EDR: Detección y Respuesta desde el Computador.

Cada computador podría ser una puerta de entrada a la red de una organización. Por eso es necesario protegerlas con algo más que un antivirus, es necesaria una herramienta que permita tener la visibilidad requerida para actuar en las fases tempranas de un posible ataque. Esta es la misión de un EDR.

Podemos decir que un EDR es una categoría de herramientas de ciberseguridad que detectan automáticamente posibles amenazas de seguridad y reducen los tiempos de respuesta a incidentes.

Un EDR captura grandes cantidades de eventos e información contextual de cada computador (o servidor) para detectar potenciales ataques, incluso aquellos que nunca antes se hayan visto.

Aunque la visibilidad es el principal beneficio de un EDR, también incluye la capacidad para responder a los ataques en tiempo real. La gran mayoría de los EDR utilizan análisis conductual e inteligencia artificial para identificar patrones de comportamiento sospechosos y contener las amenazas antes de que se produzcan daños significativos.

La gran cantidad de los eventos generados por los EDR de las computadoras, no siempre podrán ser procesados automáticamente, por lo que se requiere del talento humano para analizar las alertas y extrapolar el significado de los eventos generados. Las pequeñas empresas podrían no tener los recursos para mantener su propio especialista, por lo que deberían considerar los servicios de un proveedor de seguridad administrada.

Las características principales de un EDR son:

1. Captura de Eventos: a través de un agente de software ligero que se instala en cada computador y que a través de telemetría envía los eventos de seguridad a una plataforma centralizada donde se puede organizar y analizar. Esta plataforma suele estar basada en la nube.

2. Análisis de Eventos: mediante inteligencia artificial el agente de software aprende cuál es el comportamiento normal del uso del computador, para luego generar un registro, una alarma o un bloqueo de cualquier irregularidad que se presente. Al tener los registros, el personal de seguridad podrá profundizar en el "cuándo", "dónde", "cómo" y "quién" de una amenaza.

3. Clasificación de Eventos: utilizando el marco de MITRE ATT&CK que es una base de datos mundial que categoriza y describe ataques e intrusiones ocurridas en el mundo real, se identifican, bloquean o se generan indicadores que permitan reforzar la postura de seguridad de la organización. 

4. Respuesta automatizada: ante cualquier actividad que se considere sospechosa, generando una alerta para que el personal de seguridad investigue.  Aunque el EDR no sea capaz de resolver los ataques más sofisticados, los cuáles van a requerir de intervención humana, la atención inmediata de los ataques más sencillos ayuda a las organizaciones a minimizar los tiempos de respuesta a incidentes.

5. Retención de Eventos: que permitirá al personal de seguridad revisar datos históricos para determinar como ocurrió un ataque. Los conocimientos obtenidos son extremadamente valiosos para fortalecer la postura de seguridad contra futuras amenazas.  En el caso de los EDR cuya plataforma está basada en la nube,  se obtiene tranquilidad adicional, puesto que siempre se tendrán los históricos, incluso en el peor caso en el que un atacante logre desactivar el EDR.


La prevención por sí sola ya no garantiza la protección. Debemos operar con la creencia de que un atacante, en algún momento, logrará vencer nuestras protecciones de perímetro y cuando llegue ese día, el EDR será crucial para ver qué sucedió, cómo sucedió y, lo más importante, cómo solucionarlo. 

El EDR debe ser considerada por nuestras organizaciones como una pieza fundamental para reforzar nuestra postura de seguridad en la medida que las amenazas evolucionen y se vuelven cada vez más sofisticadas.

En Altermedios podemos poner a su disposición agentes de EDR para que puedan ser evaluados por su organización.

Tomado de:  https://blog.emsisoft.com/en/41378/what-is-edr/ y Adaptado por AltermediosMSS

3 Razones para NO ejecutar dos programas antivirus simultáneamente.

¿Ha escuchado que ejecutar dos programas antivirus al mismo tiempo es algo problemático?

¿Esto es un buen consejo basado en argumentos técnicos o es un intento para disuadirlo de instalar los productos de la competencia?

Hagamos una análisis del argumento:

1. Problemas de complejidad: incompatibilidad potencial
   • Los programas de protección se crean de muchas maneras diferentes y, muy a menudo, los desarrolladores no se adhieren a los estándares de codificación recomendados. En particular, el uso de interfaces de sistema operativo no documentadas a menudo causa bloqueos inesperados o bloqueos que son muy difíciles de resolver. A veces, es muy difícil saber si algunos proveedores no tienen la experiencia necesaria para crear sus productos de una manera que los haga compatibles con otros, o simplemente no les importa y esperan que sus clientes resuelvan estos problemas por su cuenta.
2. Ambos Antivirus detectan una amenaza: ¿Quién es el primero en ponerse en cuarentena?
   • Imagine que tiene ambos productos de seguridad con análisis en tiempo real. Al descargar un archivo peligroso ambos podrían detectar y alertar sobre la amenaza; Pero, ¿Cuál es el primero en ponerlo en cuarentena o eliminar la amenaza? ¿Qué pasaría con el segundo antivirus? Seguramente el que accione de último, generaría mensajes de error porque los archivos se desaparecerían repentinamente al ser eliminados o puestos en cuarentena.
3. Más no siempre es mejor. Múltiples soluciones seguro representarán un alto consumo de recursos.
   • Los productos de protección contra malware hoy en día son bastante complejos y el número creciente de amenazas se multiplica exponencialmente, lo que requiere de una gran cantidad de código para mantener su computadora segura. Esto resultará en un uso relativamente alto de los recursos informáticos, muy especialmente de su memoria (RAM). Por lo tanto, es posible que termine gastando de 0.5 a 1 GB o más de su RAM disponible para aumentar su tasa de detección, digamos, de 98% a 99%. Pero, ¿realmente vale la pena esta minúscula mejora? Cada nuevo archivo en la computadora tendría que ser escaneado por ambos productos, lo que desencadenaría dos complejos conjuntos de código que usan gran parte de su tiempo de CPU, que sin duda podrían usarse mejor para otras tareas.

Podemos sacar como conclusión, que no vale la pena utilizar 2 programas de protección antivirus completos en su computador, a menos que sean configurados para que operen en cadena y no de forma simultánea, además que se complementen en análisis y no compitan por los recursos de su equipo.

Si quiere aumentar la protección de su antivirus actual, le recomendamos que se complemente con un agente EDR (Endpoint Detection and Response).

Fuente: BLOG EMSISOFT «Why it isn’t a good idea to run multiple full antivirus products at the same time»

5 TECNOLOGÍAS EN SINERGIA CONTRA EL RANSOMWARE

El Ransomware es un negocio multimillonario que afecta a las organizaciones a nivel mundial a través de sus usuarios. La clave para estar protegido contra el ransomware es poner especial cuidado a la protección de cada usuario con soluciones que incorporen tecnologías que trabajen en conjunto para detectarlo de manera confiable.

1. Detección basada en firmas.

Todos los objetos en el mundo digital contienen atributos específicos que pueden ser utilizados para identificarlos, a esto se denomina firma digital. Cada variante de ransomware no escapa de tener asociada una firma específica que lo identifica. Incorporar estas firmas de forma regular a la base de datos de su solución antiransomware, permitirá identificar archivos que contengan la firma maliciosa, para identificarlos como una amenaza y así poder bloquearlos.

2. Detección basada en Comportamiento.

La detección basada en firmas es una forma eficiente de detener el ransomware conocido, sin embargo, es incapaz de detectar nuevas variantes de ransomware que aún no hayan sido estudiadas para obtener su firma digital. Por este motivo la detección basada en comportamiento es fundamental.

La detección basada en comportamiento trabaja mediante la detección de patrones de conducta que son inusuales, para detener todo programa malicioso antes que pueda hacer cambios en su sistema.

Patrones como creación automática de archivos, intentos de cifrado de archivos, intentos de eliminación de archivos, podrían indicar la presencia de un ransomware que debe ser bloqueado.

La detección basada en comportamiento puede detectar de forma confiable casi todo tipo de malware, aún cuando su sistema de detección basado en firmas se encuentre desactualizado.

3. Prevenir la explotación de vulnerabilidades.

El inicio de un ataque de ransomware, usualmente comienza con la explotación de alguna vulnerabilidad del sistema operativo del computador o de alguno de los programas que utiliza. Por esta razón es que es tan importante mantener actualizados nuestros programas como estrategia de prevención.

Típicamente lo que ocurre al explotar una vulnerabilidad, es que el cyberdelincuente logra una forma para comprometer su sistema, permitiéndole reconocer el equipo o su entorno de red, hurtar sus credenciales, propagarse a otros equipos aprovechando la misma vulnerabilidad u otra presente en los otros equipos. Sólo al final, el ransomware secuestra su información. Al entender todo el proceso del ataque, se puede entender que es un proceso elaborado que toma su tiempo y que ocurre por descuido o falta de atención del usuario.

La idea es detener el ataque en sus fases tempranas, antes que culmine el ataque de ransomware. Al detener cualquier inyección de código a través de programas comúnmente utilizados, por ejemplo, prevenir la ejecución de scripts desde las aplicaciones de Microsoft Office, se previene la ejecución de código malicioso y se reduce la capacidad de maniobra del ataque.

La prevención de la explotación de vulnerabilidades asegura la detección y bloqueo del ransomware en las fases tempranas del ataque, independientemente del método de infección, sea por email, por escritorio remoto, navegación ocasional o vulnerabilidades no parcheadas.

4. Protección con Password.

El Ransomware no se despliega de forma instantánea. Es una ataque que típicamente demora algunos días, semanas y hasta meses. Los cyberdelincuentes se toman su tiempo en reconocer su objetivo para maximizar el impacto del ataque. Parte de este proceso involucra deshabilitar cualquier proceso de seguridad existente en el sistema objetivo, lo cual asegura que este malware no sea detectado e impedido su despliegue.

La protección con password es una forma eficiente para evitar que puedan deshabilitar la solución de seguridad que se tenga implementada en los sistemas de los usuarios. Mejor aún, si la protección por password es establecida de forma centralizada desde un servidor de administración que se encuentre fuera de la red corporativa, preferiblemente en la nube. Al no existir un mecanismo local para el ingreso de la contraseña, se hace mucho más complicado que el cyberdelincuente pueda obtener acceso o interceptar estas contraseñas.

5. Alerta de Ataque al servicio RDP.

RDP es el protocolo de Escritorio Remoto, que suele ser utilizado para tener acceso a servidores. Este protocolo es uno de los vectores de ataque más ampliamente utilizados en los últimos tiempos, motivado a la necesidad de implementar mecanismos de Teletrabajo.

En estos casos, el cyberdelincuente inicia el despliegue del ransomware mediante la ubicación de servidores que tengan el protocolo de RDP expuesto hacia el Internet. Al detectar que el puerto de la aplicación responde al intento de conexión, inicia un ataque de fuerza bruta para obtener las credenciales de dicho servidor. Una vez que ubican una cuenta que posea privilegios administrativos, el atacante podría hacer de todo en la red comprometida.

Disponer de un mecanismo que alerte de los intentos de acceso fallidos a nuestros servidores por RDP, nos permite tomar decisiones como: el bloqueo de las direcciones IP de los atacantes, deshabilitar el servicio RDP en demanda para que sólo permanezca activo durante el período de tiempo que lo necesitamos, utilizar mecanismos de endurecimiento y rotación de contraseñas o en el mejor de los casos utilizar mecanismos de autenticación de múltiple factor que impida el éxito en el secuestro de una cuenta que posea privilegios administrativos.

Conclusión

La protección contra el ransomware requiere poner mucha atención a los equipos y sistemas de nuestros usuarios (eslabón débil de la cadena) y utilizar estas cinco tecnologías de protección de forma simultánea, lo cual se entiende como una estrategia multicapa.

El escenario ideal apunta a que estas tecnologías puedan estar incorporadas en un sólo producto que facilite su implementación y abarate su adopción en los equipos de los usuarios. Sin embargo, también puede adoptarse cada tecnología de forma independiente, con soluciones más especializadas y costosas. Incluso puede adoptarse la estrategia multicapa en distintas zonas de seguridad de la red corporativa.

No puede, ni debe descartarse, el uso de un buen mecanismo de respaldo de los datos, que se encuentre preferiblemente fuera del alcance de los atacantes de la red. Hasta hace poco tiempo se solía decir que la única forma de asegurar la continuidad del negocio era mantener los mejores backups posibles. Sin embargo, los cyberdelincuentes saben esto y no sólo secuestran los datos operativos, también sustraen los respaldos existentes.

Estadísticas del Ransomware: 2do Trimestre del 2020.

Según el BLOG de #EMSISOFT, quienes han analizado muestras de ransomware recibidas a través de ID Ransomware y el propio website de Emsisoft, entre el 01 de Abril y el 30 de Junio de 2020, las cepas de ransomware más reportadas fueron las siguientes:

1. STOP (Djvu): 71,70%
2. Phobos: 8.90%
3. Dharma (.cezar): 6.90%
4. REvil / Sodinokibi: 3.20%
5. Globeimposter 2.0: 2.00%
6. Makop: 1.80%
7. Paymen45: 1.60%
8. LockBit: 1.40%
9. GoGoogle: 1.30%
10. Magniber: 1.10%

Cepas de Ransomware más reportadas en Q2 / 2020

STOP/Djvu, fue la familia ransomware más reportada durante el primer trimestre de 2020: 70,2% y ha continuado su legado en este segundo trimestre: 71,7%. Esta prolífica cepa, normalmente se propaga a través del uso de software que ha sido crackeado, generadores de claves (keygen) y activadores.

En segundo y tercer lugar se muestran Phobos y Dharma, que utilizan como vector de ataque el protocolo de Escritorio Remoto (RDP). Resulta evidente que muchas organizaciones no implementaron de forma segura el RDP en su prisa por desplegar el Teletrabajo dejando estas conexiones vulnerables a los compromisos.

Países desde donde se han recibido más cepas de Ransomware:

1. India: 28,40%
2. Estados Unidos: 16,10%
3. Egipto: 11,50%
4. Indonesia: 10,60%
5. Pakistán: 8,40%
6. Brasil: 8,40%
7. Corea del Sur: 5,50%
8. Turquía: 4,00%
9. Filipinas: 3,60%
10. Argelia: 3,60%

Países desde donde se han recibido más muestras de Ransomware. Q2 / 2020.

Puede ampliar información acerca del reporte en: https://blog.emsisoft.com/en/36769/ransomware-statistics-for-2020-q2-report/#

Estadísticas de Ransomware en 2do y 3er Trimestre de 2019.

Fuente: EMSISOFT BLOG

Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. Los creadores de estas amenazas apuntan  a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel predominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

La estadísticas presentadas se basan en datos de más de 230,000 muestras envíadas a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. 

1. STOP (djvu): 56.00%
2. Dharma (.cezar family): 12.00%
3. Phobos: 8.90%
4. GlobeImposter 2.0: 6.50%
5. REvil / Sodinokibi: 4.50%
6. GandCrab v4.0 / v5.0: 3.60%
7. Magniber: 3.30%
8. Scarab: 2.00%
9. Rapid: 1.80%
10. Troldesh / Shade: 1.40%

 

STOP – DJVU:  Es la cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre, que representó el 56 por ciento de todas las muestras recibidas. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes. STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios Torrents. Por lo general, está oculto en Licencias crackeadas o en KeyGen,  que descargan los usuarios para activar software de pago de forma gratuita. Una vez ejecutado, STOP encripta archivos con encriptación Salsa20 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio del software y la clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

DHARMA – .cezar: El segundo ransomware más enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados.  Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los creadores del malware hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores del ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes. Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contenían información importante de los pacientes, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

PHOBOS: Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de las muestras enviadas a ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019. Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales de RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago. Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta a través de un puerto directamente publicado. 

Para ampliar la información, puede consultar el siguiente enlace:

https://blog.emsisoft.com/en/34335/ransomware-statistics-for-2019-q2-to-q3-report/