Kaspersky revela las tendencias de las APTs para el segundo trimestre | |
El informe destaca la actualización de conjuntos de herramientas, la creación de nuevas variantes de malware y la adopción de técnicas frescas por parte de los agentes de amenazas. | |
|
En el informe más reciente de Kaspersky sobre las tendencias de las amenazas persistentes avanzadas (APTs) para el segundo trimestre de 2023, los investigadores analizan el desarrollo de las campañas nuevas y existentes.
El informe destaca la actividad de las APTs durante este período, incluida la actualización de conjuntos de herramientas, la creación de nuevas variantes de malware y la adopción de técnicas frescas por parte de los agentes de amenazas.
Una de las revelaciones más significativas fue que la campaña de larga duración “Operation Triangulation” involucra el uso de una plataforma de malware iOS previamente desconocida. Los expertos también observaron otros acontecimientos interesantes que deben ser del conocimiento de todos.
| |
|
Asia-Pacífico es testigo de un nuevo agente de amenazas: Mysterious Elephant
Kaspersky descubrió un nuevo agente de amenazas perteneciente a la familia Elephants, que opera en la región de Asia-Pacífico, denominado «Mysterious Elephant». En la campaña más reciente, el agente de amenazas empleó nuevas familias de puertas traseras, capaces de ejecutar archivos y órdenes en la computadora de la víctima y recibir archivos u órdenes de un servidor malicioso para ejecutarlos en el sistema infectado. Si bien los investigadores de Kaspersky han observado superposiciones con Confucius y SideWinder, Mysterious Elephant posee un conjunto distintivo y único de tácticas, técnicas y procedimientos (TTPs), lo que los diferencia de estos otros grupos.
| | | |
|
Conjuntos de herramientas actualizados: Lazarus desarrolla una nueva variante de malware, BlueNoroff ataca a macOS y más
Los agentes de amenazas mejoran constantemente sus técnicas, pues Lazarus ha actualizado su marco MATA e introducido una nueva variante, MATAv5, de la complicada familia de malware MATA. BlueNoroff, un subgrupo de Lazarus centrado en ataques financieros, ahora emplea nuevos métodos de entrega y lenguajes de programación, incluido el uso de lectores de PDF con troyanos en campañas recientes, la implementación de malware macOS y el lenguaje de programación Rust. Además, el grupo ScarCruft APT ha desarrollado nuevos métodos de infección, evadiendo así el mecanismo de seguridad Mark-of-the-Web (MOTW). Las tácticas en constante evolución de estos agentes de amenazas presentan nuevos desafíos para los profesionales de la ciberseguridad.
| | | |
|
Las influencias geopolíticas siguen siendo los principales impulsores de la actividad de las APTs
Las campañas de las APTs permanecen dispersas geográficamente, pues sus agentes concentran sus ataques en regiones como Europa, América Latina, Medio Oriente y varias partes de Asia. El ciberespionaje, con un sólido trasfondo geopolítico, continúa siendo una agenda dominante para estos esfuerzos.
| | | |
|
Para evitar ser víctima de un ataque dirigido por un agente de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Para garantizar la seguridad de su sistema, es crucial actualizar rápidamente su sistema operativo y el software de terceros a sus versiones más recientes. Mantener un programa de actualización regular es esencial para mantenerse protegido contra posibles vulnerabilidades y riesgos de seguridad.
- Mejore las habilidades de su equipo de seguridad cibernética para abordar las amenazas dirigidas más recientes con la capacitación en línea de Kaspersky, desarrollada por expertos de GReAT.
- Utilice la información más reciente de Threat Intelligence para mantenerse actualizado con los TTPs reales utilizados por los agentes de amenazas.
- Para la detección, investigación y corrección oportuna de incidentes a nivel de endpoints, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.
- Los servicios dedicados pueden ayudar a combatir ataques de alto perfil. El servicio de Detección y respuesta administrada de Kaspersky puede ayudar a identificar y detener las intrusiones en sus primeras etapas, antes de que los perpetradores logren sus objetivos. Si se encuentra con un incidente, el servicio de Respuesta a incidentes de Kaspersky le ayudará a responder y minimizar las consecuencias, en particular: identificar los nodos contaminados y proteger la infraestructura contra ataques similares en el futuro.
| |
Fortinet nombrado único líder en el informe 2023 IT/OT Network Protection Platforms Navigator™ | |
Fortinet se complace en anunciar que hemos sido reconocidos como el único "Líder" en el Navegador™ de Plataformas de Protección de Red IT/OT 2023 de Westlands Advisory, que destaca las soluciones integrales de red y ciberseguridad en Fortinet OT-Aware Security Fabric. | |
Westlands Advisory también señala la amplia gama de productos y servicios de ciberseguridad y redes seguras de Fortinet OT que protegen la amplia variedad de sistemas industriales y ciberfísicos en todo el modelo de Purdue. Fortinet OT-Aware Security Fabric continúa creciendo en la cobertura de regulaciones y estándares regionales y verticales y está superando el crecimiento promedio de la cuota de mercado. | |
|
Las redes OT ofrecen un desafío único. Muchas redes OT no fueron diseñadas para conectarse a Internet y los dispositivos OT rara vez incluían características de seguridad. Sin embargo, hoy en día el aumento de las iniciativas digitales está acelerando la necesidad de conexión con el mundo exterior para lograr productividad, eficiencia, capacidad de respuesta y ganancias generales de rentabilidad. Para agravar esta situación, las organizaciones de OT necesitan más empleados para trabajar en la administración y protección de las redes de TI y OT, pero la brecha de habilidades de ciberseguridad significa que encontrar a esas personas puede ser difícil.
Si esos desafíos no son suficientes, las redes OT están cada vez más expuestas a ataques de ransomware. En los últimos tres años, los ataques a OT y objetivos de infraestructura crítica han crecido en magnitud y frecuencia, incluidos varios ataques de alto perfil que afectaron seriamente a los clientes y las economías nacionales.
| | |
|
Fortinet ha estado protegiendo las redes OT durante casi dos décadas, desarrollando y entregando productos, servicios y herramientas diseñadas para cumplir con los requisitos operativos y reglamentarios de las redes OT para reducir el riesgo cibernético y proteger la producción. Estas soluciones industriales son partes totalmente integradas de la plataforma Fortinet OT-Aware Security Fabric. Fortinet Security Fabric es una plataforma de malla de ciberseguridad que proporciona seguridad de red y ciberseguridad totalmente integradas con administración centralizada y una política de seguridad unificada consciente del contexto.
El OT-Aware Security Fabric se basa en los protocolos y aplicaciones industriales y aborda el modelo de Purdue y la matriz MITRE ICS ATT&CK. Fortinet ofrece a sus clientes industriales los primeros pasos de identificación y segmentación de activos junto con productos y servicios de seguridad específicos de OT. Con las soluciones de Fortinet y un ecosistema más grande de socios y proveedores con soluciones adaptadas a entornos OT, los propietarios de activos pueden implementar constantemente Fortinet Security Fabric junto con OT-Aware Security Fabric para permitir la convergencia de redes de TI y OT. Este enfoque único brinda a las organizaciones visibilidad completa y control granular sobre toda su red.
| |
Deepfakes de voz: no creas todo lo que escuchas | |
Los deepfakes de audio que pueden imitar la voz de cualquier persona ya se utilizan para realizar estafas multimillonarias. ¿Cómo se hacen los deepfakes? ¿Puedes protegerte para no ser una víctima? | |
La conversión de voz se basa en codificadores automáticos, un tipo de red neuronal que primero comprime los datos de entrada en una representación interna compacta y luego aprende a descomprimirlos desde esta representación para restaurar los datos originales. Así, el modelo aprende a presentar datos en un formato comprimido mientras resalta la información más importante. | |
| | |
Para hacer deepfakes de voz, se introducen dos grabaciones de audio en el modelo, y la voz de la segunda grabación se convierte en la primera. El codificador de contenido se usa para determinar qué se dijo en la primera grabación y el codificador del orador se usa para extraer las principales características de la voz de la segunda grabación, es decir, cómo habla la segunda persona. Las representaciones comprimidas de qué se debe decir y cómo se dice se combinan, y el resultado se genera mediante el decodificador. Por lo tanto, se usa la voz de la segunda grabación para expresar lo que se dice en la primera grabación. | |
La tecnología deepfake en sí misma es inofensiva, pero en manos de los estafadores puede convertirse en una herramienta peligrosa que ofrece muchas oportunidades de engaño, difamación o desinformación. Afortunadamente, no se han producido estafas masivas que involucren tecnologías de alteración de voz, pero ha habido varios casos de alto perfil que involucran deepfakes de voz. | |
Cómo las ciberamenazas híbridas están explotando las identidades digitales | |
En el mundo de la ciberseguridad, las amenazas híbridas aprovechan las vulnerabilidades y las brechas de seguridad presentes en los entornos híbridos, aquellos que combinan las instalaciones y la nube. | |
Los actores de amenazas utilizan diversas técnicas para moverse sin problemas entre los sistemas locales y la infraestructura en la nube para explotar las identidades digitales. Estas brechas en la protección a menudo son causadas por modelos y controles de seguridad que aún no han tenido en cuenta adecuadamente las nuevas tecnologías en la nube, así como el crecimiento exponencial de cuentas e identidades que ha hinchado la superficie de ataque. | |
|
La cadena de ataque híbrida representa una serie de pasos que un actor de amenazas o grupo de amenazas tomará para obtener acceso y luego moverse lateralmente a través de una red. El grupo Mango Sandstorm utilizará una variedad de tácticas para obtener acceso inicial a una red. Estas tácticas pueden incluir spear phishing y explotar vulnerabilidades en servidores expuestos a Internet, en particular haciendo un uso extensivo de los exploits Log4j. Una vez que han ganado un punto de apoyo inicial, su primera orden del día es obtener derechos administrativos locales y usar herramientas como Mimikatz para volcar credenciales que luego usarán para moverse lateralmente dentro de la red.
Hasta ahora, estamos describiendo una cadena de ataque bastante clásica; sin embargo, en un ataque reciente, los actores de amenazas usaron credenciales de cuenta privilegiadas locales que habían capturado para moverse lateralmente a un sistema usado para ejecutar Azure AD Connect. Azure AD Connect es una aplicación local que ayuda a las organizaciones a administrar identidades híbridas mediante la sincronización de Active Directory (AD) local con Azure AD.
| | |
|
En la carrera hacia la nube, muchas organizaciones han terminado con múltiples aplicaciones empresariales que se utilizaron para una tarea única de migración de datos en la nube y ahora no se utilizan, o estaban mal configuradas y tienen un alto nivel de acceso. Si estos se ven comprometidos, entonces el actor de amenazas puede operar bajo la cobertura de una aplicación legítima y sus principios de servicio de la misma manera que las cuentas de servicio en un entorno AD local pueden ser mal utilizadas.
En el caso de Mango Sandstorm, estas cuentas privilegiadas de Azure se utilizaron para infligir daños generalizados y luego cubrir las huellas del grupo. El grupo causó interrupciones en la nube al usar su acceso y privilegios para eliminar servidores, máquinas virtuales (VM), almacenes de datos y servicios en Microsoft Azure.
Usando los privilegios que habían podido obtener en el entorno local, Mango Sandstorm implementó una directiva de grupo maliciosa para alterar los controles de seguridad que la organización tenía implementados. Luego volvieron a usar la directiva de grupo para registrar una tarea programada que lanzó una carga útil de ransomware, que cifró archivos y cambió las extensiones de archivo a ". DARKBIT".
| |
Qué significan las nuevas reglas de ciberseguridad de la SEC para los líderes de Infosec | |
El 26 de julio, la SEC votó 3-2 para adoptar nuevas reglas que requerirían varias nuevas divulgaciones de ciberseguridad de las empresas que cotizan en bolsa. Esto es lo que los líderes de ciberseguridad necesitan saber. | |
La Comisión de Bolsa y Valores de los Estados Unidos adoptó nuevas reglas que requieren que las empresas que cotizan en bolsa presenten una variedad de divulgaciones con respecto a sus procesos de ciberseguridad y gestión de riesgos, supervisión de la junta e incidentes cibernéticos. | |
El presidente de la SEC, Gary Gensler, dijo en una declaración preparada: "Si una empresa pierde una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser material para los inversores. Actualmente, muchas empresas públicas proporcionan divulgación de ciberseguridad a los inversores. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta divulgación se hiciera de una manera más consistente, comparable y útil para la toma de decisiones. Al ayudar a garantizar que las empresas divulguen información material de ciberseguridad, las reglas actuales beneficiarán a los inversores, las empresas y los mercados que los conectan". | | |
|
Las empresas públicas están obligadas a: describir sus procesos para evaluar, identificar y gestionar los riesgos materiales de las amenazas de ciberseguridad; presentar un informe anual sobre su estrategia y gobernanza de gestión de riesgos de ciberseguridad; y divulgar la experiencia cibernética del equipo de gestión de la organización. Las empresas públicas también deberán revelar las violaciones de ciberseguridad "materiales" dentro de los cuatro días posteriores a la determinación de que un incidente fue "material". Esto incluiría sucesos no autorizados relacionados que se convierten en material en conjunto.
La regla requiere que las empresas públicas describan y hagan públicos sus procesos para evaluar, identificar y gestionar los riesgos materiales de las amenazas de ciberseguridad, que incluyen (pero no se limitan a):
- si los procesos de ciberseguridad descritos se han integrado en el sistema o procesos generales de gestión de riesgos de la organización, y cómo;
- si la organización contrata asesores, consultores, auditores u otros terceros en relación con dichos procesos;
- si la organización tiene procesos para supervisar e identificar los riesgos materiales de las amenazas de ciberseguridad asociadas con el uso de cualquier proveedor de servicios externo;
- cualquier riesgo derivado de amenazas de ciberseguridad, incluidos incidentes anteriores, que hayan afectado materialmente a la organización; y
- cualquier otra información material.
¿Qué deberán hacer los líderes de ciberseguridad para prepararse?
Los líderes de ciberseguridad deberán revisar sus esfuerzos de gestión de la exposición y su capacidad para proporcionar una comunicación clara y concisa de esos esfuerzos a la alta dirección. Deberán coordinarse estrechamente con el asesor general de liderazgo ejecutivo de su organización y los equipos de relaciones con los inversores para comprender qué datos y métricas de riesgo cibernético se requerirán para crear documentos para su presentación a la SEC. También deberán identificar y abordar cualquier brecha en su estrategia actual de ciberseguridad para cumplir con los nuevos requisitos de divulgación.
¿Cuál es el impacto potencial de estas nuevas normas en la confianza de los inversores?
Así como los inversores y analistas de acciones forman juicios basados en estados de resultados y balances, ahora pueden usar divulgaciones de ciberseguridad para formar juicios del potencial de inversión de una organización en función de sus esfuerzos preventivos de ciberseguridad. Las reglas elevan la ciberseguridad al mismo estado que otros esfuerzos de gestión de riesgos realizados por una organización, como los tipos de cambio, las tasas de interés, los factores geopolíticos y los problemas ambientales.
¿Cuáles son las consecuencias para las empresas que no cumplen?
Las consecuencias por el incumplimiento de los requisitos de divulgación de la SEC (incluidas las nuevas reglas cibernéticas) pueden ir desde acciones administrativas, como órdenes de cese y desistimiento y revocación o suspensión del registro, hasta multas civiles o incluso acciones penales. Por ejemplo, el mes pasado, la SEC envió un aviso de Wells a varios ejecutivos de SolarWinds, incluido el CISO, dos años y medio después de la violación de SolarWinds. Según el Washington Post, los avisos de Wells notifican a los destinatarios de la posible intención de la SEC de presentar cargos contra ellos. Esta acción podría demostrar un movimiento para responsabilizar a las personas por las fallas de ciberseguridad corporativa.
| |
Tendencias de respuesta a incidentes Q2 2023: La extorsión por robo de datos aumenta, mientras que la atención médica sigue siendo la vertical más atacada | |
Cisco Talos Incident Response (Talos IR) respondió a un número creciente de incidentes de extorsión por robo de datos que no implicaban el cifrado de archivos o la implementación de ransomware, un aumento del 25 por ciento desde el último trimestre y la amenaza más observada en el segundo trimestre de 2023. | |
|
El ransomware fue la segunda amenaza más observada este trimestre, representando el 17 por ciento de los compromisos, un ligero aumento del 10 por ciento del trimestre pasado. Este trimestre presentó las familias de ransomware LockBit y Royal, que Talos IR ha observado en trimestres anteriores. Talos IR también observó varias familias de ransomware por primera vez, incluyendo 8Base y MoneyMessage.
Las credenciales comprometidas o las cuentas válidas fueron los principales medios observados para obtener acceso inicial este trimestre, representando casi el 40 por ciento del total de compromisos. Fue difícil identificar cómo se comprometieron las credenciales teniendo en cuenta que se obtuvieron de dispositivos fuera de la visibilidad de la empresa, como las credenciales guardadas en el dispositivo personal de un empleado.
| |
Continuando con la tendencia del trimestre pasado, la atención médica fue la vertical más específica este trimestre, representando el 22 por ciento del número total de compromisos de respuesta a incidentes, seguido de cerca por los servicios financieros. | |
|
La extorsión por robo de datos fue la principal amenaza observada este trimestre, representando el 30 por ciento de las amenazas a las que respondió Talos IR, un aumento del 25 por ciento en los incidentes de extorsión por robo de datos en comparación con el trimestre pasado.
El aumento en los incidentes de extorsión por robo de datos en comparación con trimestres anteriores es consistente con los informes públicos sobre un número creciente de grupos de ransomware que roban datos y extorsionan a las víctimas sin cifrar archivos y desplegar ransomware.
| |  |
El ransomware representó el 17 por ciento del número total de compromisos respondidos en el segundo trimestre de 2 (abril - junio), un ligero aumento en comparación con el 2023 por ciento del trimestre pasado. Las operaciones de ransomware 10Base y MoneyMessage se observaron por primera vez este trimestre, además de las operaciones de ransomware previamente vistas LockBit y Royal. Descubierto por primera vez en marzo de 2022, 8Base es un grupo / operación de ransomware que utiliza una versión personalizada del ransomware Phobos y roba datos antes del cifrado. | | |
La falta de MFA o la implementación inadecuada de MFA en los servicios críticos jugó un papel en más del 40 por ciento de los compromisos a los que Talos IR respondió este trimestre. Talos IR observa con frecuencia ataques que podrían haberse evitado si MFA estuviera habilitado en servicios críticos, como VPN. En casi el 40 por ciento de los compromisos, los atacantes pudieron abusar de las credenciales comprometidas para acceder a cuentas válidas, el 90 por ciento de las cuales no tenían MFA habilitado. En algunos enfrentamientos, los adversarios pudieron evitar MFA con ataques de agotamiento / fatiga de MFA. | |
|
Acerca de Bafing
Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.
El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
| | | | |
