abril 2021

El aumento de ataques de ransomware en 2020 y su vínculo con el teletrabajo

ESET, compañía de seguridad, advierte que el ransomware fue una de las amenazas más activas durante 2020. La compañía analizó los detalles y explica que esto se debió al incremento del teletrabajo y a que el ransomware evolucionó, haciéndose más efectivo.

Durante 2020, las bandas que operan las distintas familias de ransomware dejaron atrás las campañas masivas y al azar esperando que alguna víctima se infecte y que eventualmente pague el rescate para recuperar su información. En cambio, apuntaron a compañías de varias industrias, así como al sector de la salud y a organismos gubernamentales a nivel global, llevando adelante ataques en los que secuestran mediante cifrado los archivos en los equipos comprometidos, con nuevas estrategias para demandar el pago de un rescate.

El robo de información previo al cifrado de los archivos y la posterior extorsión bajo la amenaza de publicar, vender o subastar los datos confidenciales robados fue una metodología que se observó por primera vez a fines de 2019 y que se consolidó en 2020. El objetivo es agregar un plan B a la estrategia de sólo cifrar los archivos y demandar el pago de un rescate para devolver el acceso. Con este nuevo método, adoptado ya por varias familias de ransomware, los criminales aumentan la posibilidad de monetizar los ataques al contar con otro instrumento para presionar a las víctimas y que se decidan a pagar, ya que supuestamente de esta manera evitarán la divulgación de la información robada y recuperarán el acceso a los datos.

El aumento de los ataques dirigidos de ransomware también tiene una explicación en el modelo de negocio del ransomware as-a-service (RaaS), donde algunos actores desarrollan estos códigos maliciosos y los ofrecen en la dark web para asociarse con afiliados que se encargarán de la distribución del ransomware y luego dividirán las ganancias. Estas familias de ransomware muchas veces operan durante algún tiempo y cesan sus actividades, dando lugar a la creación de otros grupos de ransomware que adquieren el código fuente y le añaden en algunos casos variaciones.

La aceleración de la transformación digital provocada por la pandemia obligó a muchas empresas y organizaciones a trabajar desde el hogar, dejando las oficinas que están preparadas con los mecanismos de seguridad necesarios para proteger el perímetro de una organización, sin capacitar a las personas acerca de las buenas prácticas de seguridad, y sin brindar en muchos casos la infraestructura necesaria para trabajar de manera segura. De hecho, según una encuesta realizada por ESET en plena pandemia, sólo el 24% de los usuarios dijo que la organización para la cual trabaja le brindó las herramientas de seguridad necesarias para trabajar remotamente y el 42% de los participantes aseguró que su empleador no estaba preparada en cuanto a equipamiento y conocimientos de seguridad para hacer frente al teletrabajo.

En este sentido, muchas personas teletrabajando equivale a muchos dispositivos, distintas redes, en distintas ubicaciones, y con profesionales —e incluso empresas— que en el apuro o por desconocimiento no lograron implementar un plan para trabajar remotamente de manera segura. Este escenario provocó un aumento en la superficie de ataque. Según datos de una encuesta realizada por ESET en diciembre pasado, el 87,67% de los participantes opinó que los cibercriminales han visto una oportunidad en el incremento del trabajo remoto para lanzar ataques dirigidos a las empresas. Además, consultados acerca de si creen que las empresas y las entidades gubernamentales están preparadas para lidiar con ataques de ransomware, el 67,76% opinó que apenas unas pocas empresas lo están, mientras que el 50,96% considera que sólo unas pocas entidades gubernamentales cuentan con las capacidades.

En un ataque informático, si un usuario cae en la trampa y abre un correo de phishing dirigido para luego hacer clic en un enlace o abrir un archivo adjunto, su equipo será comprometido con un malware que puede a su vez descargar otro código malicioso como un ransomware. Si luego accede a la red corporativa conectándose al servicio VPN que la empresa o la entidad gubernamental le brinda, el atacante tendrá acceso a la red y podrá moverse lateralmente para recolectar información y buscar otras credenciales de acceso que le den permiso de administrador para distribuir el ransomware dentro de la red.

El uso del protocolo de escritorio remoto (RDP) ha sido uno de los mecanismos más utilizados para lanzar ataques de ransomware aprovechando también el uso de contraseñas débiles. Si bien los distintos grupos de ransomware utilizan diferentes vectores de ataque para distribuir la amenaza, varios reportes coinciden en decir que el RDP ha sido el vector de intrusión más utilizado por ataques de ransomware durante 2020. De hecho, en el primer trimestre del año pasado la compañía de seguridad reportó el aumento de los intentos de ataque al RDP mediante fuerza bruta a nivel global; un aumento que en América Latina para el mes de noviembre había sido del 141%, con máximas que llegaron hasta los 12 mil intentos de ataque diarios al protocolo. Una vez que el atacante logra comprometer la seguridad mediante el RDP puede realizar distintos tipos de actividades maliciosas dentro de los sistemas.

Los expertos mencionan que esto no impide a las organizaciones a operar de manera remota, sino que deberán dedicar tiempo y recursos para capacitar a los usuarios de manera que cuenten con más herramientas y estén mejor preparados para lidiar con las distintas amenazas y riesgos en Internet. Asimismo, recomiendan como pasos básicos el acompañar la educación de los usuarios con la adecuada tecnología, el uso de una VPN, la realización de backups de forma periódica, una política de actualizaciones para corregir vulnerabilidades, la implementación de la autenticación multifactor y de estrategias de seguridad como el principio del menor privilegio y de la mínima exposición, por nombrar algunas. Por otra parte, es recomendable que las organizaciones evalúen los mecanismos de accesibilidad a la información y cuáles son las formas que puede tener un atacante para llegar a estos datos.

33 Grados Sur, te informamos sobre las noticias contingentes en ciberseguridad. Nuestro objetivo es crear conciencia de cómo y por qué debemos estar alertas a las innumerables amenazas que estamos expuestos día a día.

Además, hemos impulsado una nueva área de trabajo de concientización en temas de ciberseguridad , que busca ir más allá de una instalación de productos que mantengan la información de tu empresa segura. Nuestro objetivo es crear conciencia de cómo y por qué debemos estar alertas a las innumerables amenazas que estamos expuestos día a día.

¡La ciberseguridad debe ser parte de la cultura empresarial de tu empresa!

Fuente: Revista TrendTIC

¿Cómo tu empresa puede mejorar su relación con sus clientes a través de la tecnología?

La pandemia mundial del COVID-19 ha alterado drásticamente el comportamiento del consumidor, lo que ha obligado a todas la industrias y en particular a las tiendas de retail a repensar sus relaciones con sus clientes. 

Es por esto que 33 Grados Sur, crea TantAI: un sistema de software que concentra las transacciones comerciales de sus sucursales de tienda y traduce esta data transaccional en poderosos insights.

La información es uno de los activos más importantes para cualquier empresa, manejarla de manera correcta mejora la competitividad de las organizaciones y hace posible su sostenibilidad.

TantAI contempla el envío, traducción, transformación, validación y almacenamiento de sus operaciones. Permite la visualización en detalle de cada transacción y facilita el análisis de datos de las mismas, mediante reportes estadísticos a los cuales el usuario tiene acceso desde una interfaz web.

Al ser un software modular y escalable permite integrar distintos traductores de transacciones, por lo que no está limitado a un solo tipo de software de punto de venta (POS).

TantAI, posee una arquitectura de software de alto nivel que contempla las siguientes características:

– La habilitación de sus tiendas se realiza a través de una arquitectura de API segura.

– No requiere modificar o alterar su aplicación de Punto de Venta.

– Información y recomendaciones entregadas a través de una interfaz de usuario web dinámica y con alertas automáticas.

¿Cómo opera en 5 pasos?

1. POS genera la data de las transacciones.

2. La data es pre-procesada para ser enviada a repositorio central.

3. Usando la API-TantAI la data es almacenada.

4. Se aplica el modelo analíticos del cliente y los algoritmos de TantAI procesan los datos.

5. Se entrega insights del cliente y recomendaciones.

Para más información, te invitamos a escribirnos a info@33sur.cl

¿Qué es XSS?

XSS es el acrónimo usado para “Cross Site Scripting”. XSS es una de las vulnerabilidades más comunes que tienen las aplicaciones web.

Estas vulnerabilidades ayudan a cualquier atacante a ejecutar cualquier código malicioso del lado del cliente en caso de que la aplicación web es vulnerable a XSS. Si el ataque tiene éxito, permite a los atacantes robar contraseñas, redirigir a los usuarios a páginas falsas y hacer cosas muchos más atrevidas.

Para entender XSS necesita saber acerca de HTML, JavaScript y tener algunos conocimientos básicos sobre los lenguajes de programación del lado del servidor como PHP, Python, etc. Muchos ataques hacen uso de JavaScript, así que hay que aprenderlo.

Los daños de un ataque XSS puede causar

1. Redireccionar a sitios de phishing, o a páginas falsas.

2. Robar las cookies e inicios de sesión de las cuentas de las víctimas para escalar privilegios y acceder a los sistemas.

3. Inserción de enlaces en HTML para instalar software malicioso en el sistema.

4. Los ataques de malware en el servidor.

5. Derribar sitios Web.

6. Denegación de Servicio (DoS).

¿Por qué XSS funciona y cómo se puede prevenir ataques?

XSS funciona debido a que no se validan los datos que se publican desde un campo de entrada, lo que provoca que en cualquier secuencia de comandos en el campo de entrada, con ciertas características pueda aprovechar dichas vulnerabilidades.

El tratamiento de los datos impide casi todos los ataques XSS. Se recomienda también tener un Web Application Firewall (WAF) para una seguridad más efectiva.

Hay una cabecera HTTP que impide la ejecución de XSS en el navegador que se llama “X-XSS protection HTTP Header”.

Tipos de XSS

Básicamente, hay dos tipos de XSS:

Persistente: También se conoce como XSS almacenado. En este tipo de ataque XSS, el código malicioso presentado por el servidor se almacena en el servidor y se ejecuta siempre en la página.

Un ejemplo para entender esto: Vamos a considerar que Facebook es vulnerable a XSS y el atacante presentó un código malicioso que puede robar la cookie y almacenarla en el servidor. Ahora cualquiera que publique algo en ese código de página, estará a merced del intruso, el cual podrá robar las cookies para tener control de sus cuentas.

No persistente: También se le llama XSS reflejado, el cual es la más común de las vulnerabilidades más encontradas hoy en día.

En este ataque el código presentado será enviado al servidor a través de una petición HTTP y el servidor de insertará dicho código en un archivo HTML, luego vuelve al cliente con la respuesta HTTP. Cada vez que el código se ejecuta desde el archivo HTML, se explota ese sistema.

Por ejemplo, consideremos una búsqueda en Google, Yahoo, Bing y otros más.

Si estás buscando “cryptoprogramming” el resultado le mostrará un mensaje como “Resultados de la búsqueda para cryptoprogramming”. Sí usted no es capaz de depurar perfectamente esta búsqueda, se ejecutará el scripts.

33 Grados Sur, informándote sobre las noticias contingentes en ciberseguridad. Nuestro objetivo es crear conciencia de cómo y por qué debemos estar alertas a las innumerables amenazas que estamos expuestos día a día.

*Fuente: https://marvin-soto.medium.com/

Fuentemarvin-soto.medium.com