ALERTA: Malware por Email relacionado a asuntos jurídicos.

Hace un par de días recibimos la alerta de un cliente que recibió el siguiente email:

De: RAMA JUDICIAL <notificacionesycitaciones.@cendoj.ramajudicial.gov.co>
Enviado el: Friday, November 22, 2019 2:32 PM
Para: Undisclosed-Recipients:
Asunto: Hemos reprogramado la audiencia de imputacion de cargos para el dia viernes 29 de noviembre en el proceso adelantado en su contra.
Importancia: Alta
TELEGRAMA RGO   3100901278
Hemos reprogramado la audiencia de imputacion de cargos en el proceso adelantado en su contra ya que no contabamos con su presencia o la  de su defensor , esta se llevara a cabo nuevamente en el complejo judicial de paloquemao el dia viernes 29 de noviembre del presente año le agradecemos puntual asitencia .
IMPORTANTE:  Si usted por algun motivo no esta enterado(a) de este proceso en su contra  lo hemos adjuntado.
Todo documento adjunto contiene una contraseña es : 2019

MALWARE EMAIL BLOG

  • Este email viene con un archivo adjunto en formato de texto enriquecido (*.rtf).
  • Dentro del archivo adjunto no hay ningún escrito, sólo un enlace a un URL traducido en el sitio:  https://acortaurl.com
  • El URL direcciona a http://download*.mediafire.com
  • El archivo descargado es un archivo cifrado *.zip protegido con contraseña.
  • Al descomprimir el archivo hay un ejecutable *.exe que contiene un virus.

ANÁLISIS:

Este email requiere de un alto grado de colaboración del usuario receptor del correo para lograr su objetivo, lo cual logra al enviar una notificación en español perfectamente redactada y hasta cierto punto creíble, porque incluye una notificación judicial con fecha de expiración (29 de Noviembre).

El ataque de malware está compuesto de elementos que por sí solos, no parecieran constituir un riesgo en sí mismos, pero que combinados de la forma en que se hizo, con la total complicidad del receptor del correo, pudieran lograr su cometido:

  • Un email que en su cuerpo no contiene ninguna URL o referencia directa que pueda ser declarado como sospechoso en un análisis rápido.
  • Un adjunto por email en formato texto, normalmente permitido en las organizaciones.
  • Un enlace a un sitio “seguro” https, con un enlace traducido del cual un usuario promedio no sospecharía.
  • Un redireccionamiento para un sitio de descarga (se espera el archivo con la notificación judicial) de un archivo protegido con contraseña.
  • Un archivo comprimido con contraseña que no va a ser analizado por el antivirus, por poseer clave.

PREVENCIÓN:

  • Si la dirección de correo remitente no es de su jurisdicción o usted no mantiene relaciones con dicho país, debe sospechar que el email está equivocado.
  • Si el email no específica directamente su dirección de correo, no es un email válido como notificación judicial. Haga caso omiso y elimine el email.
  • Si el email no incluye su nombre completo en el cuerpo del email, tampoco es válido como notificación judicial.  Puede descartar el correo.
  • En la notificación se indica la fecha en que debe asistir, pero no se incluye la hora.  Otro elemento de sospecha.
  • Enviar una contraseña en un correo electrónico general que le remite a un correo adjunto que usará dicha contraseña no tiene sentido lógico, más que evadir un antimalware para correo.  Los archivos protegidos y las claves de descifrado siempre deben viajar por diferentes medios.
  • El email carece de una firma con datos que permitan validar la procedencia legítima del correo y su notificación asociada.

PROTECCIÓN:

  • Configure su solución de seguridad para que no permita la ejecución de traductores de enlaces o URL recortados.
  • Configure su solución de seguridad para que prohíba o alerte del uso de sitios de descargas de archivos genéricos.
  • No permita la descarga directa de archivos que no puedan ser analizados por su antivirus.  Envíelos a cuarentena y solicite a su soporte técnico que evalúe el archivo.
  • Configure su Antivirus para que no permita la descarga o ejecución de archivos ejecutables.
  • Su computador debe ser utilizado con permisos de usuario limitado.  Los permisos de administrador son sólo para acciones puntuales, no deben ser de uso diario.

 

Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

REVISION DE LOGS

ENFOQUE GENERAL.

  1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
  2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
  3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
  4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
  5. Mantener el enfoque en todos los eventos asociados a:
    1. 1 Cambios
    2. 1 Fallas
    3. 1 Errores
    4. 1 Accesos
    5. 1 Eventos Administrativos
    6. 1 Eventos Inusuales.
  6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
  7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
  8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

  • Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
  • Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
  • Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
  • Registros de Eventos en las Aplicaciones de los Usuarios.
  • No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Comparativa de Desempeño UTM – Miercom labs – Agosto 2018.

Extractos del Informe.  Contenido completo en:  https://www.watchguard.com/wgrd-resource-center/miercom-high-performance-verification-report-m270

Un UTM es un producto que consolida funciones de enrutamiento, firewall, Prevención de Intrusiones (IPS), Antivirus, VPN, entre otras medidas de protección requeridas por las pequeñas y medianas empresas PYMES.

Aunque combinan el poder de un Next Generation Firewall y un Secure Web Gateway, tradicionalmente, su desventaja ha sido el bajo performance ante procesamiento intensivo de tráfico.

A solicitud de WatchGuard Technologies, Miercom Labs condujo un estudio independiente en el que comparó equipos que compiten en precio con el Firebox M270. Es decir, equipos con un precio cercano al M270, pero que se estuvieran por debajo del precio de su siguiente producto: el Firebox M370.  Estos equipos fueron:

  • Cisco Meraki MX84
  • Fortinet FortiGate 100E
  • SonicWall NSA 2650
  • Sophos XG 210

La comparación de los productos se realizó en los siguiente escenarios:

  • Sólo como Firewall
  • Firewall con capas adicionales de seguridad en tráfico HTTP y HTTPS.
  • UTM con IPS, Antivirus y Control de Aplicaciones activo en tráfico HTTP y HTTPS.
Gráfico 1:  Sólo Firewall procesando tráfico UDP 1518  y procesando IMIX UDP

Firewall UDP

 

Gráfico 2:  Sólo Tráfico HTTP  /  HTTP combinado con IPS / HTTP con AV / HTTP con IPS & AV / HTTP FULL UTM

HTTP mas Features

Gráfico 3:  HTTPS combinado con IPS / HTTPS con AV / HTTPS con IPS & AV / HTTPS FULL UTM

HTTPS mas Features

Este reporte documenta el efecto de las capas de seguridad en el desempeño que tienen cada uno de los UTM evaluados procesando el tráfico. Conocer este impacto, puede ayudar a los Departamentos de IT a decidir cuál producto de seguridad se ajusta mejor a las necesidades de la Organización.

Las pymes siguen siendo un blanco atractivo para los cyber-criminales.

Elaborado por José Luis Gomes – Tecnología Altermedios MSS INC.

En los últimos meses hemos recibido llamadas de empresas que, a pesar de tener soluciones de seguridad de distintos fabricantes muy reconocidos, han presentado problemas como: Bloqueo de Direcciones IP Públicas, Problemas de conectividad por saturación del ancho de banda de Internet, Archivos contaminados con Virus, Aplicaciones de Escritorio con errores de ejecución, entre otras fallas comunes.

Falla de Red

Todas estas empresas tenían la tecnología mínima necesaria:  Switches, Servidores, Firewalls-UTM, Antivirus, etc;  sin embargo, todas estas empresas carecían de personal de IT Fijo y en algunos casos tenían a un técnico que llamaban ocasionalmente para resolver fallas puntuales.

Al presentarnos para hacer el diagnóstico, siempre conseguimos las mismas situaciones:

-) Redes planas sin ningún tipo de segmentación. Inalámbricos, Servidores y Estaciones de trabajo, todos trabajando en el mismo segmento de red.

-) Switches Administrables con la configuración por defecto.

-) Redes inalámbricas a las que nunca le habían cambiado la clave del SSID.

-) Todos los usuarios de los computadores (Estaciones de Trabajo) ejecutando sus sesiones con privilegios elevados.

-) Firewalls y Antivirus sin ningún tipo de personalización, con sus configuraciones por defecto.

-) Software de Acceso remoto gratuitos y diferentes, ejecutados incluso en los computadores sin conocimiento de los usuarios.

-) Software tipo Freeware o Adware para ejecutar labores en donde se requieren privilegios, como Backups.

-) Unidades de Red compartidas entre todos los usuarios con los mismos privilegios.

-) Unidades USB libres, sin ningún tipo de bloqueo o control, a las que los usuarios conectan sus teléfonos celulares.

-) Impresoras de Red Alámbricas o Inalámbricas conectadas sin ningún tipo de control de uso a Internet.

Todas estas situaciones son prácticas ejecutadas por personal que se ha preocupado por atender las necesidades de funcionamiento, pero sin tener consideración alguna por la seguridad de lo que están poniendo a funcionar.

En algunos casos, podríamos argumentar que las empresas no contaban con asistencia calificada; sin embargo, lo que nos hemos conseguido mayoritariamente, son casos en los que las empresas contrataban servicios de asistencia con precios mínimos y limitados a atender requerimientos puntuales, que a la larga se convertían en innumerables llamadas y pagos en exceso, que pudieron ser evitados con una correcta asesoría inicial.

Mientras las pymes sigan considerando a la tecnología como un gasto que deben minimizar y existan asesores tecnológicos dispuestos a seguirles la corriente, los cyber-criminales contarán con blancos fáciles a los que puedan comprometer para realizar sus fechorías.

 

 

 

 

 

¿Puedo protegerme utilizando un servicio de DNS?

En los últimos tiempos, hemos observado que las pequeñas empresas se muestran interesadas, cada vez más, en su seguridad informática. Sin embargo, al mostrar productos basados en Hardware o Software, el costo de inversión asociado a estas soluciones tiende a ser el factor principal en la toma de decisión.

La pregunta: “¿Cuánto me cuesta?” , que sigue de inmediato a la presentación de los beneficios de una solución, nos revela que nos seguimos enfrentando a la percepción de la tecnología como un gasto y no como una inversión.

Al hablar con las pequeñas empresas, en muy rara ocasión se encuentra presente algún interlocutor del área de tecnología.  Esto hace que la conversación se desarrolle con los dueños del negocio, quienes manifiestan la preocupación en su seguridad, esperando que podamos ayudarlos a un “costo razonable”.

Imagen Bloqueo

Como proveedores de servicios nos planteamos la posibilidad de operar una solución totalmente basada en la nube, que no requiera de inversión en ningún hardware o software extra, ni de complejos artilugios en las redes de nuestros clientes.

Al analizar los controles basados en DNS, encontramos la alternativa de “costo razonable” que estábamos buscando.

Si partimos del hecho que para que podamos: navegar a un sitio web, enviar un correo electrónico, chatear o ver un video, es imprescindible la resolución de un nombre de dominio (DNS) para conocer la dirección IP del servidor al que debe establecerse la conexión, entonces al controlar que direcciones IP resuelven nuestros Servidores DNS podemos controlar como fluye el tráfico hacia internet.

Este tipo de controles DNS han estado en operación desde hace tiempo, incluso en países que aplican censura a ciertos sitios o dominios opuestos al gobierno de turno.  El uso del DNS es tan poderoso, que puede utilizarse – incluso – para evadir los controles de censura aplicados por estos países.

Combinar el poder del protocolo DNS con un adecuado sistema de clasificación de dominios en internet, con el que podamos agrupar sitios que distribuyen virus,  que poseen contenido pornográfico ó que permiten la descarga de herramientas de hacking,  nos permite tener una solución de seguridad básica para las pequeñas empresas y que combinada con herramientas de seguridad multicapa, nos permite mejorar la estrategia de seguridad de las medianas y grandes empresas.

USO DEL WIFI COMO HERRAMIENTA DE NEGOCIOS.

Seguramente la tecnología de conectividad inalámbrica o Wi-Fi no sea ajena para usted, ya que su uso se ha extendido como consecuencia de su incorporación en los teléfonos o tabletas celulares.

Quizá desconozca tecnológicamente como funciona un Wi-Fi, pero si debe estar acostumbrado a ubicar su Conexión Inalámbrica por Nombre (SSID) y a colocar una clave para conectarse.  Es muy probable que usted se conecte a un enrutador o punto de acceso inalámbrico en su casa u oficina, aunque esto no sea de mayor importancia para usted.

El uso de Wi-Fi es tan cotidiano, que seguramente ha pensado en incorporarlo en su negocio (si aún no lo ha hecho), solamente porque le parece natural permitir que los teléfonos se puedan conectar de forma inalámbrica.

Más allá de las consideraciones de seguridad asociadas a permitir conexiones inalámbricas en nuestras organizaciones, en el artículo de hoy queremos resaltar las bondades que tiene la tecnología inalámbrica para nuestros negocios.

WIFI para hacer negocios

Por definición, la tecnología Wi-Fi está compuesta de una estación de comunicación base y varios terminales inalámbricos.  En cualquiera de estos elementos, se transmiten y se reciben datos como una señal electromagnética, con un nivel de intensidad o de potencia de transmisión.  Este nivel de potencia o nivel de señal, lo podemos utilizar para conocer que tan cerca o que tan lejos se encuentra un terminal inalámbrico de la base de comunicaciones.

Intuitivamente sabemos que nuestro teléfono registra un nivel de señal alto o excelente, en la medida que nos acercamos a la base de comunicaciones. También sabemos que en la medida que nos alejamos de la estación base, se va debilitando el nivel de señal hasta que nuestro teléfono se desconecta e intenta ubicar a otra estación base cercana.

Si quisiéramos, podríamos establecer una regla que asocie la distancia que nos separa de nuestra estación de comunicaciones base en función del nivel de señal Wi-Fi que registra nuestro teléfono.  Por ejemplo, podríamos tener 5 Niveles de señal:  Excelente, Buena, Regular, Mala, Débil asociados a la distancia que nos separa de la antena:  1, 2, 3, 4 o 5 metros, respectivamente.

Ahora bien, ¿no suena lógico que podamos hacer la misma medición de distancia desde la propia base de comunicaciones?  ¿No tendríamos los mismos resultados?.  Pues la respuesta es afirmativa, se puede hacer la misma medición, obteniendo la misma distancia de separación del terminal móvil o teléfono.

Cómo nuestra base de comunicaciones inalámbricas Wi-Fi está diseñada para permitir la conexión de varias computadoras o teléfonos, entonces podríamos utilizarla para medir la distancia de separación hacia cada unos de los teléfonos.

Esto nos lleva a concluir que podemos utilizar un sistema Wi-Fi para saber cuántos teléfonos (o computadores) se encuentran cerca o cuántos teléfonos se encuentran lejos de nuestro sistema de comunicación inalámbrica.

Si mantenemos un registro constante de las mediciones que se hacen con nuestras antenas y luego las analizamos, vamos a poder saber cuando un teléfono se acerca o se aleja de nuestro sistema, cuanto tiempo permanece un teléfono cerca de nuestra antena, cuantas veces se ha acercado el teléfono a nuestro Wi-Fi, etc.

Partiendo del hecho que cada teléfono o computador no se desplaza por cuenta propia, sino que una persona vinculada a dicho equipo es la que lo acerca o lo aleja (consciente o inconscientemente) de nuestro Wi-Fi, al lograr establecer una vinculación de cada teléfono a su dueño, vamos a poder establecer mediciones asociadas a los dueños de los teléfonos.

De esta forma, es posible distribuir varios puntos de comunicación Wi-Fi en un Centro Comercial, para medir por donde se desplaza cada persona (que tan lejos o que tan cerca está de cada antena), cuanto tiempo se mantiene cada persona cerca de cada antena o cuantas veces dicha persona visita el centro comercial.

Así que, la próxima vez que piense que debe instalar una zona Wi-Fi en su organización, sólo porque hoy día es común su uso, piense que esto podría ser una herramienta poderosa para hacer negocios, si selecciona un Wi-Fi que haga análisis de los datos de conectividad inalámbrica.

 

 

 

 

 

 

 

 

 

Predicciones en Seguridad IT según WatchGuard Technologies.

(Fuente WatchGuard Technologies – Versión Libre al Español por AltermediosMSS)

Predicciones 2018

1. Los hackers encontrarán una vulnerabilidad suficientemente severa en los blockchain como para acabar completamente con algunas de las criptomonedas. 

Ya el objetivo de los hackers no serán las criptomonedas para cobrar rescate en ataques de ransomware.  Como ha crecido tanto la adopción de las criptomonedas más conocidas y están incorporándose otras nuevas, no sería raro de esperar que el próximo objetivo de los cibercriminales sean las criptomonedas en sí mismas.

2. La creciente adopción de seguros corporativos que disminuyan el impacto económico de un ransomware y en la reputación de las empresas, motivará a los cibercriminales a enfocar sus ataques en las aseguradoras y sus empresas aseguradas.

Debido a que la efectividad de un ataque de spam es inferior a 1% y que apenas un tercio (1/3) de las empresas contaminadas por ransomware están pagando por los rescates solicitados, los autores de estas extorsiones han comenzado a revisar su negocio.  Pensar en subir el valor del rescate solicitado para aumentar (o compensar) sus ganancias reduce la cantidad de empresas que podrían pagar por el rescate. Su alternativa es hacerse más efectivos y apuntar a empresas vinculadas a pólizas de seguros contra este tipo de extorsiones, porque sería más probable que opten por pagar el rescate solicitado.

 3. Se espera que los gobiernos aumenten las regulaciones sobre el Internet de las Cosas (IoT = Internet of Things), debido al crecimiento de Botnets IoT.

El número de fabricantes que están desarrollando dispositivos IoT están en constante aumento.  Estos han reducido la seguridad de los desarrollos IoT para poder tener los nuevos equipos en el mercado lo más pronto posible.  Esta falta de seguridad y el incremento de plataformas multimedia de uso masivo como “Reddit” o “Netflix” hace pensar en que pudiera generarse un ataque masivo utilizando un BOTNET de equipos IoT.  Esto obligará a que los gobiernos den un paso al frente y comiencen a crear leyes que obliguen a los fabricantes de equipos IoT a prestar atención a la seguridad de sus equipos.

4. WatchGuard Labs ha estado observando un incremento en los ataques sobre sistemas basados en Linux durante el 2017 y espera que dichos ataques se dupliquen durante el 2018.

Durante el primer trimestre de 2017 el 36% del malware detectado estaba orientado a dispositivos basados en Linux, mientras que en el segundo trimestre hubo un incremento en la explotación de vulnerabilidades de red asociadas a estos equipos.  Para finales de año 2017, también se detectó un incremento de los ataques basados en sesiones TELNET y SSH sobre servidores LINUX.  Estas tendencias y el hecho que la mayoría de los dispositivos IoT baratos están haciendo uso de kernel linux instalados por defecto, lo cual los hace extremadamente inseguros, obliga a predecir el alarmante incremento de los ataques directos a estas plataformas.

5. La pérdida de datos y fuga de contraseñas obligarán a las PYME a adoptar definitivamente la Autenticación de factor múltiple.

En los últimos años se ha tenido noticias de ataques orientados al robo de credenciales (usuarios y contraseñas) en sitios web muy conocidos.  Esta información robada luego es utilizada para tener acceso directo a servidores y redes, principalmente en aquellas empresas en la que los usuarios utilizan un mismo usuario y contraseña para el acceso a todos sus recursos.  La adopción de Autenticación de Factor Múltiple, surge entonces como una alternativa, pues ya no bastaría con una contraseña para acceder a un recurso o sistema, se requeriría al menos de dos elementos de validación en simultáneo.  Estos sistemas de Autenticación múltiple han tardado en adoptarse en las pequeñas y medianas empresas (pymes) por lo costoso y complejo que resulta su implementación. Sin embargo, se espera que durante el 2018 con el incremento del uso de smartphones y de plataformas de pagos por uso (as a service) se abaraten estos sistemas lo suficiente como para que las pyme comiencen rápidamente su adopción.

6. ¿Que causará mayor impacto en las elecciones durante el 2018? Hackeo de las máquinas de votación o campañas de desinformación y propaganda.

Durante el DEFCON de 2017 un grupo de hackers pudo mostrar cómo hackear máquinas de votación, algo que ha sido intentado por años con mayor o menor grado de éxito.  La posibilidad de tener acceso a las máquinas de votación, provoca que el elector cuestione la credibilidad de un proceso electoral en su totalidad. Sin embargo, los hackers que pudieron llevar con éxito el ataque, tuvieron acceso total y físico a los equipos, cuestión que es imposible que ocurra en una elecciones en la vida real.  Ahora bien, el impacto que genera la duda acerca de la integridad de las máquinas de votación afecta mucho más al proceso electoral que el ataque en si mismo a cada máquina de votación, lo cual sería mucho más díficil y costoso de hacer. Así que pareciera que las campañas de desinformación y propaganda con noticias falsas (fake news) parecieran que van a ser la forma en que se afectarán los procesos electorales del 2018.

7. La tecnología SDR para comunicaciones inalámbricas está siendo adoptada por cada vez más dispositivos comunes como  automóviles, dispositivos de salud, alarmas de edificios, etc.  Esto lleva a pensar que la próxima frontera es el ataque a esta tecnología. 

El Hackeo de Sistemas WiFi se ha vuelto cada vez más común, al punto que ya existen videos tutoriales acerca de cómo hacerlo.  Esto ha llevado a perfeccionar los sistemas de radio definidos por software (SDR), los cuáles permiten modificar el comportamiento de un transmisor de radio con el uso de un programa y un procesador de uso general.  Esta tecnología que inicialmente encontraba su nicho de aplicación en lo militar ahora se ha estado llevando a sistemas cotidianos a los fines de poder modificar a conveniencia y de manera económica su comunicación inalámbrica.