EDR: Detección y Respuesta desde el Computador.

Cada computador podría ser una puerta de entrada a la red de una organización. Por eso es necesario protegerlas con algo más que un antivirus, es necesaria una herramienta que permita tener la visibilidad requerida para actuar en las fases tempranas de un posible ataque. Esta es la misión de un EDR.

Podemos decir que un EDR es una categoría de herramientas de ciberseguridad que detectan automáticamente posibles amenazas de seguridad y reducen los tiempos de respuesta a incidentes.

Un EDR captura grandes cantidades de eventos e información contextual de cada computador (o servidor) para detectar potenciales ataques, incluso aquellos que nunca antes se hayan visto.

Aunque la visibilidad es el principal beneficio de un EDR, también incluye la capacidad para responder a los ataques en tiempo real. La gran mayoría de los EDR utilizan análisis conductual e inteligencia artificial para identificar patrones de comportamiento sospechosos y contener las amenazas antes de que se produzcan daños significativos.

La gran cantidad de los eventos generados por los EDR de las computadoras, no siempre podrán ser procesados automáticamente, por lo que se requiere del talento humano para analizar las alertas y extrapolar el significado de los eventos generados. Las pequeñas empresas podrían no tener los recursos para mantener su propio especialista, por lo que deberían considerar los servicios de un proveedor de seguridad administrada.

Las características principales de un EDR son:

1. Captura de Eventos: a través de un agente de software ligero que se instala en cada computador y que a través de telemetría envía los eventos de seguridad a una plataforma centralizada donde se puede organizar y analizar. Esta plataforma suele estar basada en la nube.

2. Análisis de Eventos: mediante inteligencia artificial el agente de software aprende cuál es el comportamiento normal del uso del computador, para luego generar un registro, una alarma o un bloqueo de cualquier irregularidad que se presente. Al tener los registros, el personal de seguridad podrá profundizar en el "cuándo", "dónde", "cómo" y "quién" de una amenaza.

3. Clasificación de Eventos: utilizando el marco de MITRE ATT&CK que es una base de datos mundial que categoriza y describe ataques e intrusiones ocurridas en el mundo real, se identifican, bloquean o se generan indicadores que permitan reforzar la postura de seguridad de la organización. 

4. Respuesta automatizada: ante cualquier actividad que se considere sospechosa, generando una alerta para que el personal de seguridad investigue.  Aunque el EDR no sea capaz de resolver los ataques más sofisticados, los cuáles van a requerir de intervención humana, la atención inmediata de los ataques más sencillos ayuda a las organizaciones a minimizar los tiempos de respuesta a incidentes.

5. Retención de Eventos: que permitirá al personal de seguridad revisar datos históricos para determinar como ocurrió un ataque. Los conocimientos obtenidos son extremadamente valiosos para fortalecer la postura de seguridad contra futuras amenazas.  En el caso de los EDR cuya plataforma está basada en la nube,  se obtiene tranquilidad adicional, puesto que siempre se tendrán los históricos, incluso en el peor caso en el que un atacante logre desactivar el EDR.


La prevención por sí sola ya no garantiza la protección. Debemos operar con la creencia de que un atacante, en algún momento, logrará vencer nuestras protecciones de perímetro y cuando llegue ese día, el EDR será crucial para ver qué sucedió, cómo sucedió y, lo más importante, cómo solucionarlo. 

El EDR debe ser considerada por nuestras organizaciones como una pieza fundamental para reforzar nuestra postura de seguridad en la medida que las amenazas evolucionen y se vuelven cada vez más sofisticadas.

En Altermedios podemos poner a su disposición agentes de EDR para que puedan ser evaluados por su organización.

Tomado de:  https://blog.emsisoft.com/en/41378/what-is-edr/ y Adaptado por AltermediosMSS

3 Razones para NO ejecutar dos programas antivirus simultáneamente.

¿Ha escuchado que ejecutar dos programas antivirus al mismo tiempo es algo problemático?

¿Esto es un buen consejo basado en argumentos técnicos o es un intento para disuadirlo de instalar los productos de la competencia?

Hagamos una análisis del argumento:

1. Problemas de complejidad: incompatibilidad potencial
   • Los programas de protección se crean de muchas maneras diferentes y, muy a menudo, los desarrolladores no se adhieren a los estándares de codificación recomendados. En particular, el uso de interfaces de sistema operativo no documentadas a menudo causa bloqueos inesperados o bloqueos que son muy difíciles de resolver. A veces, es muy difícil saber si algunos proveedores no tienen la experiencia necesaria para crear sus productos de una manera que los haga compatibles con otros, o simplemente no les importa y esperan que sus clientes resuelvan estos problemas por su cuenta.
2. Ambos Antivirus detectan una amenaza: ¿Quién es el primero en ponerse en cuarentena?
   • Imagine que tiene ambos productos de seguridad con análisis en tiempo real. Al descargar un archivo peligroso ambos podrían detectar y alertar sobre la amenaza; Pero, ¿Cuál es el primero en ponerlo en cuarentena o eliminar la amenaza? ¿Qué pasaría con el segundo antivirus? Seguramente el que accione de último, generaría mensajes de error porque los archivos se desaparecerían repentinamente al ser eliminados o puestos en cuarentena.
3. Más no siempre es mejor. Múltiples soluciones seguro representarán un alto consumo de recursos.
   • Los productos de protección contra malware hoy en día son bastante complejos y el número creciente de amenazas se multiplica exponencialmente, lo que requiere de una gran cantidad de código para mantener su computadora segura. Esto resultará en un uso relativamente alto de los recursos informáticos, muy especialmente de su memoria (RAM). Por lo tanto, es posible que termine gastando de 0.5 a 1 GB o más de su RAM disponible para aumentar su tasa de detección, digamos, de 98% a 99%. Pero, ¿realmente vale la pena esta minúscula mejora? Cada nuevo archivo en la computadora tendría que ser escaneado por ambos productos, lo que desencadenaría dos complejos conjuntos de código que usan gran parte de su tiempo de CPU, que sin duda podrían usarse mejor para otras tareas.

Podemos sacar como conclusión, que no vale la pena utilizar 2 programas de protección antivirus completos en su computador, a menos que sean configurados para que operen en cadena y no de forma simultánea, además que se complementen en análisis y no compitan por los recursos de su equipo.

Si quiere aumentar la protección de su antivirus actual, le recomendamos que se complemente con un agente EDR (Endpoint Detection and Response).

Fuente: BLOG EMSISOFT «Why it isn’t a good idea to run multiple full antivirus products at the same time»

5 TECNOLOGÍAS EN SINERGIA CONTRA EL RANSOMWARE

El Ransomware es un negocio multimillonario que afecta a las organizaciones a nivel mundial a través de sus usuarios. La clave para estar protegido contra el ransomware es poner especial cuidado a la protección de cada usuario con soluciones que incorporen tecnologías que trabajen en conjunto para detectarlo de manera confiable.

1. Detección basada en firmas.

Todos los objetos en el mundo digital contienen atributos específicos que pueden ser utilizados para identificarlos, a esto se denomina firma digital. Cada variante de ransomware no escapa de tener asociada una firma específica que lo identifica. Incorporar estas firmas de forma regular a la base de datos de su solución antiransomware, permitirá identificar archivos que contengan la firma maliciosa, para identificarlos como una amenaza y así poder bloquearlos.

2. Detección basada en Comportamiento.

La detección basada en firmas es una forma eficiente de detener el ransomware conocido, sin embargo, es incapaz de detectar nuevas variantes de ransomware que aún no hayan sido estudiadas para obtener su firma digital. Por este motivo la detección basada en comportamiento es fundamental.

La detección basada en comportamiento trabaja mediante la detección de patrones de conducta que son inusuales, para detener todo programa malicioso antes que pueda hacer cambios en su sistema.

Patrones como creación automática de archivos, intentos de cifrado de archivos, intentos de eliminación de archivos, podrían indicar la presencia de un ransomware que debe ser bloqueado.

La detección basada en comportamiento puede detectar de forma confiable casi todo tipo de malware, aún cuando su sistema de detección basado en firmas se encuentre desactualizado.

3. Prevenir la explotación de vulnerabilidades.

El inicio de un ataque de ransomware, usualmente comienza con la explotación de alguna vulnerabilidad del sistema operativo del computador o de alguno de los programas que utiliza. Por esta razón es que es tan importante mantener actualizados nuestros programas como estrategia de prevención.

Típicamente lo que ocurre al explotar una vulnerabilidad, es que el cyberdelincuente logra una forma para comprometer su sistema, permitiéndole reconocer el equipo o su entorno de red, hurtar sus credenciales, propagarse a otros equipos aprovechando la misma vulnerabilidad u otra presente en los otros equipos. Sólo al final, el ransomware secuestra su información. Al entender todo el proceso del ataque, se puede entender que es un proceso elaborado que toma su tiempo y que ocurre por descuido o falta de atención del usuario.

La idea es detener el ataque en sus fases tempranas, antes que culmine el ataque de ransomware. Al detener cualquier inyección de código a través de programas comúnmente utilizados, por ejemplo, prevenir la ejecución de scripts desde las aplicaciones de Microsoft Office, se previene la ejecución de código malicioso y se reduce la capacidad de maniobra del ataque.

La prevención de la explotación de vulnerabilidades asegura la detección y bloqueo del ransomware en las fases tempranas del ataque, independientemente del método de infección, sea por email, por escritorio remoto, navegación ocasional o vulnerabilidades no parcheadas.

4. Protección con Password.

El Ransomware no se despliega de forma instantánea. Es una ataque que típicamente demora algunos días, semanas y hasta meses. Los cyberdelincuentes se toman su tiempo en reconocer su objetivo para maximizar el impacto del ataque. Parte de este proceso involucra deshabilitar cualquier proceso de seguridad existente en el sistema objetivo, lo cual asegura que este malware no sea detectado e impedido su despliegue.

La protección con password es una forma eficiente para evitar que puedan deshabilitar la solución de seguridad que se tenga implementada en los sistemas de los usuarios. Mejor aún, si la protección por password es establecida de forma centralizada desde un servidor de administración que se encuentre fuera de la red corporativa, preferiblemente en la nube. Al no existir un mecanismo local para el ingreso de la contraseña, se hace mucho más complicado que el cyberdelincuente pueda obtener acceso o interceptar estas contraseñas.

5. Alerta de Ataque al servicio RDP.

RDP es el protocolo de Escritorio Remoto, que suele ser utilizado para tener acceso a servidores. Este protocolo es uno de los vectores de ataque más ampliamente utilizados en los últimos tiempos, motivado a la necesidad de implementar mecanismos de Teletrabajo.

En estos casos, el cyberdelincuente inicia el despliegue del ransomware mediante la ubicación de servidores que tengan el protocolo de RDP expuesto hacia el Internet. Al detectar que el puerto de la aplicación responde al intento de conexión, inicia un ataque de fuerza bruta para obtener las credenciales de dicho servidor. Una vez que ubican una cuenta que posea privilegios administrativos, el atacante podría hacer de todo en la red comprometida.

Disponer de un mecanismo que alerte de los intentos de acceso fallidos a nuestros servidores por RDP, nos permite tomar decisiones como: el bloqueo de las direcciones IP de los atacantes, deshabilitar el servicio RDP en demanda para que sólo permanezca activo durante el período de tiempo que lo necesitamos, utilizar mecanismos de endurecimiento y rotación de contraseñas o en el mejor de los casos utilizar mecanismos de autenticación de múltiple factor que impida el éxito en el secuestro de una cuenta que posea privilegios administrativos.

Conclusión

La protección contra el ransomware requiere poner mucha atención a los equipos y sistemas de nuestros usuarios (eslabón débil de la cadena) y utilizar estas cinco tecnologías de protección de forma simultánea, lo cual se entiende como una estrategia multicapa.

El escenario ideal apunta a que estas tecnologías puedan estar incorporadas en un sólo producto que facilite su implementación y abarate su adopción en los equipos de los usuarios. Sin embargo, también puede adoptarse cada tecnología de forma independiente, con soluciones más especializadas y costosas. Incluso puede adoptarse la estrategia multicapa en distintas zonas de seguridad de la red corporativa.

No puede, ni debe descartarse, el uso de un buen mecanismo de respaldo de los datos, que se encuentre preferiblemente fuera del alcance de los atacantes de la red. Hasta hace poco tiempo se solía decir que la única forma de asegurar la continuidad del negocio era mantener los mejores backups posibles. Sin embargo, los cyberdelincuentes saben esto y no sólo secuestran los datos operativos, también sustraen los respaldos existentes.

5 Tips para prevenir amenazas asociadas al WiFi

El uso constante que hacemos de las aplicaciones móviles y de los puntos de acceso inalámbrico públicos, es lo que los vuelve inseguros.

Al utilizar una red inalámbrica pública, nunca se sabe si se está poniendo en riesgo o no. Al conectar su dispositivo a una red comprometida puede ocurrir robo de información, comprometerse con ransomware o ser utilizado como una plataforma de retransmisión de un ataque informático.

TIP 1 – VERIFIQUE LA AUTENTICIDAD DE LA RED WIFI: Un atacante puede publicar un hotspot inalámbrico de nombre muy similar al verdadero, para robar sus datos personales. Siempre valide con los dependientes del restaurant, tienda u hotel, cuál son los datos correctos de su conexión WiFi.

TIP 2 – USE UNA VPN: No navegue a través de una red inalámbrica pública, sin utilizar una VPN que le brinde privacidad a las conexiones que realice. Así evita dar información sensible que pueda comprometer su red y aumenta la seguridad de su navegación con su protección corporativa.

TIP 3 – NO TENGA EL BLUETOOTH ENCENDIDO: La recomendación es sólo encender el bluetooth para aparearse a un dispositivo, luego desactivarlo al culminar el apareamiento. La seguridad de las conexiones bluetooth por defecto es débil, por lo que incluso se recomienda NUNCA habilitarlo mientras está conectado a un WiFi. La idea es evitar que un Hacker desee explotar su teléfono para tener acceso a su red corporativa o a su información sensible mientras navega.

TIP 4 – DESHABILITAR LA OPCIÓN DE COMPARTIR LA UBICACIÓN: La opción de geolocalización de los dispositivos móviles es muy útil para los servicios de taxi o de entregas a domicilio. Sin embargo, mantenerlo activo, mientras se conecta a un WiFi público, aún cuando pueda usar una VPN para asegurar su conexión inalámbrica, puede decirle a un atacante la información real donde usted se encuentra, generándole un riesgo a su propia seguridad personal y suministrando información que puede ser utilizada para atacar a su red corporativa.

TIP 5 – DESACTIVE LA OPCIÓN DE UNIRSE AUTOMÁTICAMENTE A REDES WIFI DISPONIBLES: Todos los puntos de acceso inalámbrico públicos son atractivos para los atacantes. Puede ser comprometidos para atacar de forma indirecta a los dispositivos móviles. Evitar la conexión automática WIFI a redes disponibles, reduce la exposición a estos ataques sin que usted se percate lo que está ocurriendo.

En el año 2020, la tendencia ha sido el tele-trabajo, lo cual tiene relación directa con las redes WiFi. Es por esto que los ciberatacantes han estado desarrollando ataques que están vinculados al uso de redes inalámbricas. Como ejemplo, ha aparecido el ransomware CryCriptor y troyanos para control remoto de dispositivos cómo DingWe.AD.

Hoy más que nunca hay que tomar todas las precauciones al conectarse a las redes públicas inalámbricas .

Estadísticas del Ransomware: 2do Trimestre del 2020.

Según el BLOG de #EMSISOFT, quienes han analizado muestras de ransomware recibidas a través de ID Ransomware y el propio website de Emsisoft, entre el 01 de Abril y el 30 de Junio de 2020, las cepas de ransomware más reportadas fueron las siguientes:

1. STOP (Djvu): 71,70%
2. Phobos: 8.90%
3. Dharma (.cezar): 6.90%
4. REvil / Sodinokibi: 3.20%
5. Globeimposter 2.0: 2.00%
6. Makop: 1.80%
7. Paymen45: 1.60%
8. LockBit: 1.40%
9. GoGoogle: 1.30%
10. Magniber: 1.10%

Cepas de Ransomware más reportadas en Q2 / 2020

STOP/Djvu, fue la familia ransomware más reportada durante el primer trimestre de 2020: 70,2% y ha continuado su legado en este segundo trimestre: 71,7%. Esta prolífica cepa, normalmente se propaga a través del uso de software que ha sido crackeado, generadores de claves (keygen) y activadores.

En segundo y tercer lugar se muestran Phobos y Dharma, que utilizan como vector de ataque el protocolo de Escritorio Remoto (RDP). Resulta evidente que muchas organizaciones no implementaron de forma segura el RDP en su prisa por desplegar el Teletrabajo dejando estas conexiones vulnerables a los compromisos.

Países desde donde se han recibido más cepas de Ransomware:

1. India: 28,40%
2. Estados Unidos: 16,10%
3. Egipto: 11,50%
4. Indonesia: 10,60%
5. Pakistán: 8,40%
6. Brasil: 8,40%
7. Corea del Sur: 5,50%
8. Turquía: 4,00%
9. Filipinas: 3,60%
10. Argelia: 3,60%

Países desde donde se han recibido más muestras de Ransomware. Q2 / 2020.

Puede ampliar información acerca del reporte en: https://blog.emsisoft.com/en/36769/ransomware-statistics-for-2020-q2-report/#

ALERTA: Malware por Email relacionado a asuntos jurídicos.

Hace un par de días recibimos la alerta de un cliente que recibió el siguiente email:

De: RAMA JUDICIAL <notificacionesycitaciones.@cendoj.ramajudicial.gov.co>

Enviado el: Friday, November 22, 2019 2:32 PM

Para: Undisclosed-Recipients:

Asunto: Hemos reprogramado la audiencia de imputacion de cargos para el dia viernes 29 de noviembre en el proceso adelantado en su contra.

Importancia: Alta

TELEGRAMA RGO   3100901278

Hemos reprogramado la audiencia de imputacion de cargos en el proceso adelantado en su contra ya que no contabamos con su presencia o la  de su defensor , esta se llevara a cabo nuevamente en el complejo judicial de paloquemao el dia viernes 29 de noviembre del presente año le agradecemos puntual asitencia .

IMPORTANTE:  Si usted por algun motivo no esta enterado(a) de este proceso en su contra  lo hemos adjuntado.

Todo documento adjunto contiene una contraseña es : 2019

• Este email viene con un archivo adjunto en formato de texto enriquecido (*.rtf).
• Dentro del archivo adjunto no hay ningún escrito, sólo un enlace a un URL traducido en el sitio:  https://acortaurl.com
• El URL direcciona a http://download*.mediafire.com
• El archivo descargado es un archivo cifrado *.zip protegido con contraseña.
• Al descomprimir el archivo hay un ejecutable *.exe que contiene un virus.

ANÁLISIS:

Este email requiere de un alto grado de colaboración del usuario receptor del correo para lograr su objetivo, lo cual logra al enviar una notificación en español perfectamente redactada y hasta cierto punto creíble, porque incluye una notificación judicial con fecha de expiración (29 de Noviembre).

El ataque de malware está compuesto de elementos que por sí solos, no parecieran constituir un riesgo en sí mismos, pero que combinados de la forma en que se hizo, con la total complicidad del receptor del correo, pudieran lograr su cometido:

• Un email que en su cuerpo no contiene ninguna URL o referencia directa que pueda ser declarado como sospechoso en un análisis rápido.
• Un adjunto por email en formato texto, normalmente permitido en las organizaciones.
• Un enlace a un sitio «seguro» https, con un enlace traducido del cual un usuario promedio no sospecharía.
• Un redireccionamiento para un sitio de descarga (se espera el archivo con la notificación judicial) de un archivo protegido con contraseña.
• Un archivo comprimido con contraseña que no va a ser analizado por el antivirus, por poseer clave.

PREVENCIÓN:

• Si la dirección de correo remitente no es de su jurisdicción o usted no mantiene relaciones con dicho país, debe sospechar que el email está equivocado.
• Si el email no específica directamente su dirección de correo, no es un email válido como notificación judicial. Haga caso omiso y elimine el email.
• Si el email no incluye su nombre completo en el cuerpo del email, tampoco es válido como notificación judicial.  Puede descartar el correo.
• En la notificación se indica la fecha en que debe asistir, pero no se incluye la hora.  Otro elemento de sospecha.
• Enviar una contraseña en un correo electrónico general que le remite a un correo adjunto que usará dicha contraseña no tiene sentido lógico, más que evadir un antimalware para correo.  Los archivos protegidos y las claves de descifrado siempre deben viajar por diferentes medios.
• El email carece de una firma con datos que permitan validar la procedencia legítima del correo y su notificación asociada.

PROTECCIÓN:

• Configure su solución de seguridad para que no permita la ejecución de traductores de enlaces o URL recortados.
• Configure su solución de seguridad para que prohíba o alerte del uso de sitios de descargas de archivos genéricos.
• No permita la descarga directa de archivos que no puedan ser analizados por su antivirus.  Envíelos a cuarentena y solicite a su soporte técnico que evalúe el archivo.
• Configure su Antivirus para que no permita la descarga o ejecución de archivos ejecutables.
• Su computador debe ser utilizado con permisos de usuario limitado.  Los permisos de administrador son sólo para acciones puntuales, no deben ser de uso diario.

 

Estadísticas de Ransomware en 2do y 3er Trimestre de 2019.

Fuente: EMSISOFT BLOG

Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. Los creadores de estas amenazas apuntan  a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel predominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

La estadísticas presentadas se basan en datos de más de 230,000 muestras envíadas a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. 

1. STOP (djvu): 56.00%
2. Dharma (.cezar family): 12.00%
3. Phobos: 8.90%
4. GlobeImposter 2.0: 6.50%
5. REvil / Sodinokibi: 4.50%
6. GandCrab v4.0 / v5.0: 3.60%
7. Magniber: 3.30%
8. Scarab: 2.00%
9. Rapid: 1.80%
10. Troldesh / Shade: 1.40%

 

STOP – DJVU:  Es la cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre, que representó el 56 por ciento de todas las muestras recibidas. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes. STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios Torrents. Por lo general, está oculto en Licencias crackeadas o en KeyGen,  que descargan los usuarios para activar software de pago de forma gratuita. Una vez ejecutado, STOP encripta archivos con encriptación Salsa20 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio del software y la clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

DHARMA – .cezar: El segundo ransomware más enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados.  Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los creadores del malware hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores del ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes. Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contenían información importante de los pacientes, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

PHOBOS: Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de las muestras enviadas a ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019. Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales de RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago. Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta a través de un puerto directamente publicado. 

Para ampliar la información, puede consultar el siguiente enlace:

https://blog.emsisoft.com/en/34335/ransomware-statistics-for-2019-q2-to-q3-report/ 

Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

ENFOQUE GENERAL.

1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
5. Mantener el enfoque en todos los eventos asociados a:
   1. 1 Cambios
   2. 1 Fallas
   3. 1 Errores
   4. 1 Accesos
   5. 1 Eventos Administrativos
   6. 1 Eventos Inusuales.
6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

• Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
• Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
• Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
• Registros de Eventos en las Aplicaciones de los Usuarios.
• No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Comparativa de Desempeño UTM – Miercom labs – Agosto 2018.

Extractos del Informe.  Contenido completo en:  https://www.watchguard.com/wgrd-resource-center/miercom-high-performance-verification-report-m270

Un UTM es un producto que consolida funciones de enrutamiento, firewall, Prevención de Intrusiones (IPS), Antivirus, VPN, entre otras medidas de protección requeridas por las pequeñas y medianas empresas PYMES.

Aunque combinan el poder de un Next Generation Firewall y un Secure Web Gateway, tradicionalmente, su desventaja ha sido el bajo performance ante procesamiento intensivo de tráfico.

A solicitud de WatchGuard Technologies, Miercom Labs condujo un estudio independiente en el que comparó equipos que compiten en precio con el Firebox M270. Es decir, equipos con un precio cercano al M270, pero que se estuvieran por debajo del precio de su siguiente producto: el Firebox M370.  Estos equipos fueron:

• Cisco Meraki MX84
• Fortinet FortiGate 100E
• SonicWall NSA 2650
• Sophos XG 210

La comparación de los productos se realizó en los siguiente escenarios:

• Sólo como Firewall
• Firewall con capas adicionales de seguridad en tráfico HTTP y HTTPS.
• UTM con IPS, Antivirus y Control de Aplicaciones activo en tráfico HTTP y HTTPS.

Gráfico 1:  Sólo Firewall procesando tráfico UDP 1518  y procesando IMIX UDP

 

Gráfico 2:  Sólo Tráfico HTTP  /  HTTP combinado con IPS / HTTP con AV / HTTP con IPS & AV / HTTP FULL UTM

Gráfico 3:  HTTPS combinado con IPS / HTTPS con AV / HTTPS con IPS & AV / HTTPS FULL UTM

Este reporte documenta el efecto de las capas de seguridad en el desempeño que tienen cada uno de los UTM evaluados procesando el tráfico. Conocer este impacto, puede ayudar a los Departamentos de IT a decidir cuál producto de seguridad se ajusta mejor a las necesidades de la Organización.

¿Puedo protegerme utilizando un servicio de DNS?

En los últimos tiempos, hemos observado que las pequeñas empresas se muestran interesadas, cada vez más, en su seguridad informática. Sin embargo, al mostrar productos basados en Hardware o Software, el costo de inversión asociado a estas soluciones tiende a ser el factor principal en la toma de decisión.

La pregunta: «¿Cuánto me cuesta?» , que sigue de inmediato a la presentación de los beneficios de una solución, nos revela que nos seguimos enfrentando a la percepción de la tecnología como un gasto y no como una inversión.

Al hablar con las pequeñas empresas, en muy rara ocasión se encuentra presente algún interlocutor del área de tecnología.  Esto hace que la conversación se desarrolle con los dueños del negocio, quienes manifiestan la preocupación en su seguridad, esperando que podamos ayudarlos a un «costo razonable».

Como proveedores de servicios nos planteamos la posibilidad de operar una solución totalmente basada en la nube, que no requiera de inversión en ningún hardware o software extra, ni de complejos artilugios en las redes de nuestros clientes.

Al analizar los controles basados en DNS, encontramos la alternativa de «costo razonable» que estábamos buscando.

Si partimos del hecho que para que podamos: navegar a un sitio web, enviar un correo electrónico, chatear o ver un video, es imprescindible la resolución de un nombre de dominio (DNS) para conocer la dirección IP del servidor al que debe establecerse la conexión, entonces al controlar que direcciones IP resuelven nuestros Servidores DNS podemos controlar como fluye el tráfico hacia internet.

Este tipo de controles DNS han estado en operación desde hace tiempo, incluso en países que aplican censura a ciertos sitios o dominios opuestos al gobierno de turno.  El uso del DNS es tan poderoso, que puede utilizarse – incluso – para evadir los controles de censura aplicados por estos países.

Combinar el poder del protocolo DNS con un adecuado sistema de clasificación de dominios en internet, con el que podamos agrupar sitios que distribuyen virus,  que poseen contenido pornográfico ó que permiten la descarga de herramientas de hacking,  nos permite tener una solución de seguridad básica para las pequeñas empresas y que combinada con herramientas de seguridad multicapa, nos permite mejorar la estrategia de seguridad de las medianas y grandes empresas.