GCCVIEWS

Etiqueta: cybersecurity

  • Ciberataques: más de 91 mil millones de intentos en lo que va de año en una latinoamérica indefensa

    El aumento de los ciberataques de ransomware durante la primera mitad de 2021 aumentó 10,7 veces a nivel mundial, por encima de los niveles establecidos hace un año. Fortiguard Labs, la organización de investigación e inteligencia de amenazas del proveedor de ciberseguridad Fortinet, experimentó un aumento significativo en el volumen y la sofisticación de los ataques dirigidos a personas, organizaciones e infraestructura cada vez más crítica.

    El “Informe del panorama global de amenazas” de FortiGuard Labs de la primera mitad de 2021 también detalla las principales amenazas presentadas contra las organizaciones en el mismo período. Estos incluyen detecciones de IPS, malware y botnets. Sin embargo, la creciente superficie de ciberataques de los trabajadores híbridos y los estudiantes, dentro y fuera de la red tradicional, sigue siendo un objetivo, según el informe.

    Según los investigadores, se detectaron varias tendencias generales en las superficies de ciberataques que han sido desenfrenadas en años anteriores: servidores web, sistemas de administración de contenido (CMS) y dispositivos de Internet de las cosas (IoT).

    En la región de América Latina, hubo más 91 mil millones de intentos de ciberataques en la primera mitad del 2021. El estudio arroja que México es el país que sufrió mayor intentos de ataque en lo que va de año, con 60,8 mil millones, seguido por Brasil (16,2 mil millones), Perú (4,7 mil millones) y Colombia (3,7 mil millones).

    “La expansión de la superficie de ataque que brindan los modelos híbridos de trabajo y enseñanza sigue siendo una gran oportunidad para los delincuentes. Es por eso que vemos un número creciente de ataques a dispositivos IoT y a recursos vulnerables utilizados en reuniones y clases, como cámaras y micrófonos”, explica Arturo Torres, Estratega de FortiGuard para América Latina y el Caribe. “El incremento es preocupante no solo por el alto volumen de amenazas, sino también por las consecuencias que pueden tener, dando lugar a delitos sofisticados como el ransomware, que destacan tanto por la pérdida económica como por el daño a la imagen que causan a las empresas”.

    A nivel mundial, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por el gobierno y los sectores automotriz y manufacturero. Fortinet también señala que ha habido una evolución en el modelo utilizado por los hackers, con el crecimiento del denominado Ransomware-as-a-Service (RaaS), donde algunos piratas informáticos se enfocan en obtener y vender acceso inicial a redes corporativas, lo que alimenta aún más el crimen cibernético.

    Otro de los resultados destacados del estudio fue que una de cada cuatro organizaciones detectó intentos de malvertising durante el trimestre, es decir, el uso de publicidad online para la distribución de malware, siendo Cryxos el más relevante.

    También se experimentó un crecimiento de la actividad de las botnets, que aumentó del 35% a principios de año al 51% seis meses después. Los investigadores dijeron que el aumento es “bastante inusual» para la actividad agregada de las botnets.

    Por último, los dispositivos IOT  (Internet de las cosas, en español) también son un objetivo latente. Mirai, la botnet más frecuentemente detectada en la región, ha seguido agregando nuevas armas cibernéticas a su arsenal, pero es probable que su dominio se deba a que los delincuentes buscan explotar los dispositivos IoT que utilizan las personas que trabajan o estudian desde casa.

    “Para abordar este problema, las organizaciones deben adoptar un enfoque proactivo que incluya protección de endpoints, redes y nube en tiempo real, incluida la detección automatizada de amenazas y la respuesta con inteligencia artificial. Todo con un enfoque de Zero Trust Access (redes de confianza cero), especialmente para dispositivos IoT”, orienta Torres. “Además, la concientización continua sobre ciberseguridad para todos los empleados es fundamental para convertirlos en la primera barrera contra las estafas de ingeniería social, que pueden generar grandes problemas para las empresas”.

  • Hacker que realizó el mayor ataque histórico a plataforma criptográfica, evalúa ser su asesor de seguridad

    La plataforma criptográfica golpeada por el mayor atraco de criptomonedas de la historia, le pide a su hacker que se convierta en su principal asesor de seguridad

    Poly Network, un proyecto de las llamadas finanzas descentralizadas o “DeFi”, fue golpeado con un gran ataque la semana pasada con el que un hacker pudo robar más de $ 600 millones en tokens.

    La compañía permite a los usuarios intercambiar tokens de un libro de contabilidad digital a otro y el pirata informático aprovechó una falla en el código de Poly Network que le permitió transferir los activos a su propias billetera criptográficas.

    Pero sorpresivamente para la compañía, dicho hacker ahora ha devuelto la mayor parte del dinero robado. Sin embargo, más de $ 200 millones de los fondos están actualmente bloqueados en una cuenta que requiere contraseñas de Poly Network y del pirata informático para obtener acceso.

    Por todo ello, la plataforma de criptomonedas ahora está invitando al pirata informático a convertirse en asesor de la empresa, prometiéndole además una recompensa de $ 500,000 por la restauración de los fondos de los usuarios. “Para extender nuestro agradecimiento y alentar al Sr. White Hat a que continúe contribuyendo al avance de la seguridad en el mundo blockchain junto con Poly Network, invitamos cordialmente al Sr. White Hat a ser el Asesor Jefe de Seguridad de Poly Network”, dijo la firma en un comunicado.

    El hacker inicialmente rechazó la oferta de recompensa. Sin embargo, el lunes declaró públicamente que ha considerado ofrecerlo a la comunidad técnica que ha hecho contribuciones a la seguridad de la cadena de bloques.

    Se cree que es el atraco criptográfico más grande de todos los tiempos, superando los $ 534,8 millones en monedas digitales robadas de la bolsa japonesa Coincheck en un ataque de 2018 y el valor estimado de $ 450 millones en bitcoins que desapareció de la bolsa con sede en Tokio Mt. Gox en 2014.

    Poly Network le ha pedido al hacker, a quien ha denominado “Sr. White Hat ”, para proporcionar la contraseña, conocida como“ clave privada”, necesaria para recuperar el dinero. “Señor. White Hat ”es una referencia a los piratas informáticos éticos que buscan vulnerabilidades en los sistemas de las organizaciones que podrían exponerlos a ataques.

    No está claro por qué el hacker está reteniendo el acceso al tramo final de activos. Una persona anónima que afirma ser el pirata informático simplemente ha dicho que proporcionará la clave una vez que “todos estén listos”.

    Poly Network dijo el martes que esperaba implementar una “actualización significativa del sistema” para evitar que tal ataque vuelva a ocurrir en el futuro, pero que no podría hacerlo hasta que se devuelvan todos los activos restantes.

    En el comunicado, Poly Network reiteró que no tiene la intención de emprender acciones legales contra el pirata informático y agregó: “Estamos seguros de que el Sr. White Hat devolverá rápidamente el control total de los activos a Poly Network y sus usuarios». La compañía agradeció al hacker por su «contribución sobresaliente a las mejoras de seguridad» y agregó que las ambiciones de la compañía se alinean con la visión del hacker para las finanzas descentralizadas (DeFi) y el espacio criptográfico.

  • Zoom pagará 85 millones de dólares por fallos de seguridad

    Con la llegada de la pandemia, Zoom se volvió indispensable para empresarios, estudiantes y demás. Pero la seguridad de la aplicación no logró evitar que desconocidos irrumpieran en las conversaciones.

    Zoom pagará 85 millones de dólares para resolver una demanda según la cual sus medidas de seguridad son tan deficientes que dejaron al descubierto datos personales de usuarios y permitieron a terceros irrumpir en videollamadas durante las primeras etapas de la pandemia de coronavirus.

    El acuerdo aún debe ser aprobado por la jueza de distrito Lucy Koh. Una audiencia sobre el acuerdo está programada para el 21 de octubre en San José, California.

    Millones de personas en Estados Unidos que han utilizado Zoom desde el 31 de marzo de 2020 podrían recibir una porción del acuerdo que fue alcanzado el fin de semana. Los suscriptores en la demanda colectiva propuesta serían elegibles para reembolsos del 15% en sus suscripciones principales o US$25 -cualquiera sea el monto mayor-, mientras que otros usuarios podrían recibir hasta US$15.

    Se prevé que los importes de los pagos sean de una media de 34 o 35 dólares para los que se suscribieron a la versión de pago de Zoom, y de 11 o 12 dólares para la inmensa mayoría que utilizó la versión gratuita, según las estimaciones de los documentos judiciales. Zoom aceptó las medidas de seguridad que incluyen alertar a los usuarios cuando los anfitriones de las reuniones u otros participantes utilizan aplicaciones de terceros, y brindar capacitación especializada a los empleados sobre la privacidad y el manejo de datos.

    A principios del año pasado,Zoom se vio afectado por problemas de seguridad luego de que las órdenes de confinamiento transformaron a la plataforma de videoconferencias de un producto de nicho a un fenómeno cultural. Casi de la noche a la mañana se convirtió en herramienta indispensable para reuniones de negocios, escolares y sociales y, en el marco de una pandemia letal, para funerales.

    La demanda afirma que la compañía de Silicon Valley violó la confianza de millones de personas luego de compartir la información personal de sus usuarios con plataformas como Facebook, Google y LinkedIn, propiedad de Microsoft. El caso, que consolidó 14 demandas diferentes interpuestas desde marzo de 2020, también estaba dirigida a la práctica disruptiva de “Zoombombing”, un término acuñado para describir a los hackers que irrumpen en las videollamadas de otros.

    La compañía señaló el lunes en un comunicado que actuó rápidamente para reforzar la seguridad luego de que empezaron a surgir los reportes de estos hackers.

    “Estamos orgullosos de los avances que hemos logrado en nuestra plataforma, y estamos ansiosos de seguir innovando con la privacidad y la seguridad como prioridad”, dijo Zoom el lunes. «La privacidad y seguridad de nuestros usuarios son las principales prioridades de Zoom, y nos tomamos en serio la confianza que nuestros usuarios depositan en nosotros».

    El acuerdo del sábado se produjo después de que Koh, el 11 de marzo, permitiera a los demandantes presentar algunos reclamos basados en contratos.

    Aunque Zoom recaudó alrededor de US$1.300 millones en suscripciones a Zoom Meetings de entre los demandantes del recurso colectivo, los abogados calificaron el acuerdo por 85 millones de dólares como razonable en vista de los riesgos de litigio. La compañía no reconoció haber cometido alguna acción indebida en el acuerdo.

  • Un nuevo fallo de seguridad en WhatsApp podría filtrar tu dirección IP

    La última versión de la aplicación de WhatsApp en todas las plataformas es vulnerable a la divulgación de IP pública del usuario de WhatsApp remoto. Una grave vulnerabilidad en WhatsApp  que podría facilitar la búsqueda de la ubicación y la dirección IP de los usuarios.

    La aplicación ha tenido graves fallos de seguridad a lo largo de su historia. Uno de los más sonados era que, con sólo recibir una llamada perdida, cualquier persona podía robar chats e imágenes de nuestro móvil. Ahora, un nuevo fallo permite conocer la dirección IP de cualquier persona, lo que la expone a ataques.

    El fallo ha sido descubierto por un usuario llamado bhdresh, que ha creado incluso una prueba de concepto en la que demuestra cómo funciona la vulnerabilidad y cómo se le puede sacar el partido para obtener la dirección IP de una persona con tan sólo realizar una llamada a través de la app.

    Se observa que durante una llamada de whatsapp, tanto de voz como de video, la aplicación del lado de la persona que llama intenta establecer una conexión directa con la dirección IP pública del dispositivo receptor. Al filtrar las direcciones IP de los servidores de Facebook y WhatsApp de los hosts de destino, es posible revelar la dirección IP pública correcta del usuario de WhatsApp objetivo sin su conocimiento. El fallo de seguridad funciona incluso en la última versión de la app.

    La posibilidad de mapear a los usuarios de whatsapp con su IP pública no solo revelará la información de ubicación de los usuarios de whatsapp, sino que también se puede utilizar para rastrear su movimiento físico al mantener el historial de ubicación. Este mapeo directo entre la información del usuario y la IP también se puede utilizar incorrectamente para rastrear los hábitos de navegación de los usuarios e influenciarlos. Además, la IP pública podría explotarse para lanzar ataques dirigidos hacia el hogar u oficina del usuario de WhatsApp.

    Para la aplicación posicionada como una de las aplicaciones de mensajería más usadas en todo el mundo, con más de 2 mil millones de usuarios a la fecha, podría significar un peligro bastante grave en caso de que esta vulnerabilidad se salga de control.

    El usuario que ha descubierto esta vulnerabilidad reportó el fallo a Facebook el 14 de octubre de 2020, pero la red social dijo que este funcionamiento era el esperado y que no había nada que parchear, por lo que no iban a dar recompensa. El único consejo que daban era usar una VPN si no querían que su dirección IP se viese expuesta.

    En marzo de 2021, Signal introdujo un mecanismo para redirigir las llamadas a través de un servidor para ocultar la dirección IP real del destinatario y que este método no funcione. Por ello, bhdresh volvió a preguntar a Facebook si podían implementar algo así, y dijeron que no, que la implementación actual funciona sin problemas. Por ello, nuestra dirección IP está expuesta ante cualquiera que nos llame, por lo que la única solución es usar una VPN, no agarrar llamadas de desconocidos, o incluso bloquear las llamadas en WhatsApp.

  • Ataques de ransomware: ¿pagar o no pagar?

    El mayor ataque cibernético de ransomware (pagar rescate) de 2021 ha echado leña al debate entre políticos, expertos de ciberseguridad y líderes corporativos sobre si debería establecerse una estrategia de prohibir a las empresas remunerar a los piratas para contrarrestar más amenazas.

    Las empresas y otras organizaciones víctimas de los ataques tienen que elegir entre pagar un rescate para recuperar el control de sus redes de computación o negarse y perder datos irremplazables y la capacidad de reanudar sus operaciones.

    Con la presión en aumento sobre la administración para encontrar vías de contener la amenaza, el presidente Joe Biden se reunió el miércoles con los principales funcionarios de seguridad nacional y otros expertos para discutir nuevas tácticas y políticas.

    La secretaria de prensa de la Casa Blanca, Jen Psaki, dijo después a los reporteros que los funcionarios pusieron al día a Biden de sus esfuerzos para combatir el ransomware y añadió que el presidente “se reserva el derecho de responder contra cualquier red de ransomware y quienes las protejan”.

    El ataque del fin de semana del 4 de julio fue dirigido contra el proveedor de software Kaseya y más de 1.000 de sus clientes en todo el mundo. Le siguieron varias intrusiones similares a atribuidas a grupos criminales que se cree que operan desde Rusia.

    REvil, una banda de piratas cibernéticos de habla rusa a la que se culpó del ataque al procesador de carnes JBS en EE. UU. en junio, se responsabilizó del ataque del fin de semana y dijo que había infectado más de un millón de “sistemas”.

    El grupo está demandando un rescate de 70 millones de dólares en criptomonedas a cambio de una clave “universal” que libere a las máquinas afectadas. El pago sería el mayor hecho hasta ahora, según la firma se seguridad cibernética Recorded Future.

    Una horrible situación

    Mientras los expertos en seguridad cibernética dicen que es muy improbable que las compañías afectadas, desde mercados suecos a jardines infantiles en Nueva Zelanda, se unan para pagar el rescate, el incidente ilustra el problema que enfrentan a menudo las víctimas de los ataques ransomware.

    «Ninguna compañía quiere encontrarse en esa situación, donde tienen que elegir entre mantenerse abiertas y seguir funcionando a costa de financiar a los criminales”, dijo Philip Reiner, director ejecutivo del Instituto para Seguridad y Tecnología.

    El director del FBI, Christopher Wray, dice que las compañías y organizaciones víctimas de ataques ransomware no deben pagar a los piratas para liberar sus datos, sino recurrir a las autoridades inmediatamente.

    Los ataques ransomware han aumentado en los dos últimos años, impulsados por la proliferación de las criptomonedas, que permiten pagos peudoanónimos y un modelo comercial que atrae incluso a criminales menos sofisticados.

    Sin embargo, con los ataques a servicios críticos como hospitales y escuelas, las autoridades de Estados Unidos y otros países occidentales los están considerando como amenazas a la seguridad nacional.

    ¿Pagar o no pagar?

    Uno de los asuntos más difíciles para los funcionarios es si se debería prohibir a las empresas y otras organizaciones pagar los rescates de los ransomware.

    Los que están a favor de esta medida alegan que como los ataques están motivados por la recompensa, eliminar el incentivo económico sacará a los criminales del negocio.

    Los opositores dicen que prohibir los pagos perjudicaría los esfuerzos de las empresas para tratar de restaurar sus operaciones.

    Según Anne Neuberger, viceasesora de seguridad nacional para tecnología cibernética y emergente, “es una decisión difícil” que debe ser estudiada “con mucho cuidado” para anticipar sus efectos.

    También dijo que la infraestructura crítica de Estados Unidos es propiedad y está operada en gran parte por el sector privado, lo que limita la capacidad del gobierno de dictar decisiones comerciales, como pagar rescates.

    En su lugar, añadió, el gobierno está analizando incentivos que puede ofrecer a las organizaciones para que no tengan que pagar un rescate.

    Al mismo tiempo, la administración está revisando su política sobre el secreto de los pagos de ransomware. Como muchas víctimas negocian en secreto con los atacantes, se desconoce el alcance de muchos ataques ransomware, dijo Neuberger.

    Por otro lado, algunos miembros del Congreso están presionando por leyes que obliguen a las compañías a notificar al gobierno sobre intrusiones y que reporten todos los pagos de rescate.

    «Necesitamos más transparencia” en este asunto, dijo el senador demócrata Mark Warner, presidente del Comité de Inteligencia del Senado, a la cadena NBC el mes pasado.

  • REvil acaba de realizar el ciberataque ransomware más grave de la historia

    El grupo de piratería de ransomware REvil puso de cabeza a las redes de al menos 200 empresas estadounidenses este viernes pasado y ahora exige 70 millones de dólares en bitcoins a cambio de un descifrador para las máquinas infectadas. Lleva activo desde 2019 y es capaz de permanecer en los servidores de la víctima durante meses hasta que encuentra la información sensible que le interesa explotar.

    El sábado, REvil se había dirigido al proveedor de software Kaseya y utilizó su paquete de administración de red para difundir el ransomware a través de la nube. Miles de organizaciones, en su mayoría empresas que administran de forma remota la infraestructura de TI de otros, se infectaron, más de 1 millón de máquinas según informes, en al menos 17 países.

    Los equipos de ciberseguridad trabajaron febrilmente el domingo para detener el impacto del ataque de ransomware mundial más grande que se haya registrado, y surgieron algunos detalles sobre cómo los hackers responsables vinculados a Rusia violaron la compañía cuyo software era el conducto.

    Las bandas sofisticadas de ransomware al nivel de REvil suelen examinar los registros financieros de la víctima y las pólizas de seguro, si pueden encontrarlas, de los archivos que roban antes de activar el malware de codificación de datos. Luego, los delincuentes amenazan con descargar los datos robados en línea a menos que se les pague. Sin embargo, no quedó claro de inmediato si este ataque involucró el robo de datos. El mecanismo de infección sugiere que no fue así.

    «Robar datos normalmente requiere tiempo y esfuerzo del atacante, lo que probablemente no sea factible en un escenario de ataque como este, donde hay tantas organizaciones de víctimas pequeñas y medianas», dijo Ross McKerchar, director de seguridad de la información de Sophos. «No hemos visto evidencia de robo de datos, pero aún es temprano y solo el tiempo dirá si los atacantes recurren a jugar esta carta en un esfuerzo por hacer que las víctimas paguen».

    Los virus de tipo ‘ransomware’, capaces de cifrar y robar información, se han convertido en uno de los negocios más lucrativos para el cibercrimen. Las ganancias que generan para aquellos grupos que los emplean cada vez son más grandes. Así lo demuestra el que, de acuerdo con un reciente informe de la firma Chainalasys, en 2020 se haya registrado un incremento en los rescates de más del 300% con respecto al año anterior. En concreto, los ciberdelincuentes consiguieron embolsarse más de 350 millones de euros, mientras que en 2019 esa cifra no alcanzó los 100 millones. Como muestra el siguiente gráfico, los ataques de ransomware no muestran signos de disminuir en 2021. En los primeros cinco meses del año, las víctimas ya transfirieron más de $ 80 millones a los ciberdelincuentes, casi igualando el total de todo el año 2019.

    Infographic: Crypto Ransom Payments Skyrocketed in 2020 | Statista  Statista

    En 2019, un ataque de ransomware que aprovechó los proveedores de servicios administradoslos delincuentes, obstaculizó las redes de 22 municipios de Texas a través de uno. Ese mismo año, 400 consultorios dentales estadounidenses quedaron paralizados en otro ataque.

    En mayo de este año, REvil atacó Colonial Pipeline y logró que la compañía pagara un rescate de $ 5 millones después de que se restringieran su funcionalidad y servicios, lo que provocó una crisis de gas en los EE. UU.
    JBS Holdings, la compañía cárnica más grande del mundo por ventas, también pagó un rescate de $ 11 millones en un ataque del 30 de mayo contra ella por el mismo grupo.

    Los expertos apuntan que no fue una coincidencia que REvil lanzara el ataque al comienzo del fin de semana festivo del 4 de julio, sabiendo que las oficinas de EE. UU. contarían con menos personal. Es posible que muchas víctimas no se enteraran hasta que regresaran al trabajo el lunes además de que la gran mayoría de clientes finales de los proveedores de servicios administrados desconocen qué tipo de software utilizan para mantener sus redes funcionando.

    El ataque actual a través del software Kaseya es algo especial, ya que se utiliza un exploit de día cero. Como puerta de enlace, utiliza un agujero de seguridad hasta ahora desconocido, contra el que todavía no hay una actualización protectora del fabricante.

    La recomendación sigue siendo desconectar todas las instalaciones de Kaseya VSA. Kaseya ahora proporciona al menos herramientas que pueden usarse para examinar los servidores VSA y los puntos finales administrados por ellos en busca de signos de infección.

    El presidente Joe Biden sugirió el sábado que Estados Unidos respondería si se determinaba que el Kremlin está involucrado. Dijo que había pedido a la comunidad de inteligencia una «inmersión profunda» sobre lo sucedido, y que tomaría medidas si Rusia estaba detrás de él.

    El FBI dijo en un comunicado el domingo que estaba investigando el ataque junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad federal, aunque «la escala de este incidente puede hacer que no podamos responder a cada víctima individualmente».

    Tanto los exploits de día cero como los ataques a través de la cadena de suministro se encuentran entre las técnicas de ataque avanzadas que suelen utilizar los atacantes controlados por el estado, pero REvil podría ser más crimen organizado que actividad de inteligencia.

    Su empresa o actividades podrían estar en peligro. Contáctenos y podremos programar una sesión gratuita online por 50 minutos y evaluar la mejor opción para la seguridad de su mayor activo empresarial: sus datos. Nuestros hackers éticos están para ayudarlo. Escríbanos a info@goethalsconsulting.com o llámenos al 302-2862/ 6229-2530.

  • Ciberataque al sistema de salud irlandés, golpeado dos veces en una semana

    El Departamento de Salud de Irlanda reveló este domingo un ciberataque contra el sistema de salud, en medio del temor de que se pudieran filtrar datos confidenciales de pacientes en línea. El ciberataque afectó a la mayoría de los servicios de salud del país, incluidas las pruebas de coronavirus, los servicios de atención materna, la atención del cáncer, el seguimiento de COVID-19 y las derivaciones de rutina para atención secundaria. Un ministro del gobierno lo llamó «el delito cibernético más importante en el estado irlandés».

    El Departamento de Salud ha sido blanco de un ciberataque similar al de los últimos días contra el Ejecutivo de Servicios de Salud (HSE), lo que provocó el cierre de gran parte de su infraestructura de TI. Se sospecha que ambos ataques al HSE y al Departamento de Salud son del mismo grupo. El ataque tomó la forma de ransomware, que ocurre cuando los ciberdelincuentes utilizan una forma de malware para cifrar redes y luego exigen un pago a cambio de la clave de descifrado.

    En respuesta, el HSE apagó inmediatamente todos sus sistemas informáticos, una medida de precaución para proteger las redes de la organización de nuevos ciberataques. Esto ha afectado inevitablemente la prestación de servicios clave en todo el país. En su última actualización, el HSE dijo que los pacientes deben esperar que las citas de los servicios ambulatorios, rayos X y servicios de laboratorio, en particular, sigan estando gravemente afectados. Los pacientes también verán retrasos en la obtención de los resultados de la prueba COVID-19, y el rastreo de contactos, aunque sigue funcionando normalmente, llevará más tiempo de lo habitual.

    Las consecuencias del ciberataque de la semana pasada al HSE continúan con el director ejecutivo del Hospital Universitario de Limerick, Colette Cowan, diciendo que el personal está revisando físicamente los gráficos por todo el hospital para compensar la falta de sistemas de correo electrónico e intranet. Cowan declaró que los servicios que incluyen radiografías y resonancias magnéticas se han visto afectados. “Ahora hay una gran cantidad de personal corriendo entre los departamentos, llevando los resultados de sangre, eso es realmente limitante en lo que podemos hacer”, afirmó. «Los servicios que incluyen radiografías y resonancias magnéticas se han visto afectados. Incluso las cirugías se ven afectadas por el acceso limitado a la radiología. Tenemos que tener en cuenta todos estos riesgos y gestionarlos con cuidado».

    El HSE ha confirmado ahora  que los atacantes han solicitado un rescate, aunque la cantidad exacta aún no se ha aclarado. «Tras una evaluación inicial, sabemos que se trata de una variante del virus Conti que nuestros proveedores de seguridad no habían visto antes. Se ha solicitado un rescate y no se pagará de acuerdo con la política estatal», dijo el HSE.

    Conti opera sobre la base de ciberataques de «doble extorsión», lo que significa que los atacantes amenazan con revelar información robada a las víctimas si se niegan a pagar el rescate. La idea es impulsar la amenaza de la exposición de datos a más víctimas de chantaje para que satisfagan las demandas de los piratas informáticos. La organización ha estado trabajando con el Centro Nacional de Seguridad Cibernética (NCSC) y expertos en ciberseguridad de terceros como McAfee para investigar el incidente.

    El NCSC recomendó una estrategia de remediación que implica contener el ataque aislando los sistemas que fueron pirateados, antes de limpiar, reconstruir y actualizar todos los dispositivos infectados. El HSE debe asegurarse de que el antivirus esté actualizado en todos los sistemas, antes de utilizar copias de seguridad externas para restaurar los sistemas de forma segura.

    Hay 80,000 dispositivos HSE que deben revisarse antes de que puedan volver a estar en línea, dando prioridad a los sistemas clave de atención al paciente, incluidas las imágenes de diagnóstico, los sistemas de laboratorio y la oncología de radiación, y algunos sistemas que ya se han recuperado. Si bien está claro que los datos en algunos servidores se han cifrado, la organización admitió que se desconoce el alcance total del problema en este momento.

    El ciberataque sigue a ataques similares a los servicios de atención médica en otras partes de Europa, incluido el Reino Unido, Finlandia y Francia, y solo unos días después de que uno de los operadores de oleoductos más grandes de los EE. UU.  pagara cerca de $ 5 millones a un grupo de ransomware que tenía sistemas de claves cifrado, lo que obligó al gigante del combustible a cerrar temporalmente sus operaciones de TI y afectó enormemente al suministro del país.

    Los ataques cibernéticos a los sistemas de salud han aumentado significativamente desde que comenzó la pandemia el año pasado. Group-IB, una empresa de ciberseguridad, dijo que los ataques de ransomware crecieron un 150% en 2020.

    Pero los expertos en ciberseguridad dijeron que lo peor aún está por llegar para los servicios críticos de Europa. «Está empeorando y empeorando más rápido», dijo Mikko Hyppönen, director de investigación de F-Secure. Si bien no está claro qué vulnerabilidades específicas se explotaron en el caso de Irlanda, Hyppönen dijo que los sistemas de atención médica son particularmente vulnerables a tales ataques.

    «La causa principal de las mayores interrupciones de los sistemas médicos es el uso de sistemas heredados. En general, existe una falta de presupuesto para reemplazar las máquinas viejas por otras nuevas. Las viejas son demasiado lentas para ejecutar nuevos sistemas operativos, por lo que siguen funcionando versiones antiguas «, agregó.

    «El ciberataque al sistema de salud irlandés es otro indicio de cómo los operadores de ransomware están siempre en movimiento: mejorando, automatizando y volviéndose más efectivos para dirigirse a organizaciones cada vez más grandes», dice Paul Donegan, director nacional para Irlanda de la empresa de ciberseguridad Palo Alto Networks.

    En esta línea, la UE está tratando de imponer una reforma. La Comisión Europea propuso en diciembre una actualización de sus reglas de seguridad cibernética, conocida como la directiva de Seguridad de la Red y la Información, que requeriría que muchas industrias, incluida la atención médica, refuercen sus defensas cibernéticas o enfrenten multas millonarias. Pero el proyecto de ley está a meses, si no años, de ser finalizado, incluso cuando los propios ataques se vuelven cada vez más sofisticados y audaces.

    Hyppönen dijo que se necesitarán más ataques como el irlandés para que la gente responda a la amenaza. «La mayor diferencia surge cuando las empresas y organizaciones ven lo que sucede con sus propios ojos. Parece que necesitamos que ocurran desastres a nuestro alrededor para que las organizaciones hagan un cambio real», dijo.

    Si aún no la ha hecho, solicite su revisión de vulnerabilidad y riesgo cibernético a Goethals Consulting, probablemente le sorprenderá su nivel de indefensión.

  • Hackers paralizaron el suministro de combustible en los Estados unidos

    Hackers criminales comprometieron a Colonial Pipeline, el principal operador de oleoductos de los Estados Unidos. Pese a que su sistema estaba blindado y seguro según afirmaron, sufrió un ataque de ransomware que obligó a la compañía a cerrar una red de combustible crítica, que abastece a los estados populosos de la costa este americana.

    El ataque es uno de los esquemas de rescate digital más disruptivos reportados a la fecha y ha provocado llamadas de los legisladores estadounidenses para fortalecer las protecciones para la infraestructura energética crítica de EE. UU. contra ataques de piratería.

    Colonial dijo el domingo que sus principales líneas de combustible permanecen fuera de línea, pero algunas líneas más pequeñas entre terminales y puntos de entrega ya están operativas, sin embargo, aún no hay fecha cierta de reinicio completa dada la gravedad del ataque informático.

    Aún cuando muchos gerentes/socios/dueños de empresas consideran que un ataque de piratería informática no puede causarle mucho daño a sus negocios, y se arriesgan no sometiendo sus sistemas a pruebas de penetración, en esta etapa donde lo virtual se ha convertido en lo normal para una compañía, deberían considerar seguir leyendo.

    Los futuros de la gasolina de EE. UU. aumentaron más de un 3% a 2,217 dólares el galón, el más alto desde mayo de 2018, ya que se abrieron las operaciones de la semana y los participantes del mercado reaccionaron al cierre.

    Colonial transporta aproximadamente 2,5 millones de barriles por día de gasolina y otros combustibles desde las refinerías de la Costa del Golfo hasta los consumidores del Atlántico medio y sureste de los Estados Unidos. Su extensa red de oleoductos sirve a los principales aeropuertos de EE. UU., incluido el aeropuerto Hartsfield Jackson de Atlanta, el más transitado del mundo por tráfico de pasajeros.

    Un portavoz del Aeropuerto Internacional Charlotte Douglas dijo que el mismo estaba “monitoreando la situación de cerca”, y agregó que el complejo es abastecido por otro gasoducto importante, además de Colonial. Sin embargo, de prolongarse la situación, las cosas serían diferentes.

    Los expertos en combustibles minoristas, incluida la Asociación Estadounidense de Automóviles, dijeron que si la interrupción dura varios días podría tener un impacto significativo en los suministros regionales de combustible, particularmente en el sureste de Estados Unidos. Ya en cortes anteriores de Colonial, los precios minoristas en los estados del sureste han aumentado sustancialmente.

    La situación es tan comprometida que hasta el mismo gobierno ha tomado cartas en el asunto: la secretaria de Comercio, Gina Raimondo, dijo que la reparación del oleoducto era una prioridad para la administración de Biden y que Washington estaba trabajando para evitar interrupciones más graves en el suministro de combustible al ayudar a Colonial a reiniciar lo más rápido posible su red de oleoductos de más de 5,500 millas (8,850 km) desde Texas hasta New Jersey.

    Ciberdelincuentes sospechosos

    Si bien la investigación del gobierno americano se encuentra en las primeras etapas, un ex funcionario estadounidense y tres fuentes de la industria dijeron que se sospecha que los piratas informáticos son un grupo ciberdelincuente profesional llamado DarkSide.

    DarkSide es una de las muchas bandas de ransomware que han “profesionalizado” un sector delictivo que les ha causado decenas de miles de millones de dólares en pérdidas a algunos países de Occidente en los últimos años.

    Mientras, evitan objetivos en los estados postsoviéticos. De hecho, se afirma que estos hackers pertenecen a Europa del Este. Estos grupos obtienen acceso a redes privadas, cifran archivos mediante software y, a menudo, también roban datos. Exigen un pago para descifrar los archivos y cada vez más piden dinero adicional para no publicar contenido robado.

    En el ataque a Colonial, los piratas informáticos se llevaron más de 100 gigabytes de datos, según fuentes familiarizadas con el incidente. Para que pueda comparar tamaños, en Mosack Fonseca fueron 2,7 terabytes. Sin embargo, estos 100 gigas están causando un terremoto energético en estos momentos en la costa sureste americana.

    Mientras el FBI y otras agencias gubernamentales trabajaban con empresas privadas para responder al ataque, el sistema de computación en la nube que los hackers utilizaron para recopilar los datos robados se desconectó el sábado, sostuvo la misma fuente. Los datos de Colonial no parecían haber sido transferidos desde ese sistema a ningún otro lugar, lo que podría limitar la influencia de los hackers para extorsionar o avergonzar aún más a la empresa.

    Mientras se lucha contra el tiempo para restablecer el suministro, la  empresa se negó a confirmar si los piratas informáticos de DarkSide estuvieron involucrados en el ataque, cuándo ocurrió la violación o qué rescate exigieron. La falta de detalles suele indicar que la víctima está negociando o ya hizo un pago.

    Hace un tiempo también informábamos lo sucedido a un banco en Costa Rica, que previamente había sido advertido por hackers que su sistema estaba comprometido y los instaban a corregir. Al tiempo, volvieron a insistir pago mediante y al no obtener respuesta del banco, publicaron toda la data comprometida en Internet y se hicieron públicas cuentas y datos de usuarios.

    Subestimar el poder de los hackers o ignorar sus consejos cuando son de sombrero blanco o ethical hackers, puede conducir a las empresas u organizaciones a comprometer la data personal de terceros. Ellos son las víctimas inocentes de la extorsión, cuando hackers criminales se apoderan de los datos. La conducta del hacker es criminal, pero ignorar o subestimar los daños que pueden ocurrir a un negocio por parte de sus principales responsables, también lo es, al contribuir con su inoperancia o soberbia, a que los sistemas queden vulnerables y sean luego comprometidos.

    Biden informado sobre el hack

    El presidente Joe Biden fue informado sobre el ciberataque el sábado por la mañana, dijo la Casa Blanca, y agregó que el gobierno estaba trabajando para tratar de ayudar a la compañía a restablecer las operaciones y evitar interrupciones en el suministro.

    El senador estadounidense Bill Cassidy, un republicano de Luisiana que forma parte del Comité de Energía, dijo que los legisladores están preparados para trabajar más con empresas privadas de infraestructura crítica para protegerse de los ciberataques.

    ‘La implicación de esto, para nuestra seguridad nacional, no puede ser exagerada. Y les prometo, esto es algo en lo que republicanos y demócratas pueden trabajar juntos’, dijo en ‘Meet the Press’ de NBC.

    Como termina siempre la historia, empresarios que no lo son tanto, que no quieren o no saben cómo asumir el verdadero costo de sostener su negocio indemne, terminan acudiendo al gobierno a que los socorra ante un problema que se debió haber previsto y asignado los suficientes recursos. No es justo para la sociedad en su conjunto, que a través de impuestos, les subsidie el costo de la seguridad y el sostenimiento de sus negocios, por más esencial que lo sean.

  • Los agujeros de seguridad de Zoom podrían permitir a piratas informáticos controlar su PC

    Dos hackers éticos, Daan Keuper and Thijs Alkemade, empleados de la empresa de ciberseguridad Computest, han descubierto una vulnerabilidad de día cero (una brecha en la seguridad del software que puede estar en un navegador o aplicación) en la plataforma de videoconferencia Zoom que podrían utilizar los ciberdelincuentes para lanzar ataques de ejecución remota de código (RCE).

    La vulnerabilidad fue descubierta como parte de un concurso, Pwn2Own, organizado por Zero Day Initiative (ZDI) de la firma de ciberseguridad Trend Micro, y diseñado para profesionales de ciberseguridad de sombrero blanco que compiten en el descubrimiento de vulnerabilidades en software y servicios populares.

    Las empresas ofrecen voluntariamente su software y servicios para que los participantes pirateen, y ofrecen recompensas por hacerlo. Todos ganan en Pwn2Own: los piratas informáticos ganan dinero legalmente por sus habilidades y los desarrolladores pueden hacer que su software sea más seguro. En este caso, la recompensa fue la friolera de $ 200,000USD.

    De momento, no hay mucho de lo que los usuarios de Zoom tengan que preocuparse, aunque el equipo de desarrollo de la compañía tiene 90 días antes de que el exploit se haga público. Como Zoom aún no ha tenido tiempo de reparar el problema crítico de seguridad, los detalles técnicos específicos de la vulnerabilidad se mantienen en secreto.

    Lo que sí se sabe es que los investigadores de Computest demostraron una cadena de ataque de tres errores que causó una falla de ejecución remota de código (RCE) como una clase de fallas de seguridad de software que permiten a un actor malintencionado ejecutar el código de su elección en una máquina remota a través de una LAN, WAN o Internet.

    También sabemos que el método funciona en la versión de Windows y Mac del software Zoom, pero no afecta la versión del navegador. No está claro si las aplicaciones de iOS y Android son vulnerables, ya que Keuper y Alkemade no las investigaron.

    Sin embargo, lo más alarmante es el hecho de que pudieron tomar el control del sistema remoto ejecutando el cliente Zoom sin la participación de la víctima. La explotación no requería que la víctima hiciera clic en ningún enlace ni abriera ningún archivo adjunto, teniendo la pareja un control casi completo sobre la computadora remota.

    Los hackers demostraron varias acciones, como la alteración de la Cámara web y el micrófono, mirando el escritorio, leyendo correos electrónicos y descargando el historial del navegador de la víctima.

    La organización Pwn2Own ha tuiteado un gif que demuestra la vulnerabilidad en acción. Se puede ver al atacante abrir la calculadora en el sistema que ejecuta Zoom:

    “Nos tomamos la seguridad muy en serio y apreciamos enormemente la investigación de Computest. Estamos trabajando para mitigar este problema con respecto a Zoom Chat, nuestro producto de mensajería grupal», dijo un portavoz de Zoom en un comunicado.»El chat en sesión en Zoom Meetings y Zoom Video Webinars no se ve afectado por el problema. Como práctica recomendada, Zoom recomienda que los usuarios acepten solo solicitudes de contacto de personas que conocen y en las que confían.»

    Unos 23 equipos participaron en el concurso y también consiguieron infiltrarse en otros sistemas. Durante la competencia destacaron que Windows 10 y Chrome fueron vulnerados. Con respecto al sistema operativo de Microsoft, los competidores lograron fácilmente introducir un malware al sistema, con la posibilidad de controlarlo. Los errores por los cuales los hackers fueron reconocidos fueron: una cadena de dos errores en Microsoft Teams que condujo a la ejecución del código; y el segundo por una omisión de autenticación y escalada de privilegios para tomar el control de Microsoft Exchange. A su vez, la falla de Chrome consistió en hackear la seguridad del navegador de internet de Google. Se trata de un error tipo Type Mismatch, que, por ser descubierto, ha hecho ganar a los hackers $100.000USD.

    Este evento, y los procedimientos y protocolos que lo rodean, demuestran muy bien cómo funcionan los piratas informáticos de sombrero blanco y qué significa la divulgación responsable. La eliminación de estos errores y vulnerabilidades potenciales es crucial para lograr una ciberseguridad de confianza.

  • El hackeo advertido a Microsoft compromete a gobiernos de todo el mundo

    Microsoft fue advertido hace meses y ahora, el hackeo de Hafnium ha comprometido a gobiernos de todo el mundo

    El viernes pasado, varios periodistas de ciberseguridad informaron que hasta 30.000 organizaciones se habían visto comprometidas en un ataque sin precedentes al servidor de correo electrónico de Microsoft, que se cree que se originó en un grupo de piratería chino conocido como Hafnium. La Casa Blanca lo llama una amenaza activa y promete una ‘respuesta total del gobierno’.

    Durante el fin de semana pasado, ya esa estimación se había duplicado a 60.000 clientes de Microsoft Exchange Server pirateados en todo el mundo, y la Autoridad Bancaria Europea ahora admitió que es una de las víctimas. Parece que Microsoft pudo haber tardado demasiado en darse cuenta de la gravedad del asunto y ponerle freno. Según algunas fuentes tenía esta información desde enero, casi dos meses antes de que Microsoft publicara su primer conjunto de parches.

    Al principio, los piratas informáticos chinos llevaron a cabo una campaña cuidadosa. Durante dos meses, aprovecharon las debilidades de los servidores de correo electrónico de Microsoft Exchange y robaron de forma sigilosa buzones de correo completos. Cuando los investigadores finalmente se dieron cuenta, pensaron en un espionaje en línea típico, pero luego las cosas empeoraron dramáticamente.

    Alrededor del 26 de febrero, la operación se convirtió en algo mucho más grande y caótico. Pocos días después, Microsoft reveló públicamente los hacks y emitió una solución de seguridad. Pero para entonces, los atacantes buscaban objetivos en todo Internet: además de las decenas de miles de víctimas denunciadas en los EE. UU., los gobiernos de todo el mundo anunciaron que también están comprometidos. Ahora, al menos 10 grupos de piratas informáticos, la mayoría de ellos equipos de ciberespionaje, están explotando las vulnerabilidades en miles de servidores en más de 115 países, según la firma de seguridad ESET.

    De manera más diplomática, la secretaria de prensa de la Casa Blanca, Jen Psaki, lo llamó «una amenaza activa», llamando más la atención sobre la directiva de emergencia que la agencia de ciberseguridad del Departamento de Seguridad Nacional envió el 3 de marzo. El asesor de seguridad nacional de la Casa Blanca, Jake Sullivan, también lo advirtió, al igual que el ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Christopher Krebs, y el Consejo de Seguridad Nacional de la Casa Blanca.

    Microsoft se negó a comentar por el momento sobre sus parches y divulgaciones, y en su lugar señaló: “Estamos trabajando en estrecha colaboración con CISA, otras agencias gubernamentales y empresas de seguridad, para asegurarnos de que estamos brindando la mejor orientación y mitigación posibles para nuestros clientes. La mejor protección es aplicar actualizaciones lo antes posible en todos los sistemas afectados. Continuamos ayudando a los clientes brindándoles orientación adicional sobre investigación y mitigación. Los clientes afectados deben ponerse en contacto con nuestros equipos de soporte para obtener ayuda y recursos adicionales».

    En este punto, el mensaje debe ser claro: cualquier persona que haya instalado un Microsoft Exchange Server local (2010, 2013, 2016 o 2019) necesita parchear y escanear, pero solo se está comenzando a comprender el alcance del daño. Según los informes, los piratas informáticos instalaron malware que puede permitirles volver a esos servidores, y aún no se sabe qué podrían haber tomado. «Estamos llevando a cabo toda una respuesta del gobierno para evaluar y abordar el impacto», se lee en parte de un correo electrónico de un funcionario de la Casa Blanca.

    Y Usted CTO, CIO o simplemente el Administrador de seguridad de la empresa, ¿Aún siente que «eso no le va a suceder»? Se ha atacado a la empresa más grande del mundo que le llega a usted a través de uno de los programas más utilizados en materia empresarial. ¿No será hora de ir pensando programar un testeo de su seguridad infromática?

    Para un Penetration Test, similar a lo que realizan los hackers, pero de una forma controlada y bajo un entorno ético, programe su cita aquí