ElevenPaths Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot...
ElevenPaths De MSS a MDR y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
ElevenPaths Eventos y conferencias del mes de marzo que no puedes perderte ¿Preparados para las novedades de marzo? Un mes más, os traemos el listado de eventos, conferencias y ponencias en las que participan nuestros expertos y CSAs en todo el...
Área de Innovación y Laboratorio de ElevenPaths Rock Appround the Clock, la investigación presentada en DefCON En el mundo del Threat Intelligence, determinar la localización geográfica del atacante es uno de los datos más valorados en las técnicas de atribución. Incluso si no es percibida...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot...
ElevenPaths De MSS a MDR y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
ElevenPaths BitCrypt y el malware fácil de descifrar (II): El porqué El ransomware ha venido para quedarse. Existen fundamentalmente dos tipos: los que bloquean el acceso al sistema (que populariza todavía el “virus de la policía”) y los que (incluso...
ElevenPaths Latch integrado en la herramienta de integración continua Jenkins Jenkins es una poderosa aplicación que nos permite tener integración continua y su posterior salida a producción y entrega de proyectos. En Eleven Paths hemos querido fortificar la herramienta...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot...
ElevenPaths De MSS a MDR y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
ElevenPaths Ciberseguridad para la digitalización industrial: claves para abordarla con éxito Descubre la oferta de ElevenPaths en Ciberseguridad Industrial y transfórmate digitalmente de manera segura.
ElevenPaths Mobile Connect ganador de los ‘Connected Life Awards’ Mobile Connect es la solución multioperador impulsada por la GSMA de acceso universal y seguro. El usuario sólo necesita asociar sus datos con su dispositivo móvil solución mediante...
¿Qué recomiendan los criminales de la industria del ransomware para que no te afecte el ransomware?Sergio De Los Santos 4 agosto, 2020 Todos conocemos las recomendaciones de seguridad que ofrecen los profesionales para protegerse del malware. Habitualmente: utilizar el sentido común (personalmente, uno de los consejos menos aplicables y abstractos que se pueden dar), usar un antivirus, un cortafuegos (?)… Todo buenas intenciones que no resultan prácticas, muy repetidas pero poco eficaces. Los usuarios y empresas siguen infectándose. Por tanto, ¿y si, para variar, escuchamos a los propios creadores de ransomware? ¿No es posible que tengan una visión más práctica y realista de lo que hay que hacer para evitar su propio ataque? ¿Cuáles son sus recomendaciones contra ellos mismos? En primer lugar hay que diferenciar entre ransomware casero y ransomware profesional. En el primero, el objetivo es el ordenador aleatorio de cualquier individuo, le puede tocar al que no tome medidas. El segundo es el ransomware desarrollado con una empresa concreta como objetivo. Los atacantes se pasarán meses planeando el ataque, probablemente semanas dentro de la red y en unos minutos cifrarán todo lo que puedan para pedir un rescate millonario. Y una vez afectado, poco se puede hacer. Garmin ha pagado hace poco y así lo ha hecho también CWT, una empresa de Estados Unidos de gestión de viajes de negocios y eventos que acaba de pagar 4.5 millones de dólares por descifrar sus propios datos. El trato con el atacante negociador ha sido por chat y se ha hecho público. De la transcripción se desprende la gestión de un negocio cualquiera entre profesionales. Vamos a detenernos en las recomendaciones que hacía el negociador “malo” al representante de CWT y analizar su efectividad. Recomendaciones anti ransomware Cabe destacar que son recomendaciones de los propios atacantes y para ayudar a empresas grandes atacadas por ransomware profesional. Vamos con ellas y analicemos si son adecuadas. Listado recomendaciones. Fuente: Twitter Jack Stubbs Deshabilitar las contraseñas localesEn sistemas y servidores controlados por Controlador de Dominio, es buena idea no utilizar usuarios locales y centrarse en los del controlador de dominio. Esto permite mejorar la trazabilidad y reducir la exposición. Buena recomendación.Forzar la finalización de sesiones de administradoresCuando los atacantes se encuentren ya en la red a su anchas, intentarán escalar a administrador de dominio y abrirán sesiones con él, de lo contrario, no podrán cifrar todo lo importante y los respaldos. Es una buena idea que estas sesiones terminen, tengan caducidad y se encuentren totalmente monitorizadas.Evitar que WDigest (Digest Authentication) usado en LDAP, almacene las contraseñas en memoriaEl atacante aquí se refiere, veladamente y casi seguro, a Mimikatz y cómo muy probablemente recupera la contraseña de administrador de controlador de dominio y escala privilegios gracias a esta herramienta. Si se configura cierto valor de Windows a cero, no podrán ver la contraseña en claro y la elevación se les complicará a los atacantes. Excelente recomendación.Actualizar las contraseñas cada mesHay mucha controversia con esto de actualizar las contraseñas. Para los usuarios es un tedio actualizar cada mes y terminan por apuntarlas o seguir un patrón. Pero para los administradores (que es donde apunta este delincuente) tiene sentido. Puede que los atacantes pasen más de un mes en una red sin revelarse, estudiando cuándo es el mejor momento de lanzar el ataque más eficaz. Cambiarles las contraseñas, que probablemente ya hayan averiguado, puede forzarles a replantear el ataque y puede que deshaga buena parte de su trabajo. Interesante recomendación.Reduce los permisos de usuarios para que accedan a lo imprescindibleBueno, esta es una recomendación habitual. También referida muy probablemente a cómo los atacantes consiguen, desde un usuario raso, elevar privilegios gracias a los descuidos en la segmentación de permisos y privilegios.Applocker y el uso de las aplicaciones necesariasEste es el sueño de todo administrador de red: poder tener una lista blanca de aplicaciones que los usuarios pueden correr y desentenderse del resto. Con AppLocker, ya integrado en Windows, sería suficiente. Funciona muy bien y permite limitar por certificado, localización, etc. Los atacantes no podrían descargar sus herramientas y lanzarlas para poder elevar privilegios. Es una medida excelente que resulta compleja de llevar a la realidad, aunque no imposible.No cuentes con los antivirus a corto plazoBueno, lamentablemente, esto ya lo hemos explicado en muchas ocasiones. El antivirus (como tal) no es la mejor solución para la detección temprana. “No cuentes con ellos”. Aquí el atacante afirma que los antivirus podrían servir en el largo plazo, como algo reactivo. Y lamentablemente lleva razón, los antivirus como tal, son un elemento reactivo y ahí es donde mejor funcionan: como un sistema de detección y erradicación de una infección cuando ya ha ocurrido. Para prevenir, lo razonable es usar un conjunto de medidas mucho más amplio. Además, matiza, que el antivirus solo sirve si el atacante “por alguna razón no ataca en el corto plazo”. Da a entender que los atacantes profesionales pocas veces son impulsivos. Se toman su tiempo para analizar a la víctima y golpear eficazmente.Instala un EDR (EndPoint Detection and Response) y que los técnicos sepan trabajar con élUn EDR es más que un antivirus, efectivamente está destinado a la detección temprana, al análisis de lo que ocurre en el sistema en tiempo real, más allá de las tradicionales firmas del antivirus. Y sí, eso puede ser útil. Pero la sutiliza que añade el atacante es interesante: no solo que los usen sino que también “los técnicos trabajen con él”. Como cualquier software, no sirve de nada montar el EDR si no se configura bien, se conoce, se trabaja y se monitoriza correctamente.Trabajar las 24 horas del díaPara las empresas grandes, el atacante recomienda tres turnos de ocho horas para los administradores, cubriendo así las 24 horas del día. Esto implica que muy probablemente los atacantes busquen momentos en los que los administradores no se encuentren trabajando para lanzar los ataques, movimientos laterales o elevaciones de privilegios. Si lo consiguen sin que salten las alarmas (y sean revisadas), luego pueden borrar las huellas. Así que turnos completos de “vigilancia humana” tienen su importancia. Conclusiones Teniendo en cuenta que acaban de cobrar 4.5 millones de dólares por un rescate que ellos mismos han provocado, el atacante pertenece sin duda a un grupo profesional que sabe lo que hace. Las recomendaciones parecen sinceras y, aunque parezca contraproducente, orientadas a entorpecer su propio trabajo. ¿Por qué desvelar estos trucos? Se lo comunica a su víctima (que recordemos acaba de pagar) y solo a ella como un acto de profesionalidad. Han terminado una transacción entre “profesionales” por un servicio y le da un “bonus” de información. Como el fontanero que tras arreglar una obstrucción de la tubería te asesora antes de irse, mientras te extiende la factura, sobre cómo evitar que se atasque de nuevo el lavabo. Ningún fontanero negaría este pequeño consejo por pensar que pierde oportunidades con ello. Al contrario, como buen profesional, el atacante necesita generar confianza porque la próxima vez que ataque a una empresa grande y exija algunos millones, quiere que se sepa que pagarles es la mejor opción para recuperar los datos. Trata bien a tus clientes presentes y futuros… aunque sean víctimas. Pero aunque se hayan filtrado estos consejos, suponemos que les da un poco igual. Ahí fuera hay miles de grandes empresas que no harán caso. Por desconocimiento o falta de recursos, pero seguirán siendo víctimas potenciales. Los atacantes pueden permitirse el lujo de aconsejar cómo impedir que ataquen ellos mismos y aun así, seguir disfrutando de una superficie de ataque suficiente como para mantener un negocio próspero. Noticias de Ciberseguridad: Boletín semanal 25-31 de julioElevenPaths se une a la OpenSSF para mejorar la seguridad del software open source
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot...
ElevenPaths De MSS a MDR y más allá La ciberseguridad continúa evolucionando y, desde ElevenPaths, nos adaptamos a estos cambios. En nuestra opinión, la ciberseguridad hoy en día está en una encrucijada, a pesar del aumento de...
Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
ElevenPaths ElevenPaths Radio 3×03 – Entrevista a María Campos La seguridad informática estuvo ligada en sus inicios al PC. Luego, se extendió a los servidores; después, a los dispositivos móviles; ahora, todo está conectado con todo. Nuevos escenarios...
Sergio De Los Santos Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres (II) Hace poco hemos sabido que España envió 1.353 solicitudes gubernamentales para acceder a datos de usuarios de Facebook en la primera mitad de 2020. Gracias al informe de transparencia...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 14-20 de noviembre Campaña de distribución de malware suplanta la identidad de ministerios españoles Investigadores de ESET alertan de la existencia de una campaña de distribución de malware en la que se estaría...
