX de BlackBerry compro...
- SerenityOS, el sistema Unix con aspecto de Windows NT
- Poly Network quiere contratar como asesor jefe de ...
- Vulnerabilidades servicio cola de impresión de Win...
- Graves vulnerabilidades chips Realtek utilizados p...
- La policía de Dallas deja libre a un sospechoso po...
- Filtradas 1 millón de tarjetas de crédito de form...
- Más de 1,9 millones de registros de lista de vigil...
- T-Mobile en USA investiga una filtración masiva de...
- Valve soluciona fallo de seguridad que permitía añ...
- Investigadores crean "caras maestras" capaces de e...
- Grupo ciberdelincuentes SynAck entrega llave de ci...
- Hackean y roban BD con datos privados de los clien...
- Principales vectores de entrada en ataques de rans...
- Consultora multinacional Accenture confirma ser ví...
- Consiguen robar 611 millones dólares en el mayor a...
- Norton Antivirus compra su rival Avast por 8 mil m...
- Detenidos 10 ciberdelincuentes estafadores que ofr...
- Vulnerabilidad física módulos TPM permite hackear ...
- ChatControl: la muerte de la privacidad en Europa
- Alertan campaña activa abusando de la grave vulner...
- Filtrados manuales técnicos hacking ransomware Conti
- Fabricante GIGABYTE víctima de un ataque de ransom...
- Apple escaneará las fotos de tu iPhone en busca de...
- Encuesta anual lenguajes de programación en StackO...
- Análisis fiabilidad de discos duros mecánicos y un...
- Ataque de ransomware bloquea el sistema citas vacu...
- Clonar Disco Duro HDD a Unidad SSD con Drive Snapshot
- 2ª Edición formación gratuita Academia Hacker de I...
- Antivirus gratuito Windows Defender de Microsoft
- Multan a Zoom con 85 millones dólares por sus prob...
- DNI Europeo, el DNI 4.0 de España, una identidad d...
- Activar cifrado BitLocker en Windows 11
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Principales vectores de entrada en ataques de ransomware
Al hablar de ransomware, probablemente a muchos les venga a la cabeza algunos de los ciberataques mediáticos acontecidos durante los últimos meses y que han afectado a grandes empresas, organismos gubernamentales e incluso hospitales. Resulta fundamental saber cuáles son las puertas de entrada que utiliza para acceder a las redes corporativas, robar información confidencial y cifrarla para dejarla inaccesible.
Acceso mediante RDP
La posibilidad de acceder remotamente a un puesto de trabajo ubicado en una red corporativa es una funcionalidad que ha ayudado a empleados de muchas empresas a seguir trabajando de forma más o menos habitual, a pesar de los confinamientos y la promoción del teletrabajo que se ha realizado desde el inicio de la pandemia.
En el caso de que las empresas habiliten esta conexión remota, esta se realiza mediante una autenticación simple que pregunta por un usuario y una contraseña, aunque se puede fortalecer aplicando sistemas de autenticación multifactor.
El problema es que muchos de estos accesos mediante el protocolo RDP están configurados usando el puerto por defecto 3389 y se pueden identificar usando buscadores específicos como Shodan. Existen millones de máquinas que permiten este acceso remoto y esto supone millones de oportunidades para los delincuentes de acceder a una red corporativa.
Para acceder a estas redes corporativas mediante RDP los delincuentes pueden, por ejemplo, comprar credenciales que se hayan visto comprometidas previamente. Esto es algo que hacen varios tipos de ciberdelincuentes, no solo los que se dedican a robar información y cifrar los datos con un ransomware.
Sin embargo, el método más habitual para acceder mediante RDP a los equipos de una red siguen siendo los ataques de fuerza bruta. Una vez identificados aquellos que únicamente solicitan una autenticación simple mediante usuario y contraseña, es fácil para un atacante probar varias combinaciones de usuarios y contraseñas utilizando diccionarios de credenciales o incluso probando de forma aleatoria.
Con este elevado número de ataques produciéndose todos los días y afectando a empresas y organizaciones de todos los sectores y tamaños, es importante adoptar medidas que bloqueen o al menos mitiguen este tipo de incidentes. Para ello, resulta indispensable tener constancia de cuántos dispositivos tienen acceso mediante RDP a los dispositivos dentro de la red corporativa.
Una vez identificados todos estos dispositivos es importante eliminar este acceso remoto a todos aquellos que no sean indispensables y realizar el acceso de aquellos que sí necesiten conectarse mediante una VPN, siempre que sea posible.
Email como vector de ataque
Que el correo electrónico sea uno de los vectores de ataque más antiguos usados por los delincuentes no significa que se utilice poco. Al contrario, en pleno 2021 sigue siendo la puerta de entrada preferida para propagar una gran variedad de amenazas, entre las que se encuentra el ransomware.
Los delincuentes que utilizan el email para propagar esta amenaza normalmente emplean algún tipo de documento adjunto con macros maliciosas incrustadas o enlaces para comprometer el sistema con un malware de primera fase. Este malware de primera fase suele estar compuesto por alguna variante de alguna botnet como puedan ser Trickbot, Qbot o Dridex.
Una vez este malware ha conseguido infectar el sistema, los delincuentes comienzan a realizar movimientos laterales en búsqueda de aquellas máquinas más interesantes, como pueden ser los controladores del dominio. Desde esas máquinas les resulta más fácil tratar de desactivar las soluciones de seguridad que serían capaces de detectar el payload final, en este caso el ransomware. También es posible que, dependiendo de los delincuentes, estos decidan robar información confidencial de la empresa para realizar una doble extorsión en el caso de que la víctima no quiera pagar por recuperar sus archivos.
A la hora de protegernos frente al ransomware que utiliza el email como vector de ataque es importante filtrar aquellos correos que resulten sospechosos y contengan ficheros adjuntos o enlaces con un buen filtro antispam. Se puede bloquear la descarga de cierto tipo de ficheros, pero como muchas veces se emplean documentos ofimáticos, esta medida puede ser contraproducente al bloquear también documentos legítimos.
También se puede reducir considerablemente el éxito de estos incidentes si se conciencia a los empleados y se les enseña a identificar o, al menos, sospechar de cierto tipos de correos. Es muy probable que algún usuario siga cayendo en las trampas preparadas por los delincuentes, pero solo con que parte de ellos alerte al servicio de soporte cuando detecte un correo sospechoso podría evitar males mayores.
Aprovechamiento de vulnerabilidades
Los agujeros de seguridad presentes en el sistema operativo y en las aplicaciones utilizadas son también otro de los vectores de ataque usados por los delincuentes para desplegar ransomware en redes corporativas. Sin embargo, y aunque ha habido casos sonados donde los delincuentes han usado exploits 0-day para conseguir su objetivo, lo más habitual es que se aprovechen de vulnerabilidades ya conocidas.
Durante los últimos meses hemos visto como los delincuentes han tratado de aprovechar vulnerabilidades descubiertas, precisamente, en VPNs. Debido al incremento del teletrabajo provocado por la pandemia, el uso de estas conexiones seguras ha crecido de forma significativa. Sin embargo, algunas de estas soluciones presentaban importantes fallos de seguridad que los delincuentes han sabido aprovechar para acceder a las redes corporativas.
Lo mismo podemos decir de todas aquellas herramientas colaborativas y de productividad que han visto aumentado su uso desde el inicio de los confinamientos el año pasado. Las vulnerabilidades en plataformas como Microsoft Exchange Server han sido aprovechadas por los atacantes para acceder a los sistemas y la red de las empresas, lo que ha permitido a los delincuentes robar todo tipo de datos y correos, así como también infectar sistemas de forma que pudieran acceder a la red comprometida durante largos periodos de tiempo.
Por los motivos expuestos, resulta fundamental para mantener una buena política de seguridad en nuestras redes actualizar tanto los sistemas como las aplicaciones utilizadas tan pronto como sea posible. De esta forma se limita las posibilidades que tienen los delincuentes de tener éxito, ya que se acorta la ventana de oportunidad de la que disponen para aprovechar los agujeros de seguridad descubiertos.
Peligros de la cadena de suministro
El ya mencionado ataque a Kaseya provocó que centenares de empresas de todo el mundo vieran sus sistemas comprometidos y la información que almacenaban cifrada. Esto fue posible debido a que los atacantes lograron comprometer aprovechando una vulnerabilidad 0-day uno de los principales software de gestión de entornos IT usados por los proveedores de servicios gestionados.
A pesar de que los ataques usando la cadena de suministros aún son la excepción a la regla, su número se ha venido incrementando en los últimos meses, lo que demuestra una peligrosa tendencia que puede provocar problemas incluso más graves en el futuro. Comprometer una de estas herramientas de gestión es como obtener la llave maestra a cientos, si no miles, de redes corporativas, algo que los delincuentes están deseando conseguir.
Debido a la confianza ciega que se suele tener tanto en este tipo de software de gestión como en los proveedores de servicios gestionados, es difícil que las empresas tomen medidas para protegerse de estos ataques que usan la cadena de suministro. Sin embargo, se puede mitigar su impacto utilizando una solución de seguridad adecuada en los equipos de la red, complementada con una solución EDR que permita dar visibilidad a las acciones sospechosas que se producen en ella.
Fuente:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.