ataques ciberneticos

Durante la pandemia crecen los ataques de fuerza bruta dirigidos a RDP

by with No Comment ActualidadCibercrimenrecomendaciones

Los accesos RDP ((Protocolos de escritorio remoto por sus siglas en ingles) que no están firmemente asegurados atraen a grupos de ramsonware y en ocasiones hasta mineros de criptomonedas y backdoors.

COVID-19 y su pandemia ha cambiado por completo la naturaleza del trabajo diario, en muchos casos obligando a empleados y empresas a realizar numerosas tareas en remoto. Aprovechando esta situación, los cibercriminales intentan explotar las nuevas oportunidades para aumentar sus ganancias.

La gran mayoría de las tareas que se solían realizar desde oficinas con infraestructura monitoreada y controlada por departamentos de TI, hoy día se realizan en remoto con conexiones muy pobres en materia de seguridad. Debido a esto se ha generado un cambio importante en la dinámica de muchos sectores a nivel global; hoy día gran parte del trabajo es realizado a través de dispositivos hogareños por medio de acceso a sistemas confidenciales de la red corporativa (RDP de windows).

A pesar de la importancia de los RDP, como así también otros servicios de acceso remoto, las empresas suelen descuidar su protección y configuración, sumado a esto gran parte de los colaboradores utilizan contraseñas sencillas en vez de servicios de doble autenticación (A2F), dejando libre el camino para que los ciberdelincuentes sin mayores trabas comprometan los sistemas de una organización completa. Esta probablemente sea una de las razones por las cuales los RDP han sido el objetivo elegido por los operadores de ramsonware, los cuales suelen atacar por medio de fuerza bruta redes inseguras, elevarse sus permisos a nivel de administrador para luego deshabilitar o desinstalar soluciones de seguridad, permitiendo que el ramsonware se ejecute cifrando archivos cruciales para la víctima.

Protección contra ataques de fuerza bruta

Para abordar el riesgo antes descripto desde Ser Informática estamos trabajando con varias herramientas que nos permiten evitar dichos ataques e ingresos de varias maneras, asegurando transparencia en las conexiones de trabajadores remotos utilizando medidas de seguridad extras como la A2F, blindando así la seguridad y datos de cualquier empresa que utilice nuestros servicios.

Por medio de sistemas anti-ramsonware también podemos bloquear intentos de conexiones desde una pc a servidores tildados en nuestra base de datos como posibles atacantes, cortando de raiz la amenaza de ramsonware por ejemplo desde un correo electrónico malicioso o vínculos enviados por medio de redes sociales o servicios de mensajería instantánea

Según los datos que aporta la telemetría de ESET, empresa de seguridad informática de renombre, la gran mayoría de IP bloqueadas entre enero y mayo de 2020 se detectaron en Estados Unidos, China, Rusia, Alemania y Francia.

Los países que tenían el porcentaje más grande de direcciones IP apuntadas fueron Rusia, Alemania, Japón, Brasil y Hungría.

Cómo configurar el acceso remoto correctamente

A pesar de constantes avisos que brindamos desde Ser Informática, creemos importante volver a enunciar algunas recomendaciones para evitar este tipo de ataque creciente:

  • Deshabilite los servicios RDP expuestos a internet. Si eso no es posible, minimice la cantidad de usuarios que pueden conectarse directamente a los servidores de la organización a través de Internet.
  • Establezca como requisito contraseñas fuertes y complejas para todas las cuentas que pueden iniciar sesión a través de RDP.
  • Durante la pandemia crecen los ataques de fuerza bruta dirigidos a RDP
  • Utilice una capa adicional de autenticación (MFA/2FA).
  • Instale una puerta de enlace de red privada virtual (VPN) como intermediaria para todas las conexiones RDP desde fuera de su red local.
  • En el Firewall perimetral, deshabilite conexiones externas a máquinas locales en el puerto 3389 (TCP/UDP) o cualquier otro puerto RDP.
  • Proteja su software de seguridad contra posibles alteraciones o desinstalaciones estableciendo una contraseña para hacer cambios en su configuración.
  • Aísle cualquier computadora insegura u obsoleta a la que se deba acceder desde Internet utilizando RDP y reemplácela lo antes posible.
  • La mayoría de estas mejores prácticas aplican también a FTP, SMB, SSH, SQL, TeamViewer, VNC y otros servicios.

Ransomware, mineros de criptomonedas y backdoors

Cifrar sus datos para posteriormente extorsionarlo no es la única amenaza a la que se puede comprometer un RDP. Este tipo de ataques suelen generar instalaciones de malware en las computadoras o servidores afectados para minar criptomonedas o crear backdoors para desbloquear un RDP que haya sido identificado por la víctima.

Algunas posibles amenazas a los sistemas que son comunes en RDP que han sido comprometidos pueden ser:

  • borrar archivos de registro, eliminando así la evidencia de actividad maliciosa previa,
  • descargar y ejecutar en el sistema comprometido herramientas y malware según la elección del atacante,
  • deshabilitar o borrar por completo las copias de seguridad programadas,
  • exfiltrar datos del servidor.

Esto solo demuestra cuán importante se ha convertido la seguridad de los accesos remotos, dado que potencialmente puede hacer o deshacer el futuro de una empresa. Y es que incluso si el daño a la reputación de una organización se puede gestionar, hay pérdidas financieras, operaciones estancadas y costosos esfuerzos de recuperación que deben tenerse en cuenta.

Ya sea que haya una pandemia o no, desde Ser Informática asesoramos a las empresas que deben gestionar los riesgos que plantea el uso generalizado del RDP u otros servicios similares reforzando sus contraseñas y agregando otras capas de seguridad adicionales, incluida la autenticación multifactor y una solución de seguridad que proteja contra ataques basados en RDP y protocolos similares.

teletrabajo

Teletrabajo: cinco consejos para reducir los riesgos de seguridad a empresas

by with No Comment Actualidadrecomendaciones
[siteorigin_widget class=»SiteOrigin_Widget_Image_Widget»][/siteorigin_widget]

En un intento por frenar la propagación de COVID-19/Coronavirus, cada vez más empresas a nivel mundial están implementando entre sus colaboradores la modalidad de trabajo remoto. Y aunque muchas de ellas han recurrido anteriormente al home office, es probable que otras compañías estén instaurando este sistema por primera vez y aún no son conscientes de los riesgos a los que podrían exponerse si no concientizan a sus empleados ni fortalecen sus sistemas de seguridad informática.

Una vez que notebooks, smartphones o tabletas se llevan fuera de la infraestructura de red de una empresa y se conectan a nuevas redes y Wi-Fi, los riesgos se amplían y aumentan. Según un estudio desarrollado por Kaspersky en conjunto con la consultora de estudios de mercado CORPA, el 25% de los latinoamericanos no cuenta con una computadora portátil destinada únicamente para trabajar y, si la tiene, el 30% de ellos la conecta a una red pública inalámbrica (cafés, restaurantes y aeropuertos) cuando está fuera de la oficina. De estos, solo el 8% asegura que se conecta a una red virtual privada (VPN) mientras se encuentra en terreno.

El mismo sondeo evidenció que el 44% de los consultados responde a una política corporativa de seguridad que resguarda el uso de celulares o computadores portátiles, un 35% no se rige por ninguna norma y un 21% desconoce si su compañía tiene alguna implementada.

“El Coronavirus no solo está poniendo en jaque la salud de las personas ya que también está siendo utilizado como gancho por los ciberdelincuentes para propagar malware. Además de un aumento en el trabajo remoto para proteger la salud de los trabajadores, hemos visto cómo delincuentes informáticos intentan aprovechar el interés que ha causado el virus, ocultando archivos maliciosos en documentos que supuestamente se relacionan con la enfermedad, por lo que a medida que las personas continúen preocupadas sobre el brote, es posible que veamos más y más malware oculto en archivos falsos que contienen una variedad de amenazas, desde troyanos hasta gusanos que son capaces de destruir, bloquear, modificar o copiar datos, así como interferir en el correcto funcionamiento de las computadoras”, explica Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.

Por ello, añade el especialista, es primordial que las compañías inviten a los colaboradores a ser cautos y precavidos mientras están trabajando desde sus casas, y a que reexaminen sus sistemas de seguridad y de acceso remoto a redes corporativas.

“Las empresas deben comunicarse con sus trabajadores y explicarles claramente los riesgos a los que se exponen tanto ellos como la organización si no se toman los resguardos correspondientes al momento de conectarse a internet, como por ejemplo, si hacen clic en enlaces sospechosos o abren correos de remitentes desconocidos”, recalca Bestuzhev.

Con el fin de que las organizaciones reduzcan los riesgos de ciberataques asociados al trabajo remoto, Kaspersky aconseja lo siguiente:

Proporciona una VPN para que el personal se conecte de forma segura a la red corporativa.
Restringe los derechos de acceso de las personas que se conectan a la red corporativa.
Asegúrate de que el personal sea consciente de los peligros de abrir enlaces y descargar archivos de dudosa procedencia o responder a mensajes no solicitados.
Implementa siempre las últimas actualizaciones de sistemas operativos y aplicaciones.
Protege todos los dispositivos corporativos, incluidos los móviles y las computadoras portátiles, con una solución antimalware adecuada para tu empresa.

actualidad_276235894_130096474_1706x960 (1)

ALERTA DE VULNERABILIDAD MUY CRÍTICA!

by with No Comment ActualidadCibercrimenrecomendaciones
 

Meltdown y Spectre: vulnerabilidades críticas en CPUs

Se han anunciado dos grandes fallos en el diseño físico de los procesadores que permite a un atacante acceder a cierta área protegida donde los sistemas operativos, en sus procesos alojan información sensible, como contraseñas. Afecta a todos los procesadores fabricados a partir de 1995. 

Por un lado está Meltdown, nombre que le dieron al primer fallo y que sólo afectaría procesadores de marca Intel. En una declaración pública, la compañia dijo que afecta también a procesadores AMD y ARM (móviles). Esta vulnerabilidad ya está siendo parcheada, sólo hay que permitir al servicio técnico forzar las actualizaciones automáticas de windows para mantener la seguridad de la empresa. 

 

El otro fallo y más importante, denominado como Spectre, es más crítico ya que aún no hay una contingencia y es tan dificil de parchear porque está dado en el diseño de la arquitectura de los procesadores.

Al tratarse de vulnerabilidades a nivel de diseño físico, se ven afectados todos los sistemas operativos que trabajen sobre esas plataformas (Windows, Linux, MacOS, Android, iOS). 

¿ Cómo puede ser atacada mi computadora ?

Tu pc, tanto de trabajo como personal, puede ser atacada simplemente ingresando a una página web o recibiendo un correo electrónico modificado especialmente para tal fin. 

¿ Mi antivirus puede detectar y bloquear el ataque ?

Por el momento, no. Hasta que la base de datos de los antivirus no se vaya actualizando con los virus que podrían ejecutar el código malicioso. 

¿ Qué puedo hacer mientras para evitar ser atacado ?

No ingresar a páginas web que no sean de uso diario para el trabajo y evitar abrir correos de los que no se conocen los remitentes. Directamente BORRALOS SIN ABRIR ! 

Información para nerds

Estas vulnerabilidades se han catalogado con los siguientes nombres y CVEs:
– Meltdown: CVE-2017-5754 
– Spectre: CVE-2017-5753 y CVE-2017-5715

Descripción
 

Una característica de la arquitectura integrada en las CPUs para mejorar el rendimiento del sistema conocida como Ejecución Especulativa (Speculative Execution) es la raíz del problema, ya que es vulnerable a distintos ataques de tipo canal lateral (side-channel attack). 

Explotando estos fallos de seguridad descubiertos se podría ejecutar código malicioso de forma no privilegiada y leer zonas de memoria reservada del Kernel del sistema eludiendo el mecanismo de protección KASLR (Kernel Address Space Layout Randomization) implementado en diversos sistemas operativos para colocar partes del núcleo en sitios aleatorios de memoria y así evitar accesos no autorizados. 

«Explotación de la Ejecución Especulativa vía Javascript» es probablemente una de las frases terroríficas que se ha leído ultimamente, porque implica hacer un Dump de memoria del Kernel desde JAVASCRIPT.

Solución o Workaround?

– MELTDOWN: varios proveedores han informado de las soluciones  que van a tomar al respecto:

Windows
Windows ha publicado una actualización de emergencia, en sistemas operativos Windows 10 la actualización se realizará automáticamente. En el caso de las versiones Windows 7 y 8 se deberá acceder al menú de actualizaciones como se indica en este enlace: https://support.microsoft.com/es-es/help/3067639/how-to-get-an-update-through-windows-update
MacOS
Los sistemas operativos MacOS tienen una solución parcial en su última versión (High Sierra 10.13.2). Se espera una actualización adicional en unos días.
Linux
En sistemas Linux ya se ha lanzado el parche correspondiente y está disponible para su descarga: https://github.com/IAIK/KAISER

Navegadores
Chrome
La versión 64 de este navegador web estará completamente preparada contra esta vulnerabilidad y se espera la actualización el día 23 de Enero.
Firefox
En el navegador Firefox se han tomado ciertas medidas en su última versión Firefox 57 disponible para su descarga.
Protección extra
Meltdown permite que los ataques se ejecuten a través de un Javascript cargado desde un navegador. Se puede desactivar/bloquear la ejecución de Javascripts manualmente o mediante extensiones tanto en Firefox como en Chrome:
https://addons.mozilla.org/es/firefox/addon/noscript/
https://chrome.google.com/webstore/detail/contentblockhelper/ahnpejopbfnjicblkhclaaefhblgkfpd?hl=es

Herramienta de Intel
El equipo de Intel ha publicado una herramienta para detectar si el procesador está afectado por esta serie de vulnerabilidades: https://downloadcenter.intel.com/download/27150

– SPECTRE: 
Aún no se conoce ningún tipo de solución ya que se trata de un fallo en el diseño del procesador. La vulnerabilidad es mucho más difícil de corregir pero también de explotar satisfactoriamente.