Archivo de la etiqueta: cybersecurity

Siguiendo la continua evolución del célebre grupo APT Pawn Storm

Trend Micro se dedica a proteger el mundo conectado, y a todos sus clientes en todos los rincones del planeta. Para ayudarnos en esta tarea, contamos con un equipo de más de 1.200 investigadores white hat dedicados a trabajar las 24 horas del día para anticipar e investigar las últimas ciberamenazas emergentes. Muchos de los grupos responsables de estas son bandas criminales. Pero cada vez más, pueden ser también hackers apoyados por el estado. Esto puede sonar muy lejos de la cotidianeidad del día a día de la empresa española media. Pero ese no es necesariamente el caso. 

Los sofisticados grupos de Amenazas Persistentes Avanzadas (APT) no siempre tienen como objetivo las grandes marcas o los sectores militares y de infraestructura crítica. Como destaca nuestra última investigación sobre el perverso grupo Pawn Storm, incluso van tras escuelas privadas, guarderías y médicos.

Breve historia de Pawn Storm

Las actividades de Pawn Storm se remontan a 2004, aunque hemos estado siguiendo al grupo de cerca durante los últimos seis años más o menos. También conocido por los apodos APT28, Sofacy, Sednit, Fancy Bear y Strontium, es uno de los grupos APT más destacados del mundo. Entre las víctimas notables del pasado se encuentran el partido de la Unión Demócrata Cristiana Alemana (CDU), la Agencia Mundial Antidopaje (AMA) y el Comité Nacional Democrático (DNC). Hillary Clinton ha culpado de los correos electrónicos confidenciales de este último que ayudaron a Donald Trump a llegar al poder. 

No se equivoquen, Pawn Storm es uno de los grupos de APT más sofisticados y con más recursos que hemos visto. Y gracias al seguimiento que hemos hecho de sus herramientas, tácticas y procedimientos (TTP), hemos podido detallar algunas nuevas tendencias en 2019.

¿Qué hay de nuevo?

Concretamente, vimos que el grupo decidió usar las cuentas de correo electrónico de objetivos de alto perfil que ya había comprometido para enviar correos electrónicos de phishing de credenciales a otros objetivos – principalmente a compañías de defensa de Oriente Medio. No está claro por qué lo hicieron, tal vez para evadir los filtros de spam, y no parece haber sido particularmente exitoso.

También observamos a Pawn Storm escudriñando servidores de correo electrónico y servidores Microsoft Exchange Autodiscover en todo el mundo, con el fin de forzar bruscamente las credenciales de los administradores, exfiltrando los datos de los correos electrónicos y utilizándolos para realizar phishing a una nueva oleada de objetivos. Curiosamente, sus objetivos para esta campaña no eran solo los sospechosos habituales de organizaciones militares y de defensa, gobiernos, bufetes de abogados, partidos políticos y universidades, sino también otros más inusuales como escuelas privadas en Francia y Reino Unido, e incluso una guardería en Alemania.

Esto es un testimonio del hecho de que ninguna organización está a salvo de los ataques APT hoy en día.

La buena noticia es que los tipos malos cometen errores que podemos utilizar para entender mejor sus métodos y motivaciones. Por ejemplo, pudimos rastrear las campañas de phishing de credenciales contra dos proveedores de correo web de EE.UU., uno ruso y otro iraní durante un período de dos años analizando la solicitud del Marco de Políticas de Remitente de DNS (SPF) de los dominios que utilizaba. Aunque el grupo asignó cinco dominios a los servidores utilizados en esta campaña, no los registró, lo que permitió a los investigadores de Trend Micro colarse sigilosamente y monitorizar la actividad.

Mantenerse a salvo

Predecimos que este grupo de amenazas en particular estará presente en los años próximos años. Y es solo uno de los muchos que operan hoy en día. A continuación ofrecemos algunas recomendaciones para aislar a su organización contra estos últimos ataques. Incluso si no es un objetivo de Pawn Storm, estas son una serie de buenas prácticas importantes a tener en cuenta:

  • Aplicar el principio de menores privilegios, y deshabilitar los servicios obsoletos o no utilizados
  • Parchear regularmente/actualizar el sistema operativo y las aplicaciones. Considere la posibilidad de aplicar parches virtuales para las vulnerabilidades conocidas y desconocidas
  • Monitorizar regularmente la infraestructura con firewalls y sistemas de detección y prevención de intrusiones
  • Desplegar autenticación de doble factor para las cuentas de correo electrónico corporativo, el acceso de red y los servicios subcontratados
  • Formar y concienciar a los empleados en materia de técnicas de phishing y vectores de ataque más comunes, y prohibir el uso del correo web personal y las cuentas de redes sociales para fines laborales
  • Realizar con frecuencia copias de seguridad de los datos y cifrar la información sensible almacenada

Para leer el informe completo, haga clic aquí

Amenazas a Zoom: cómo mantener a salvo tu negocio y a tus empleados

Por: José Battat, director general de Trend Micro Iberia.

Los ciberdelincuentes siempre están buscando nuevas oportunidades para ganar dinero y robar datos. Los eventos de tendencia mundial son una forma probada de hacerlo, y no son tan más grandes como la actual pandemia de COVID-19. Esto está provocando una oleada de phishing, BEC, extorsión, ransomware e intentos de brechas y violación de datos. Y a medida que se envía a sus domicilios a un número cada vez mayor de trabajadores en todo el mundo, se abren nuevas oportunidades para comprometer las apps de videoconferencia.

Aunque no es el único objetivo, Zoom ha sido objeto de algunos de los incidentes más destacados en lo que va de año. Afortunadamente, hay cosas que se pueden hacer para mantener los negocios seguros.

Bajo el microscopio

La app de videoconferencia es, en muchos sentidos, víctima de su propio éxito. Se han planteado preocupaciones de seguridad sobre ella en el pasado, después de que los investigadores revelaran un fallo zero-day en el cliente Mac Zoom que podría haber permitido a los hackers espiar a los usuarios a través de sus cámaras web. Más tarde, en el mismo año, investigaciones separadas revelaron un ataque de enumeración dirigido a la API que afectaba a la plataforma. No se cree que ninguno de ellos haya sido sobreexplotado.

Sin embargo, las cosas han cambiado hoy en día: con gran parte del mundo utilizando la plataforma para realizar reuniones de negocios y videollamadas personales, el análisis de su postura de seguridad nunca ha sido mayor.

De errores a bombardeos

Hay varios riesgos que hay que tener en cuenta. El primero es el de varias nuevas vulnerabilidades descubiertas en la plataforma: una de ellas podría permitir a los hackers robar las contraseñas de Windows, y otras dos podrían permitir a los atacantes instalar remotamente malware en los Macs afectados y espiar las reuniones.

Sin embargo, la mayor parte de la cobertura de noticias se centra en «Zoombombing«, cuando los usuarios no invitados interrumpen las reuniones. Esto sucede a menudo cuando se llevan a cabo eventos semipúblicos a gran escala y las identificaciones (ID) de las reuniones se comparten en las redes sociales. Si no hay una contraseña para la reunión y no se examina a los asistentes, pueden  aparecer los Zoombombers. Una vez en la «reunión», los intrusos suelen publicar comentarios ofensivos, transmitir contenido para adultos o hacer otras cosas para perturbar el evento.

Las mismas técnicas subyacentes podrían ser utilizadas por los hackers para espiar o interrumpir las reuniones de negocio. Se trata de aprovechar las configuraciones inseguras de la app, (y posiblemente usar herramientas de fuerza bruta para descifrar las ID de las reuniones).

Con el acceso a una reunión, los hackers podrían recoger información corporativa altamente sensible y/o crítica para el mercado, o incluso propagar malware a través de una función de transferencia de archivos.

La última amenaza es de ataques de phishing. Los hackers saben que los usuarios buscan en masa maneras de comunicarse durante los confinamientos dictados por los gobiernos. Al crear enlaces y sitios web de Zoom de aspecto legítimo, podrían robar detalles financieros, propagar malware o recoger números de ID de Zoom, lo que les permitiría infiltrarse en reuniones virtuales. Un proveedor descubrió que se habían registrado 2.000 nuevos dominios solo en marzo, más de dos tercios del total del año hasta ahora.

Qué se puede hacer

La buena noticia es que hay varias cosas que se pueden hacer para mitigar los riesgos de seguridad asociados con Zoom.

Las más básicas son:

• Asegurarse de que Zoom siempre esté en la última versión del software

• Concienciar sobre las estafas de phishing de Zoom en los programas de capacitación de usuarios. Los usuarios solo deben descargar el cliente Zoom de un sitio de confianza y verificar si hay algo sospechoso en la URL de la reunión al unirse a una reunión

• Asegurarse de que todos los teletrabajadores tengan un programa antimalware, incluida la detección de phishing instalada de un proveedor de confianza

A continuación, es importante revisar los ajustes de administración de la aplicación, para reducir las oportunidades de los hackers y los Zoombombers.

Lo más importante gira en torno a Zoom Personal Meeting ID (un número de 9-11 dígitos que cada usuario tiene). Si un hacker se apodera de esto, y la reunión no está protegida por una contraseña, podrían acceder a ella. Un correo electrónico filtrado o simples técnicas de fuerza bruta/especulación podrían permitir a un hacker comprometer el ID y la URL asociada. En el caso de reuniones recurrentes, la amenaza persiste.

Afortunadamente, las contraseñas generadas automáticamente ahora están activadas de forma predeterminada, y el uso de identificaciones de reuniones personales está desactivado, lo que significa que Zoom creará una identificación aleatoria y única para cada reunión.

Esta configuración debe mantenerse tal cual. Pero las organizaciones pueden hacer más, incluyendo:

  • Asegurarse de que también se genera un ID de reunión automáticamente para las reuniones recurrentes
  • Configurar la pantalla compartida como «solo host» para evitar que los asistentes no invitados compartan contenido perjudicial
  • No comparta ninguna ID de la reunión online
  • Desactivar las «transferencias de archivos» para mitigar el riesgo de malware
  • Asegurarse de que solo los usuarios autenticados puedan participar en las reuniones
  • Bloquear la reunión una vez que haya empezado para evitar que alguien se una a ella.
  • Utilizar la función de sala de espera, así el anfitrión o host solo puede permitir asistentes de un registro preasignado
  • Reproduzca un sonido cuando alguien entre o salga de la reunión
  • Permitir que el anfitrión ponga a los asistentes en espera, eliminándolos temporalmente de una reunión si es necesario

Asegurando nuestro mundo conectado a la nube en 2020

Ha sido un año difícil para los CISO. En los últimos 12 meses se ha observado otro repunte en las brechas de datos, las configuraciones incorrectas de la nube y las amenazas de seguridad en una capa de DevOps. El ransomware está activo, el malware sin archivos está en aumento, y el compromiso de correo electrónico de la empresa sigue aumentando. Solo Trend Micro bloqueó más de 26.800 millones de amenazas únicas en la primera mitad del año. Los responsables de ciberseguridad necesitan asegurarse de que trabajan con partners de confianza, es decir, proveedores con una visión clara del futuro.

Durante el último año, una convincente combinación de innovación de productos, la actividad de fusiones y adquisiciones, y el reconocimiento de la industria independiente ha distinguido a Trend Micro como ese partner.

Digital significa riesgo

Cuando se habla de transformación digital hoy en día, se suele hablar de sistemas de computación en la nube. Las inversiones en plataformas de AWS, Azure y el resto han generado grandes ganancias para las empresas que buscan ser más escalables, eficientes en TI y ágiles. Las plataformas cloud ofrecen a los desarrolladores la flexibilidad que necesitan para seguir avanzando con las iniciativas de DevOps e infraestructura como código (IAC), para ofrecer experiencias innovadoras a los clientes que se pueden adaptar a las demandas del mercado con solo hacer clic en unos pocos botones.  

Pero esta transformación de TI ha expuesto a esas mismas organizaciones a una nueva serie de riesgos. Con tanta información de clientes potencialmente lucrativa e IP almacenada en bases de datos en la nube, se han convertido en un objetivo importante para los hackers. Trend Micro predice un torrente de ataques de inyección de código contra los proveedores cloud en 2020. También estamos viendo vulnerabilidades emergentes en las arquitecturas de contenedores y microservicios, muchas de las cuales provienen de la reutilización de componentes de código abierto. Casi el 9% de los componentes descargados a nivel global en 2018 contenían un error, el 30% de los cuales eran críticos, según una investigación de principios de este año.

No ayuda que las organizaciones sean a veces su peor enemigo. La complejidad de los sistemas multicloud y de nubes híbridas ejerce una presión cada vez mayor sobre los administradores de TI. Con tanto en juego, es inevitable que esto conduzca al error humano. Los errores de configuración se han convertido en una noticia habitual en 2019. Nuestra investigación de este año también encontró que más de la mitad de los equipos DevOps en organizaciones globales no tienen todas las herramientas adecuadas que necesitan para desempeñar correctamente su trabajo. 

Simplificando la seguridad

Entonces, ¿qué hemos hecho para ayudar a nuestros clientes a navegar en este paisaje tan volátil? A continuación enumeramos algunos ejemplos de pasos positivos que esperamos que lleven a plantar cara a los black hats:

Cloud Conformity: nuestra adquisición de este proveedor líder en Gestión de la Postura de Seguridad Cloud (CSPM) ha puesto en manos de organizaciones globales unas capacidades de aseguramiento y garantías continuas muy necesarias. Lo más emocionante de todo es la capacidad de Cloud Conformity para arrojar luz sobre entornos cloud complejos, destacando dónde existen errores de configuración y pasos sencillos para remediarlos.

Snyk: nos hemos asociado con este líder y primer desarrollador de seguridad de código abierto,  para mitigar los riesgos de DevOps derivados del código compartido. Los escaneos de imágenes de contenedores de Trend Micro destacan las vulnerabilidades y el malware en el proceso de creación de software y nuestras protecciones de parches virtuales contra la explotación en tiempo de ejecución. Tras esto, Snyk Applications Security Management permite a los desarrolladores corregir rápida y fácilmente esos errores en su código.

CloudOne: estamos combinando todas nuestras capacidades de seguridad en la nube en una plataforma optimizada para cubrir: CSPM, seguridad de apps, contenedores, cargas de trabajo, redes cloud y seguridad de almacenamiento de archivos. Es una solución automatizada, flexible y todo en uno para simplificar la complejidad de los modernos entornos híbridos y multicloud. 

Reconocimiento de analistas: sabemos que lo estamos haciendo bien. Pero es muy satisfactorio escucharlo de un analista independiente del sector como IDC. Esto ha ocurrido recientemente cuando hemos sido nombrados como el «líder dominante» en el último informe de IDC, Worldwide Software Defined Compute Workload Security Market Shares, 2018. Nuestra cuota en el mercado de la seguridad de la carga de trabajo de SDC es ahora de más de dos quintos, casi el triple de la de nuestro competidor más cercano.

Esta es la culminación de muchos años de arduo trabajo. Pero esto solo es el comienzo, pues acabamos de empezar.  

La interrupción de AWS DDoS resalta la importancia de las nubes redundantes

La semana pasada, los clientes de Amazon Web Services (AWS) se quedaron sin acceso a muchos de los servicios del gigante de la nube después de un importante ataque DDoS en sus sistemas. El incidente es un recordatorio para las organizaciones de la necesidad de estrategias multi-cloud como una forma de mitigar este tipo de riesgos. Sin embargo, la introducción de múltiples plataformas en la nube también crea más complejidad y brechas de seguridad potenciales que podrían ser explotadas.

Los proveedores como Trend Micro pueden ayudar en este sentido, consolidando la protección en entornos multi-cloud y haciéndola manejable a través de un único panel.

Caído durante horas

Vivimos en un mundo en el que las organizaciones pueden tener una falsa sensación de confianza en sus proveedores de cloud computing. Hemos llegado a asumir que estarán disponibles al 100%, todo el tiempo. Pero cuando las cosas salen mal, son sus clientes corporativos los que posiblemente soportan más la carga de la pérdida de ingresos, la reputación y la satisfacción del cliente.

El ataque DDoS que sufrió AWS afectó a su servicio web Route 53 DNS. Esto a su vez eliminó múltiples servicios que requieren una resolución DNS pública, incluyendo AWS Elastic Load Balancing (ELB), Relational Database Service (RDS) y Elastic Compute Cloud (EC2). El incidente provocó problemas para algunos clientes de hasta ocho horas el 23 de octubre. Todavía no está claro cuáles fueron los motivos del ataque, pero DDoS está aquí para quedarse.

En los últimos meses, no solo AWS, sino también grandes nombres como Wikipedia y Telegram se han visto afectados. Un informe de principios de año afirmaba que el 91% de las empresas ha experimentado tiempos de inactividad como resultado de ataques DDoS, con interrupciones que les han costado más de 162.000 euros cada una.

Multi-cloud significa múltiples desafíos

Tiene sentido que las organizaciones distribuyan este riesgo entre múltiples proveedores de cloud computing como parte de un plan eficaz de continuidad del negocio. Las estrategias multi-cloud son cada vez más comunes hoy en día: no sólo proporcionan capacidades mejoradas de recuperación ante fallos y desastres, sino que también mejoran la flexibilidad, al tiempo que permiten al cliente de TI negociar el mejor precio por los servicios que está consumiendo.

Sin embargo, estos entornos no están exentos de sus propios riesgos. Las organizaciones pueden tener dificultades para obtener una visibilidad unificada a través de múltiples plataformas y cuentas, la configuración y la gestión pueden volverse más complejas, y la falta de coherencia en los controles de seguridad puede abrir brechas en la protección. Estos desafíos se ven agravados por la escasez de conocimientos informáticos en muchas empresas modernas.

La necesidad de una seguridad unificada

Aquí es donde las organizaciones necesitan plataformas como Deep Security, que ofrecen protección unificada a través de múltiples entornos cloud, así como servidores físicos y virtuales para mejorar la seguridad y el cumplimiento. Deep Security es nuestra principal oferta para el servidor que proporciona:

  • Gestión centralizada para una visibilidad completa a través de múltiples proveedores cloud (AWS, Azure, Google Cloud, etc.) desde un único panel
  • Una completa gama de controles de seguridad intergeneracionales -incluyendo antimalware, IPS, machine learning, control de aplicaciones, análisis de comportamiento y sandboxing- bajo un único agente modular que funcionará en la infraestructura de cualquier proveedor de cloud (cargas de trabajo de Windows y Linux)
  • Automatización e integración optimizadas con herramientas de orquestación como Ansible, Puppet y Chef para ayudar a las empresas a implementar y mantener su postura de seguridad sin intervención humana.

Los CISO modernos deben responder a niveles de amenaza cada vez mayores con menos habilidades internas para ayudarse. El multi-cloud puede ayudar a mitigar los peores impactos de un ataque DDoS grave, pero para ejecutarlos de manera efectiva, las organizaciones también deben contar con soluciones de seguridad que funcionen a la perfección en estos entornos complejos.

Proteger el centro de datos moderno: Trend Micro en VMworld Europe 2019

La adopción de la nube y la virtualización ya no es competencia de aquellos que están a la vanguardia de la tecnología emergente. Las organizaciones de todo el mundo están invirtiendo en ello como parte de los esfuerzos de transformación digital diseñados para impulsar la agilidad empresarial, la eficiencia TI, el ahorro de costes y el crecimiento promovido por la innovación. Sin embargo, la migración desde entornos locales plantea sus propios retos de ciberseguridad. A menudo, las soluciones tradicionales dejan lagunas en la protección y crean nuevos problemas de rendimiento.

Trend Micro detectó estos retos y el potencial transformador de VMware y la virtualización hace más de una década. Fuimos el primer proveedor en ofrecer protección para la empresa con soporte vShield en 2009, seguido por la seguridad basada en hypervisor dos años más tarde. Hoy en día, nuestra plataforma Deep Security, que ha sido número uno en el mercado de seguridad de servidores durante casi una década, según IDC, ofrece protección en entornos físicos, virtuales y de cloud híbrida, todo desde una única consola. Además, también aseguramos la nueva oferta de VMware Cloud en AWS para simplificar aún más los despliegues híbridos en nube.

De hecho, hemos seguido ampliando nuestra oferta de seguridad en la nube más allá de las máquinas virtuales (VM) y de las cargas de trabajo para hacer frente a uno de los mayores retos a los que se enfrentan las organizaciones hoy en día: la mala configuración de la infraestructura en la nube. Nuestra reciente adquisición de Cloud Conformity ha proporcionado a los clientes de Trend Micro acceso inmediato a una plataforma de gestión de la postura de seguridad en la nube (CSPM) líder del sector, que proporciona visibilidad y control de sus cuentas en la nube para mejorar la seguridad y el cumplimiento de las normativas.

Acompáñenos en el evento

Durante la próxima edición del evento VMworld Europe que se celebrará en Barcelona en noviembre, organizaremos una serie de demostraciones en nuestro stand, sesiones de conferencias y keynotes para compartir nuestra experiencia y responder a cualquier pregunta que pueda tener.

Gracias a que Deep Security ofrece actualmente protección para millones de máquinas virtuales en todo el mundo, Trend Micro está en una posición ideal para explicar cómo las organizaciones pueden impulsar mejoras en la seguridad de los centros de datos. Sabemos lo que funciona y lo que no; dónde se encuentran los obstáculos potenciales y por qué la automatización es la clave para mantener a raya las amenazas al tiempo que se cumplen los requisitos.

Si asiste al evento, acompáñenos y visite nuestro stand P417 donde nuestro equipo de expertos ingenieros comerciales, técnicos y ejecutivos estarán a su disposición para compartir sus conocimientos. Habrá demostraciones individuales todos los días en torno a siete áreas clave:

  • Seguridad DevOps
  • Seguridad para endpoints
  • Seguridad para nubes híbridas
  • Protección de contenedores
  • Plataformas multi-cloud
  • Seguridad para la nube
  • Phish Insights – formación antiphishing para empleados

Igualmente, en el stand también contaremos con una serie de ponentes expertos que impartirán charlas diarias, cubriendo estos y otros temas, incluyendo consejos para mitigar la escasez de habilidades y el crecimiento explosivo de las plataformas en la nube.

Por último, no olvides echar un vistazo a nuestras dos keynotes en VMworld:

Martes, 5 de noviembre, 15.30 – 16.20

Seguridad pasada, presente y futura – Asegurando su infraestructura en evolución, con Bryan Webster, arquitecto principal de Trend Micro.

Jueves, 7 de noviembre, 13.30 – 14.30

Seguridad por diseño en VM, Containers and Kubernetes con NSX-T y Trend Micro, con Chris Van den Abbeele, arquitecto de soluciones globales para Data Center y Seguridad Cloud de Trend Micro. 

Como patrocinador Platinum del evento una vez más, estamos deseando darle la bienvenida a Barcelona.

Qué: VMworld Europe 2019, Stand P417

Dónde: Barcelona

Cuándo: 4-7 de noviembre de 2019