Trend Micro respalda el respeto en la seguridad para eliminar el acoso en la industria

Por: Ross Baker

En Trend Micro creemos que la diversidad y la inclusión no son solo imperativos morales, son la clave para desbloquear la innovación y el avance en ciberseguridad. Sabemos que muchas organizaciones comparten estos valores. Pero, lamentablemente, también hay áreas en las que la industria puede mejorar.

Es por eso que estamos encantados de ver el lanzamiento de una nueva iniciativa, Respect in Security, cuyo objetivo es eliminar el acoso en todas sus formas en el sector de la ciberseguridad. Apoyamos incondicionalmente sus objetivos y hemos firmado su compromiso de librar a nuestra comunidad y lugares de trabajo del acoso y el miedo.

Comprometidos con la diversidad

Siempre hemos estado comprometidos con la creación de una cultura y un entorno inclusivos formados por Trenders diversos a los que se anima y alienta a ser su ellos mismos. La creación de oportunidades para un discurso abierto y el fomento de una cultura de compasión es una parte fundamental de nuestro ADN. Viene de lo más alto. Nuestra CEO, Eva Chen, ha sido una apasionada defensora de estos valores durante toda su carrera, y se ha manifestado en varias iniciativas a lo largo de los años. Por ejemplo, nuestro proyecto Close the Gap  sigue proporcionando apoyo y orientación para fomentar un mayor número de talentos con diversidad de género en el sector, por ejemplo.

Lo mínimo que podemos esperar cuando nos conectamos desde casa o nos sentamos en el ordenador de la oficina todos los días es que nos traten con respeto, ya sea por parte de nuestros compañeros, partners, clientes, directivos o de las personas con las que interactuamos online. Desafortunadamente, hasta un tercio de los profesionales de la ciberseguridad han tenido experiencias personales de acoso online o en persona, según Respect in Security.

Es hora de cambiar

Esto debe terminar, si queremos crear el tipo de industria que atraiga talento diverso y fomente un entorno de inclusión y respeto.

Por ello, Trend Micro apoya el Respect in Security y se compromete a hacer todo lo posible para crear un lugar de trabajo y una comunidad libres de acoso y miedo.

Lauren McKenna, Directora Global de Recursos Humanos, Trend Micro

Cómo Trend Micro y sus partners mantuvieron a los clientes a salvo del ataque de ransomware a Kaseya

Uno de los ciberataques más audaces de los últimos años salió a la luz el pasado mes de diciembre, cuando hackers respaldados por el Estado infectaron a los clientes de una empresa de software de TI a través de una actualización maliciosa. El ataque de SolarWinds tuvo como resultado el compromiso de al menos nueve departamentos del gobierno estadounidense. En ese momento, Trend Micro advirtió que esto era solo la punta del iceberg. Por desgracia, teníamos razón. Ahora, potencialmente miles de clientes de otra empresa de software de gestión TI, Kaseya, han experimentado un destino similar.

Mientras las agencias de inteligencia estadounidenses investigan, Trend Micro y los clientes de sus partners siguen protegidos mediante múltiples capas de defensa. Esto es lo que ha ocurrido y cómo mantenemos la seguridad de estas organizaciones.

¿Qué ocurrió?

El ataque se produjo el 2 de julio, justo antes del fin de semana del Día de la Independencia de  Estados Unidos, y probablemente fue una estratagema calculada para pillar desprevenidas a las organizaciones y a sus equipos de seguridad informática. Su objetivo era la plataforma VSA de Kaseya, que es utilizada por los clientes MSP para la aplicación de parches automáticos y la supervisión remota de los entornos de sus clientes.

Según los informes, un exploit zero-day permitió a los atacantes saltarse los controles de autenticación, acceder y cargar una carga maliciosa en el sistema y ejecutar comandos mediante inyección SQL. De este modo, fueron capaces de utilizar VSA como arma para introducir un script PowerShell malicioso que cargaba el ransomware REvil en los sistemas de los clientes de los MSP, y en sus clientes a su vez. Como VSA está diseñada para operar con privilegios elevados, la falsa actualización maliciosa «Kaseya VSA Agent Hot-fix» se instaló en todos los sistemas gestionados.

El ransomware Sodinokibi/REvil (detectado como Ransom.Win32.SODINOKIBI.YABGC) deshabilitaba ciertos servicios y terminaba procesos relacionados con software legítimo, incluyendo navegadores y aplicaciones de productividad. También ejecutaba comandos para ocultar su actividad a Microsoft Defender. Kaseya advirtió a los clientes infectados con el ransomware que no hicieran clic en ningún enlace de las comunicaciones de los atacantes, ya que estos también podrían estar armados con malware.

¿Cuál es el impacto?

El grupo REvil, o más bien la filial que ha llevado a cabo este ataque en particular, ha intentado extraer rescates de empresas individuales. También exige 70 millones de dólares en criptomoneda por un «descifrador universal» que, según afirma, funcionará para todas las víctimas.

Kaseya afirma que «menos de 60» de sus clientes MSP locales y alrededor de 1.500 organizaciones secundarias se han visto afectadas. Entre ellas se encuentran organizaciones tan variadas como supermercados suecos, escuelas neozelandesas y empresas de TI holandesas.

Se espera que se despliegue un parche para que los clientes afectados vuelvan a estar online en el transcurso del día.

Cómo le protege Trend Micro

La buena noticia es que el propio ransomware es detectado por las soluciones antimalware de Trend Micro. De hecho, nuestras capacidades de machine learning predictivo y de monitorización del comportamiento detectaban y protegían contra las muestras antes de que se añadieran IOCs específicos al patrón de detección habitual. Esta funcionalidad se incluye en nuestra gama de seguridad Worry-Free, también ofrecida por Vodafone y otros partners para proteger a las pymes de amenazas graves como el ransomware.

Además, Trend Micro está bloqueando activamente varios vectores de infección de dominios maliciosos conocidos que están asociados a la campaña a través de Trend Micro Web Reputation Services (WRS).

Por último, nuestra plataforma Trend Micro Vision One para la detección y respuesta a amenazas, proporciona a los clientes capacidades de detección XDR de productos subyacentes como Apex One. También ayuda a las organizaciones a realizar barridos de IOCs para comprobar si hay actividad maliciosa y mejorar las investigaciones retrospectivas.

70% (66% en España) de los equipos de los SOC se sienten emocionalmente abrumados por el volumen de alertas de seguridad

Un estudio de Trend Micro revela el coste humano de los Centros de Operaciones de Seguridad (SOC) sin recursos suficientes

Trend Micro Incorporated (TYO: 4704; TSE: 4704), líder global en ciberseguridad, ha publicado los resultados de un nuevo estudio que revela que los equipos de seguridad de los SOC y de TI sufren altos niveles de estrés fuera de la jornada laboral, siendo la sobrecarga de alertas uno de los principales factores responsables.  

Según el estudio, en el que se encuestó a 2.303 responsables de la toma de decisiones de TI y SOC de empresas de todos los tamaños y sectores, el 70% (66% en España) de los encuestados afirma que su vida privada se ve afectada emocionalmente por su trabajo de gestión de las alertas de amenazas de TI. La mayoría (51%) (42% en España) cree que su equipo se ve abrumado por el volumen de alertas y el 55% (48% en España) admite que no confía completamente en su capacidad para priorizarlas y responder a ellas. Por lo tanto, no es de extrañar que los equipos dediquen hasta un 27% (25% en España) de su tiempo a lidiar con falsos positivos.

Estas conclusiones se ven corroboradas por un reciente estudio de Forrester[1], según el cual «los equipos de seguridad están muy faltos de personal cuando se trata de responder a incidentes, incluso cuando se enfrentan a más ataques. Los centros de operaciones de seguridad (SOC) necesitan un método más eficaz de detección y respuesta; por ello, XDR adopta un enfoque radicalmente distinto al de otras herramientas del mercado actual».

Fuera del trabajo, los elevados volúmenes de alertas hacen que muchos responsables de los SOC no puedan desconectar ni relajarse, y que se muestren irritados con sus amigos y familiares. Dentro del trabajo, hacen que las personas desactiven las alertas (el 43% lo hace ocasionalmente o con frecuencia) (39% en España), se alejen de su ordenador (43%) (45% en España), esperen que otro miembro del equipo intervenga (50%) (47% en España), ignoren por completo lo que llega (40%) (34% en España), o asumen que una alerta es un falso positivo más de una vez (49%) (59% en España).

«Estamos acostumbrados a que la ciberseguridad se describa en términos de personas, procesos y tecnología», explica la Dra. Victoria Baines, investigadora de ciberseguridad y autora. «Sin embargo, con demasiada frecuencia, las personas son retratadas como una vulnerabilidad más que como un activo, y se da prioridad a las defensas técnicas sobre la capacidad de resiliencia humana. Ya es hora de que renovemos nuestra inversión en nuestros activos de seguridad humana. Eso significa cuidar de nuestros colegas y equipos, y garantizar que tengan herramientas que les permitan concentrarse en lo que los humanos hacen mejor».

Con un asombroso 74% (77% en España) de los encuestados ya lidiando con una infracción o esperando una dentro del año, y el coste medio estimado por infracción de 235.000 dólares (275.000 dólares, en el caso de España), las consecuencias de tales acciones podrían ser desastrosas.

«Los miembros de los equipos SOC desempeñan un papel crucial en la primera línea de defensa, gestionando y respondiendo a las alertas de amenazas para mantener a sus organizaciones a salvo de infracciones potencialmente catastróficas. Pero, como muestra este estudio, esa presión a veces tiene un enorme coste personal», afirma José de la Cruz, director técnico de Trend Micro Iberia. «Para evitar perder a sus mejores empleados por el agotamiento o por el síndrome del trabajador quemado, las organizaciones deben buscar plataformas de detección y respuesta a amenazas más sofisticadas que puedan correlacionar y priorizar las alertas de forma inteligente. Esto no solo mejorará la protección general, sino que también aumentará la productividad de los analistas y los niveles de satisfacción laboral”.  

Trend Micro Vision One es la respuesta de la empresa a las dificultades de los equipos SOC. Las alertas priorizadas y correlacionadas que utilizan datos de todo el entorno de TI ayudan a los equipos a emplear su tiempo de forma más inteligente. Un menor número de alertas y una mayor inteligencia permiten a los equipos recuperar el equilibrio en su vida laboral y aliviar la carga emocional de la seguridad

Para saber más, consulta la infografía y el informe aquí.

Conoce los perfiles de personas del SOC en esta infografía:

Metodología de la investigación

El estudio se basa en entrevistas con 2.303 responsables de seguridad TI de 21 países. Esto incluye a los líderes y responsables que dirigen equipos de SOC (85%) y a los que gestionan SecOps desde su equipo de seguridad de TI (15%). Todos los encuestados procedían de empresas de más de 250 empleados.


[1] Allie Mellen, Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR (Forrester, 2021)

Proporcionar protección de extremo a extremo para la organización benéfica de atención médica más grande del Reino Unido

Como todas las organizaciones de atención médica (HCO), Nuffield Health ha tenido una pandemia desafiante. Sin embargo, el jefe de Habilitación de TI en Nuffield Health, Ed Moss tiene la importante tarea de proteger las redes, los servidores, el almacenamiento y los endpoints en 300 sitios y para decenas de miles de empleados y contratistas.

Afortunadamente, una relación de casi 15 años con Trend Micro ha ayudado a mantener a los pacientes, empleados y sistemas de TI clave seguros y protegidos.

Mantener segura la TI heredada

La relación de Nuffield Health con Trend Micro comenzó en 2007, cuando consolidó la seguridad de los terminales en OfficeScan (ahora Apex One). Sin embargo, ha crecido a lo largo de los años para incluir cargas de trabajo en tiempo de ejecución (Deep Security), protección avanzada contra amenazas basada en la red (Deep Discovery Inspector (DDI)), correos electrónicos de Office 365 (Cloud App Security) y detección y respuesta gestionadas (Managed XDR Service).

Como muchas HCO, Nuffield Health tiene que gestionar múltiples sistemas heredados en sus hospitales, asegurándose de que permanezcan protegidos sin interrumpir los servicios vitales. Ahí es donde el parche virtual de Deep Security ha sido una «gran victoria» para la organización benéfica, según Ed. Ofrece prevención de intrusiones de varias capas para mantener los sistemas vulnerables a salvo de amenazas conocidas y desconocidas, ya sea hasta que se pueda implementar un parche oficial o para mantener seguro el kit heredado.

Seguridad en la nube primero

Uno de los éxitos más recientes ha sido Trend Micro Vision OneTM, que ofrece a nuestros clientes capacidades XDR y mucho más. Gracias al servicio gestionado de detección y respuesta, Ed y su equipo pueden concentrarse en las cosas que importan, con la certeza de saber que los expertos de Trend Micro cubren la detección y respuesta de amenazas. Les proporciona una mayor visibilidad de los riesgos y una respuesta optimizada en sus redes.

Dado que Nuffield Health se ha embarcado en la transformación digital durante los últimos 18 meses, con la migración a Azure y reemplazos basados en la nube para sus apps heredadas, Trend Micro ha estado presente a cada paso durante este camino. Nuestras opciones de implementación de SaaS y la estrecha integración con los principales proveedores de la nube ayudan a los clientes del sector sanitaria y de otros muchos sectores a preparar sus inversiones digitales para el futuro.

En una era de cambios rápidos y amenazas crecientes, eso es justo lo que recetó el médico.

Ataque a Microsoft Exchange: ¿Me ha afectado? y ¿qué puedo hacer ahora?

Rara vez las campañas de ciberespionaje aparecen con la escala de la situación actual que afecta a Microsoft Exchange Server. Cuatro vulnerabilidades han sido utilizadas por un grupo de amenazas ligado a China, según Microsoft.

Autor: Trend Micro

Se considera que al menos 30.000 organizaciones han sido atacadas en Estados Unidos, pero el número podría ser mucho más grande de forma global — dándole a los hackers control remoto sobre los sistemas de las víctimas. En nuestra revisión más reciente de Shodan, aún existen alrededor de 63.000 servidores expuestos que son vulnerables a estos exploits.

Aplicar los parches disponibles debe ser una prioridad absoluta, o desconectar cualquier servidor vulnerable que pueda estar ejecutando si no puede parchear inmediatamente. En este momento, cualquiera que tenga un servidor Exchange debe tomar medidas de investigación para comprobar si hay señales de compromiso.

Respaldamos por completo las recomendaciones dadas por Microsoft y otros fabricantes. Además, los clientes actuales de XDR pueden utilizar las búsquedas predeterminadas en Trend Micro Vision One para buscar indicios del ataque en su entorno. Estas búsquedas pueden encontrarse en este artículo de nuestra Base de Conocimientos, junto con detalles sobre las detecciones y protecciones adicionales que los clientes pueden aprovechar en todas sus soluciones de seguridad.

¿Qué ocurrió? 

Los ataques se remontan al 6 de enero de 2021, cuando un nuevo grupo de amenazas, posteriormente etiquetado como «Hafnium» por Microsoft, comenzó a explotar cuatro fallos zero-day en Microsoft Exchange Server. El grupo está utilizando servidores privados virtuales (VPS) ubicados en Estados Unidos para intentar ocultar su verdadera ubicación. Microsoft emitió parches de emergencia fuera de banda la semana pasada, diciendo en ese momento:

«En los ataques observados, el actor de la amenaza utilizó estas vulnerabilidades para acceder a los servidores Exchange locales, lo que permitió el acceso a las cuentas de correo electrónico y la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de las víctimas”.

Si se encadenan, las vulnerabilidades podrían ser explotadas para permitir a los atacantes autenticarse como el servidor Exchange, ejecutar código como System y escribir un archivo en cualquier ruta del servidor. Después de explotar los cuatro fallos, se dice que Hafnium despliega web shells que permiten al grupo robar datos y realizar acciones maliciosas adicionales para comprometer aún más sus objetivos. Esto podría incluir el despliegue de ransomware a las organizaciones víctimas.

Tanto la Casa Blanca como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) están muy preocupados por las consecuencias de largo alcance de la campaña. La CISA ha ordenado a las agencias gubernamentales que apliquen parches ahora o desconecten sus servidores Exchange locales.

También existe una posible conexión con la investigación del web shell Chopper ASPX que publicamos en enero de 2021. Trend Micro Research está analizando más a fondo cómo las campañas pueden estar relacionadas, y si se deben esperar campañas relacionadas adicionales. 

¿Estoy afectado?  

La evaluación inicial de Microsoft declara que Hafnium se ha dirigido a organizaciones en sectores como el legal, educación superior, defensa, investigación de enfermedades infecciosas, ONGs y comités de expertos. Sin embargo, hay razón para pensar que la última oleada de ataques pudo haber sido el trabajo de otros agentes maliciosos. Sea cual sea la fuente, el ex jefe de la CISA Chris Krebs advierte que las pymes, las organizaciones del sector educativo y los gobiernos estatales y locales pueden verse afectados desproporcionalmente ya que éstos a menudo tienen menos recursos para invertir en seguridad.

Si usted ejecuta servidores on-premise de Exchange, así es como puede revisar si se ha visto afectado: 

  • Escanee sus logs de Exchange Server con la herramienta de detección de Microsoft para revisar si se le ha comprometido 
  • Realice un barrido manual con Trend Micro Vision One para detectar los Indicadores de Compromiso (IoCs) conocidos asociados con esta campaña. 

¿Qué es lo que sigue? 

Si ha realizado un escaneo, descubrió que su ambiente aún no ha sido comprometido y aún no ha parchado, aplique los parches liberados por Microsoft tan pronto sea posible.

Si realiza el escaneo utilizando la herramienta de Microsoft y detecta evidencia de que un atacante pudo haber explotado estas vulnerabilidades en su ambiente, debe entrar a la modalidad de respuesta a incidentes.

Pero el enfoque que adopte puede depender de sus recursos internos y de la situación. Estos son nuestros consejos para las pymes y grandes organizaciones.

  1. Si no cuenta con un equipo de seguridad in-house, contacte a su proveedor de seguridad o MSP para que le brinden apoyo

  2. Si cuenta con un equipo in-house de respuesta a incidentes, ellos se encargarán de identificar los siguientes pasos
  3. No vuelva a respaldar ninguna máquina hasta que un escaneo forense ha declarado que ya no cuenta con ningún IoC
  4. Contacte a su equipo legal para comentar los requerimientos de las notificaciones de brecha 

Para más información sobre las detecciones y protecciones adicionales específicas para esta campaña que ofrece Trend Micro, por favor Revise este artículo de nuestra Base de Conocimientos, el cual se actualizará conforme vaya evolucionando la situación: https://success.trendmicro.com/solution/000285882