Archives marzo 2020

El grupo de hackers de sombrero negro, Maze, infectó la infraestructura de una empresa que investigaba el coronavirus con software de rescate, robó y publicó datos sensibles.

El grupo de hackers de sombrero negro, Maze, ha infectado la infraestructura de una empresa que investiga el coronavirus con software de rescate, logrando robar y publicar datos sensibles.

El pirateo de información médica

La empresa de seguridad cibernética Emsisoft dijo a Cointelegraph el 23 de marzo que los hackers del grupo Maze comprometieron a la empresa médica del Reino Unido Hammersmith Medicines Research. Los datos publicados incluyen datos sensibles sobre los voluntarios de las pruebas médicas como documentos de identidad como pasaportes, antecedentes médicos y detalles de las pruebas. El analista de amenazas de Emsisoft, Brett Callow, dijo:

«[Los datos] están en la web clara donde puede ser accedido por cualquiera con una conexión a Internet. […] Los criminales casi seguro no han publicado todos los datos que fueron robados. Su modus operandi es nombrar las compañías que han atacado en su sitio web y, si eso no los convence de pagar, publicar una pequeña cantidad de sus datos, que es la etapa en la que este incidente parece estar, como las llamadas ‘pruebas’.»

Afortunadamente, ComputerWeekly informa que la Investigación de Medicamentos Hammersmith pudo hacer los sistemas operativos al final del día. Callow señaló que «parece que fueron capaces de restaurar rápidamente sus sistemas a partir de copias de seguridad». También dijo que los datos previamente publicados en el sitio web del hacker ya no están disponibles:

«Tenga en cuenta que, desde que se publicó el informe de ComputerWeekly, los datos robados de HMR han sido ‘retirados temporalmente’ del sitio web de los delincuentes. […] Pero aquí está el problema. Otros criminales descargan los datos publicados en estos sitios de fuga y los usan para sus propios fines.»

Callow le dijo a Cointelegraph que no sabe cuán alto fue el rescate exigido. Aún así, señaló que el grupo ha pedido previamente alrededor de 1 millón de dólares en Bitcoin para restaurar el acceso a los datos y otro millón de dólares en BTC para borrar su copia y dejar de publicarla.

Como Cointelegraph informó a principios de febrero, Maze también comprometió a cinco bufetes de abogados de los Estados Unidos y exigió dos rescates de 100 Bitcoin a cambio de restaurar los datos y borrar su copia. Callow dijo que los grupos de rescate casi siempre piden que se les pague en Bitcoin:

«El 99% de las demandas de rescate son en Bitcoin y, hasta la fecha, ha sido la moneda elegida por el grupo Maze.»

Los criminales no son Robin Hood

En incidentes anteriores, Maze también publicó datos robados en foros rusos de cibercrimen recomendando «Usar esta información de la forma más nefasta que se desee». Callow también criticó «un número nada despreciable de publicaciones» que recientemente informaron sobre cómo algunos grupos de rescate, incluido Maze, detuvieron sus ataques durante la época de la pandemia. Dijo que:

«Un número nada despreciable de publicaciones informó recientemente que algunos grupos de rescate, incluyendo Maze, habían declarado una amnistía a los ataques a organizaciones médicas durante el brote de Covid-10 y desde entonces he visto que se les describe como ‘Robin Hood’. Esto demuestra claramente que, para sorpresa de absolutamente nadie, no se puede confiar en los delincuentes y es un error darles una voz».

Callow dijo que el nivel de amenaza es el mismo que siempre ha sido, o posiblemente más alto. También insistió en que «a estos grupos no se les debe dar una plataforma que les permita restarle importancia a ese hecho». Esto concuerda con el reciente informe de Emsisoft, según el cual los ataques de rescate tienen un aspecto estacional y el número de ataques aumenta durante los meses de primavera y verano.

Fuente: es.cointelegraph.com

Gobiernos, empresas y particulares permanecen atentos a cualquier información, y los ciberdelincuentes se están aprovechando de ello. Su principal ataque consiste en enviar correos informativos que parecen proceder de fuentes fiables, como la OMS y los CEO, junto a archivos maliciosos que infectan los ordenadores

Grupos de ciberdelincuentes y de hackers financiados por gobiernos de todo el mundo están aprovechando la actual pandemia del coronavirus (COVID-19) para espiar a sus respectivos adversarios, según alertan varias compañías de inteligencia de amenazas de ciberseguridad. En las últimas semanas, varios grupos de hackers vinculados a los gobiernos chino y ruso, entre otros, han estado enviando archivos maliciosos adjuntos en correos electrónicos con información sobre la pandemia.

Gobiernos

Foto: El documento malicioso de Microsoft Word sobre el coronavirus utilizado por el grupo de hackers chino conocido como TEMP.Hex. Crédito: FireEye

Las empresas de ciberseguridad FireEye y Check Point han informado de que dos grupos de hackers vinculados al Gobierno chino atacaron a Vietnam, Filipinas, Taiwán y Mongolia. Su técnica consiste en archivos adjuntos de correo electrónico con información médica real sobre el coronavirus acompañada de malware como Sogu y Cobalt Strike, según el analista de inteligencia de FireEye Ben Read. El experto afirma: «Las verdaderas declaraciones de líderes políticos y los consejos auténticos, probablemente tomados de fuentes públicas, sirvieron como señuelo para quien se preocupaba por la enfermedad«.

Un grupo ruso conocido como TEMP.Armageddon envió correos electrónicos de spear–phishing a objetivos ucranianos. El spear-phishing es una táctica que los hackers usan para enviar enlaces maliciosos específicamente diseñados que engañan a los objetivos para que hagan clic, lo que les permite infectarlos de forma inadvertida.

Los analistas de FireEye también sospechan que los hackers norcoreanos están detrás de un reciente ataque de este tipo contra un objetivo surcoreano. Al igual que China, Corea del Sur se ha visto especialmente afectada por el brote. El correo electrónico de phishing tenía como asunto en coreano «Carta sobre el coronavirus».

«La gente espera recibir información de fuentes gubernamentales, y por eso es muy probable que abra y descargue los documentos adjuntos para ver lo que pone. Resulta muy útil empezar así un ataque. El brote del coronavirus es un gran vehículo para los ciberdelincuentes, especialmente para los que dependen del phishing para iniciar sus ataques», explica el jefe de inteligencia de amenazas en Check Point, Lotem Finkelstein.

Criminales

Además de la actividad en curso de los hackers financiados por gobiernos, los ciberdelincuentes particulares también se están aprovechando del caos de la situación actual. Estos hackers ya se habían aprovechado de la ansiedad que nació a raíz del Ébola, el Zika y el SARS para ganar dinero. 

En un comunicado, FireEye afirma: «Hemos detectado a actores con motivación económica que utilizan phishing con la temática del coronavirus en muchas campañas, con un gran aumento de volumen mensual desde enero hasta hoy. Esperamos el uso continuo de señuelos con la temática del coronavirus por parte de los atacantes con motivos económicos tanto oportunistas como específicos debido a la relevancia global del tema».

Los blancos (o víctimas) «han aumentado su interés por las noticias y las novedades relacionadas con el virus, por lo que probablemente resultan más susceptibles a la ingeniería social que los engaña a hacer clic en enlaces maliciosos», explicaron los investigadores de la empresa de ciberinteligencia RiskIQ.

Aunque es relativamente simple, la técnica de phishing (enviar un enlace o archivo destinado a infectar a cualquiera que haga clic) es el tipo de ataque más común y exitoso año tras año. Los hackers que se intentan aprovechar el coronavirus se han dirigido tanto a individuos como a empresas con correos electrónicos falsos que afirmaban proceder de organizaciones confiables como los Centros para el Control de Enfermedades de EE. UU. (CDC) y la Organización Mundial de la Salud (OMS). 

Los correos electrónicos de phishing prometen desde información sobre medicamentos hasta equipos médicos. Pero, en realidad, su objetivo es lanzar el malware o robar contraseñas intentando sacar provecho del caos.

Los hackers buscan objetivos en todo el mundo, pero algunos se han centrado en los países más afectados. Italia, que hasta ahora ha visto la peor erupción del contagio fuera de Asia, ha sido el objetivo de una campaña de phishing contra empresas. Los correos electrónicos falsos, que fingen ser de la OMS, dicen ofrecer medidas de precaución en forma de un documento de Microsoft Word, pero lo que en realidad se descarga es un troyano bancario llamado Trickbot destinado a robar grandes sumas de dinero.

Aunque el remitente del correo electrónico afirma ser de la OMS, el dominio del remitente no coincide con el sitio web who.int de la OMS. 

Japón, otro país que se enfrenta a un gran brote, también ha visto campañas de hackeo selectivas que pretendían ofrecer información sobre el coronavirus de las autoridades sanitarias. Sobre este asunto, los investigadores de la empresa cibernética Proofpoint escribieron: «Los atacantes también atentan contra la credibilidad interna de las empresas. Hemos visto un ataque que utilizaba un correo electrónico con el asunto Coronavirus diseñado para parecerse a un correo electrónico interno del presidente de la compañía a todos los empleados… Este correo electrónico está muy bien elaborado y pone el verdadero nombre del presidente de la empresa».

La mejor defensa

Las plataformas online se han convertido en el estándar de facto para demostrar el elevado interés de la gente sobre la propagación de esta enfermedad. Así que no es de extrañar que también hayan empezado a aparecer portales maliciosos que piden descargar una aplicación para difundir el malware AZORult  para Windows. Dicha aplicación roba datos personales y financieros, criptomonedas y cualquier otra cosa de valor que haya en una máquina infectada. 

No es la primera vez que los hackers utilizan los titulares y la ansiedad colectiva para tratar de engañar a las víctimas, y no será la última. La mejor defensa consiste en mantener actualizada la tecnología, no descargar software ni hacer clic en enlaces de personas desconocidas y limitarse a consultar las fuentes autorizadas de noticias sobre temas tan importantes.

Fuente: www.technologyreview.es

Amazon anunció el bloqueo de un millón de productos relacionados con el Covid-19.

La pandemia del coronavirus ha sacado a la vista lo peor y lo mejor de la humanidad:

Para ilustrarlo, mientras en Italia miles de personas batallan en los centros de salud para combatir la pandemia -que ya ha causado en este país cerca de 1.800 muertes-, muchos salen a los balcones a entonar canciones populares a coro con sus vecinos.

Al mismo tiempo, decenas de personas han pensado que esta es una excelente oportunidad para hacerse millonarios.

Los estantes de numerosos supermercados se están quedando sin productos como el gel antibacterial.

Entre ellos, los hermanos Matt y Noah Colvin, quienes -como lo reportó el diario estadounidense The New York Times– tras darse el reporte del primer caso de coronavirus en EE.UU. decidieron ponerse a hacer negocios.

De acuerdo con el diario, los hermanos viajaron a través de los estados de Tennessee y Kentucky, comprando todos los envases de alcohol en gel o alcohol líquido que pudieron encontrar.

Llegaron a almacenar cerca de 17.000 envases y productos relacionados, con la idea de sacarle una ganancia ante la demanda de productos antibacteriales, que permiten protegerse del covid-19.

While millions of people search for products to protect themselves from the spread of the coronavirus, some sellers on Amazon are holding stockpiles of hand sanitizer and crucial respirator masks that many hospitals are now rationing https://t.co/mUhY8Pv4K7

— The New York Times (@nytimes) March 14, 2020

Y alcanzaron a despachar 300 botellas por entre US$8 y US$70 cada una antes de que las tiendas virtuales suspendieran sus cuentas por vender productos a un precio inflado respecto del mercado.

«Ha sido un gran golpe. Pasé de estar en una situación donde lo que estoy vendiendo podría poner a mi familia en un lugar realmente bueno financieramente a una de ‘¿qué diablos voy a hacer con todo esto?'», le dijo Matt al diario estadounidense.

Finalmente, los hermanos Colvin decidieron donar a una iglesia local todos los suministros para que sean distribuidos entre la población más necesitada.

Pero este no es el único intento de aprovechar los mercados online para hacer negocio a costa de la pandemia y del pánico: hasta el momento Amazon ha eliminado cerca de un millón de artículos que fueron parte de este tipo de especulación comercial, que también se ha registrado en la plataforma del gigante eBay.

Además, la semana anterior el gobierno italiano anunció una investigación contra las dos compañías por el «aumento injustificado de precios en productos necesarios durante esta emergencia».

Pero ¿qué más están haciendo las grandes marcas de comercio online como Amazon y eBay para controlar a quienes buscan el dinero a costa de la ansiedad generalizada?

Se han dado denuncias de un aumento de hasta 10 veces el precio de productos como mascarillas y alcohol en gel en portales de ventas virtuales.

Amazon y eBay

El gigante de las ventas por internet Amazon ha sido uno de los primeros mercados virtuales en tomar acciones para evitar la especulación comercial por la pandemia del covid-19.

Además de suspender cerca de un millón de productos que podrían estar abusando de la expansión del coronavirus, también emitió un comunicado en el que explicaba su estrategia en contra de esta modalidad comercial.

«Siempre se les exige a los vendedores que provean información exacta sobre el producto que están ofreciendo. Estamos eliminando aquellas páginas o productos que no cumplan con esta política», explicaron.

El comunicado llegó después no solo de las publicaciones como la de The New York Times sino también de la revista Wired, que denunció cómo algunos vendedores, para no incumplir las políticas de ventas de Amazon, aumentaban de forma exorbitante el costo del envío.

«Estamos decepcionados de que personas sin escrúpulos estén intentando aumentar de forma artificial el precio de artículos fundamentales para atender la actual crisis de salud que tenemos en el planeta», señaló la compañía.

Por su parte, eBay envió un mensaje a sus vendedores con la advertencia de que iba a bloquear de su portal la venta de «productos nuevos y existentes como pañuelos desinfectantes, alcohol en gel y mascarillas».

De acuerdo a la cadena estadounidense NBC, el portal ha retirado cerca de 20.000 productos.

La decisión también fue tomada por la especulación de precios relacionadas con la pandemia.

«Estos productos serán retirados debido a que hemos notado un aumento injustificado en los precios que podrían estar violando las leyes comerciales de EE.UU.», explicaron.

Solo libros sobre el Covid-19

Pero no es un caso que se limita a EE.UU. Este lunes se conoció que el gobierno de Bosnia multó a «decenas de miles» de locales comerciales que estaban especulando con los precios de productos básicos para atender la emergencia del coronavirus.

Sin embargo, los portales de ventas por internet también se enfrentan a otro problema: los productos, que a pesar de venderse al precio correcto, se publican con información falsa o que no cumple con los requerimientos médicos.

Por ejemplo, eBay también señaló que comenzaría a «remover productos que utilizaran la palabra coronavirus, Convid-19 o 2019nCov en su descripción». Solo los libros que hagan estas menciones estarán permitidos.

eBay señaló que prohibiría la venta de productos que utilizarán la palabra Covid-19 o coronavirus.

A este empeño se unió Facebook, uno de los principales portales de publicidad por internet, que anunció que prohibirá «los anuncios relacionados con la venta de mascarillas y otros productos relacionados con la pandemia».

«Nuestros equipos están monitoreando de cerca la situación de covid-19 y harán las actualizaciones necesarias a nuestras políticas si vemos usuarios tratando de explotar esta emergencia de salud pública», dijo Rob Leather, director de Productos de Facebook.

La semana anterior varios expertos habían señalado la incapacidad de los grandes portales de controlar efectivamente este tipo de acciones especulativas, en parte debido al tamaño de las compañías.

«Esta es la tecnología que ha inspirado a todo el mundo a poner productos en una plataforma en unos volúmenes fuera de lo normal», le dijo a la revista virtual Recode Justin Leigh, director de Ideoclick, una empresa que ayuda a las marcas de consumo a vender y publicitar en Amazon.

«Cuanto más grande es el portal, cuánto mayor es la tecnología, mucho mayor es el trabajo que tiene que hacer para hacer su labor y cumplir con las reglas», añadió.

Fuente: www.bbc.com

Xiaomi declara que su nueva mascarilla tiene una eficacia de purificación de aire de 95%.

Si bien algunos expertos afirmaron que las mascarillas  no son la mejor forma de prevención lo cierto es que se han agotado rápidamente en los países que se vieron afectados por el virus. La empresa Xiaomi hace algunos días ya había decidido ayudar a Italia, mandando máscaras y suministros. Pero ahora, decidió ir un paso más allá.

El fabricante chino lanzó una mascarilla electrónica. Se trata de Xiaomi Youpin Q5S Electric Anti Haze Sterilizing Mask. Un producto nuevo de la marca que ya está disponible por algunas páginas de venta de internet. Aún no aparece en la página oficial de Xiaomi, pero fue subido un video al canal de Youtube de Xiaomi Mijia, en el que se explican las características del producto. Xiaomi Mijia es una sub-marca de Xiaomi dedicada a productos para el hogar. Se traduce como Xiaomi Smart Home, o «casa inteligente».

La gracia de este producto, es que posee un filtro dinámico que trabaja permanentemente para limpiar el aire que llega a nuestros pulmones. Está hecho de silicona, para amoldarse cómodamente a la cara del usuario, y tiene una válvula de salida de aire.

¿Sirve para combatir el Covid-19?

Esta mascarilla no fue diseñada especialmente para evitar el contagio del coronavirus. En realidad, está diseñada para combatir la polución y la neblina que se forma en muchas ciudades chinas durante el otoño y el invierno. Sin embargo, sirve para evitar varias partículas que se encuentran en el aire y pueden ser nocivas. Con ella puedes protegerte de respirar partículas de contaminación, polen, polvo, pelos de animales, gases que emiten los vehículos e incluso humo de tabaco.

Xiaomi declara que su eficiencia de purificación de aire es superior al 95%, una cifra bastante alta. Si bien, ninguna mascarilla puede asegurar una completa protección ante los gérmenes, esta hace un buen trabajo en filtrar elementos nocivos que es mejor no respirar. Su batería se carga mediante USB y dura 5 horas aproximadamente.

Ya está disponible en algunas tiendas online, se encuentra en dos colores y comenzarán a enviarse desde el 15 abril.

Fuente: www.fayerwayer.com

«Los fraudulentos enseguida aprovechan temas candentes para generar correo basura, anuncios publicitarios y sitios web falsos. Y en este caso la historia se está repitiendo», advierte Andréi Yankin, director del Centro de seguridad informática de la compañía Jet Infosystems.

 

«Si un usuario sigue el enlace o abre el archivo adjunto, un programa maligno como el troyano Emotet se cuela en su ordenador», alerta Diáguilev.

Dado que muchos empleados deberán trabajar desde su casa debido el avance de la pandemia de COVID-19, compartimos unas recomendaciones para que la organización pueda mantenerse productiva y a la vez segura.

El brote de coronavirus (COVID-19) ha sido oficialmente clasificado como una pandemia por la Organización Mundial de la Salud (OMS), lo que significa que la infección se está acelerando en varios países al mismo tiempo. Los Estados Unidos de América ha declarado la prohibición de viaje a 28 países europeos, una medida que también están adoptando en otros países a lo largo del mundo, incluidos varios de América Latina. Muchos países también han decidido cerrar escuelas y universidades, y se han promovido campañas y establecido prohibiciones para evitar grandes cúmulos de personas.

Las grandes compañías, como Google y Microsoft, están alentando u ordenando a sus empleados que trabajen de manera remota desde sus casas. Para las empresas tecnológicas modernas, la infraestructura y las políticas necesarias para el trabajo remoto ya están establecidas y probablemente la mayor parte de los trabajadores sean usuarios de computadoras portátiles.

Sin embargo, para muchas empresas y organizaciones, fundamentalmente las PyMEs, es probable que la situación sea muy diferente. Trabajar desde la casa es una opción que se limita a unos pocos, y principalmente para quienes utilizan solamente el correo electrónico y otros sistemas que no son operativos. El sector educativo es un buen ejemplo: las universidades han estado ofreciendo educación a distancia como una opción desde hace ya algún tiempo, mientras que las escuelas primarias y secundarias son más dependientes de la presencia del docente y de los alumnos para llevar adelante las tareas de aprendizaje. Este escenario también debe considerar el personal administrativo y de operaciones de la escuela, ya que probable sean trabajadores con menos capacidad de movilidad y que usen dispositivos de escritorio en lugar de computadoras portátiles.

Dividir la organización en unos pocos grupos con diferentes requisitos y el tratamiento de las necesidades de cada uno para lograr el éxodo masivo puede parecer un enfoque simplista, pero probablemente sea esencial dada la urgencia en algunos casos. Usando la educación como ejemplo, hay estudiantes (los clientes), docentes, personal de administración y de operaciones. La escuela no puede funcionar sin una participación significativa de estudiantes, los maestros necesitan herramientas para realizar conferencias virtuales y los equipos de administración necesitan acceso a la red, y esto es solo lo mínimo.

Para ser productivo, hay requisitos comunes que todos los trabajadores remotos necesitan. Como alguien que ha trabajado de forma remota durante la mayor parte de su vida laboral, puedo dar fe de los dos últimos:

• Una computadora
• Una buena conexión a Internet
• Aplicaciones de chat y para realizar videoconferencia
• Un espacio de trabajo dedicado (preferiblemente)
• Un teléfono (opcional)
• Automotivación y disciplina
• Una rutina estricta

¿Por qué el teléfono es opcional? En el entorno actual puede no ser necesario, especialmente porque la mayoría de las aplicaciones de chat permiten realizar llamadas directas. La necesidad de un teléfono puede ser más un requisito comercial y no tanto un dispositivo esencial.

Es importante destacar que las empresas y organizaciones también deben prepararse a sí mismas y también a sus empleados para enfrentar los riesgos vinculados a la ciberseguridad con el trabajo remoto. ¿Cuáles son algunos de los desafíos que deben abordarse?

Seguridad física de los dispositivos de la empresa

Los empleados estarán exponiendo a un mayor riesgo los dispositivos de la empresa en la medida que no tengan presente la seguridad del lugar de trabajo. Como empleado remoto, a menudo voy a trabajar a la biblioteca pública como una forma de socialización; ya que hay espacios de trabajo compartidos e individuales. Los dispositivos deben protegerse contra pérdidas y robos con opciones como:

• El cifrado de disco completo garantiza que, incluso si el dispositivo cae en las manos equivocadas, no se puede acceder a los datos de la compañía.
• Cierre sesión cuando no esté usando la computadora, tanto en casa como en lugares públicos. Que un niño curioso envíe accidentalmente un correo al jefe es algo que puede evitarse fácilmente, ya que al cerrar sesión limitamos la oportunidad de que alguien acceda a la máquina mientras le damos la espalda.
• Política de contraseña segura: aplique contraseñas en el arranque, establezca tiempos para la suspensión del equipo según el tiempo de inactividad y prohíba las notas con contraseñas pegadas al equipo: ¡la gente todavía hace esto!
• Nunca pierda de vista su dispositivo o lo deje a la vista pública. Si está en el auto, entonces debería guardarlo en el baúl.

¿Qué hay del entorno tecnológico del hogar?

Lo ideal sería solicitar a los empleados que auditen las vulnerabilidades de su propio entorno doméstico antes de conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los empleados tomen medidas para asegurarlos con contraseñas seguras y actualizando tanto el firmware como el software a las últimas versiones disponibles.

Considere la posibilidad de promocionar, o incluso exigir, el uso de una aplicación de monitoreo antes de permitir que los dispositivos de trabajo se conecten a las redes domésticas. El escaneo o monitoreo resaltará los dispositivos con vulnerabilidades conocidas, la existencia de software o firmware obsoleto o la presencia en uso de contraseñas predeterminadas que deberían cambiarse.

Acceso a la red y sistemas de la compañía

Establezca si el empleado necesita acceso a la red interna de la organización o simplemente acceso a servicios y correo electrónico basados ​​en la nube. Y tenga en cuenta si debe otorgarse el mismo nivel de acceso a los datos confidenciales disponibles en el sitio cuando el empleado está trabajando de manera remota.

• Si se necesita acceso a la red interna de la organización:
  • Recomiendo que esto solo se permita desde un dispositivo que sea propiedad de la organización, para que el control total del dispositivo que se conecta esté bajo el control del equipo de seguridad y del departamento de tecnología.
  • Utilice siempre una VPN para conectar trabajadores remotos a la red interna de la organización. Esto evita ataques de Man-in-the-Middle desde ubicaciones remotas: recuerde que, dado que ahora está trabajando desde su casa, el tráfico ahora fluye a través de las redes públicas.
  • Controle el uso de dispositivos externos, como los de almacenamiento USB, así como dispositivos periféricos.
• Permitir el acceso al correo electrónico y a los servicios en la nube desde el propio dispositivo de un empleado:
  • Aplique para antimalware, firewalls, etc., la misma política de seguridad que aplica para una computadora administrada por la organización. Si es necesario, proporcione al empleado una licencia para las mismas soluciones utilizadas en los dispositivos propiedad de la organización. Si necesita licencias adicionales, póngase en contacto con el proveedor. Puede que ofrezcan soluciones para cubrirlo ante un evento como este sin precedentes.
  • Limite la capacidad de almacenar, descargar o copiar datos. Una brecha de datos puede ocurrir desde cualquier dispositivo que contenga datos confidenciales de la compañía.
  • Considere el uso de máquinas virtuales para proporcionar acceso: esto mantiene al empleado en un entorno controlado y limita la exposición de la red de la empresa al entorno doméstico. Esto puede ser más complejo de configurar, pero podría ser una solución superior a largo plazo.
• La autenticación multifactor (MFA) garantiza que el acceso, ya sea a servicios basados ​​en la nube o acceso completo a la red, solo por usuarios autorizados. Siempre que sea posible, use un sistema basado en aplicaciones o en un token de hardware para generar códigos únicos que otorguen acceso autenticado. Como puede haber presión de tiempo para implementar una solución, una solución basada en aplicaciones elimina la necesidad de adquirir y distribuir hardware. Los sistemas basados ​​en aplicaciones proporcionan mayor seguridad que los mensajes SMS, especialmente si el dispositivo utilizado para recibir los códigos no es un dispositivo administrado por la organización y podría estar sujeto a un ataque de SIM Swap.

Herramientas colaborativas y procesos de autorización

Puede parecer extraño poner estos dos elementos bajo el mismo título, pero uno puede ayudar a prevenir problemas con el otro.

• Proporcione acceso a sistemas de chat, video y conferencias para que los empleados puedan comunicarse entre sí. Esto proporciona las herramientas de productividad necesarias y ayuda a los empleados a mantenerse en contacto con sus colegas.
• Use las herramientas colaborativas para protegerse contra instrucciones o transacciones no autorizadas. Es probable que los ciberdelincuentes aprovechen la oportunidad de que muchas organizaciones implementen el teletrabajo para lanzar ataques de Business Email Compromise (BEC). En estos casos un actor malintencionado envía un mensaje falso, catalogado como urgente, solicitando la transferencia inmediata de fondos, sin la posibilidad de validar la solicitud en persona. Asegúrese de utilizar los sistemas de videoconferencia / chat como parte formal del sistema de aprobación para que la validación se realice “en persona”, incluso cuando sea remota.

Capacitación

Como ya hemos mencionado en otro artículo, hay numerosas estafas circulando que utilizan el tema sobre COVID-19 de distintas maneras. Cuando los empleados están fuera de su lugar de trabajo, en lugares más informales, pueden considerar hacer clic en los enlaces que reciben, ya que no hay colegas que puedan observarlos viendo ese video divertido o visitando una página web.

Las capacitaciones de concientización sobre seguridad informática suelen ser un requisito anual para los empleados de muchas empresas. Sería prudente hacer un repaso para ayudar a evitar el error humano que los ciberdelincuentes tanto intentan explotar. Considere ejecutar una campaña y un requisito de capacitación antes de que el empleado comience a trabajar de forma remota … o tan pronto como sea posible.

Soporte y gestión de crisis

En el apuro por proporcionar acceso remoto, no sacrifique la ciberseguridad o la capacidad de administrar sistemas y dispositivos. La capacidad de brindar soporte a los usuarios que trabajan de manera remota será esencial para garantizar un funcionamiento sin problemas, especialmente si los usuarios quedan en cuarentena debido a problemas de salud. Los trabajadores remotos deben tener protocolos de comunicación claros, tanto para con el área de soporte de TI como para la gestión de crisis si se enfrentan a problemas inusuales o si sospechan que podrían ser el resultado de una brecha.

Existen, por supuesto, consideraciones adicionales desde una perspectiva tecnológica; por ejemplo, eliminar o limitar el uso de RDP, como se detalla en una reciente publicación de mi colega Aryeh Goretsky.

Más allá de la tecnología y los procesos funcionales, existen otros factores clave para un trabajo remoto efectivo:

• Comunicación: considere realizar llamadas grupales una vez al día, informar a las personas sobre la situación y darles a todos la oportunidad de compartir experiencias y problemas.
• Capacidad de respuesta: el trabajo remoto no es lo mismo que trabajar en un entorno de oficina. Establezca pautas claras de qué tan rápido se espera que un trabajador remoto responda a una solicitud, dependiendo del tipo de comunicación, ya sea un correo electrónico, una invitación de calendario, etc.
• Informes: los gerentes deben implementar procedimientos que les permitan determinar si los trabajadores remotos están haciendo el trabajo: reuniones grupales obligatorias, colaboración en equipo, informes diarios / semanales / mensuales.
• Horario de trabajo: acuerde un método de inicio y finalización de la jornada laboral, esto puede ser tan simple como pedir a los miembros de un chat grupal que digan “buenos días” cuando comienza su jornada.
• Salud y seguridad: ¿deben llevarse a casa los teclados ergonómicos de la oficina para proporcionar la misma comodidad a la que están acostumbrados los empleados? Trabajar desde casa no elimina la responsabilidad de proporcionar un buen ambiente de trabajo.
• Responsabilidad: garantice la cobertura de los activos de la empresa mientras estén en manos del empleado.
• Soporte técnico: envíe una lista con los contactos útiles. De esta manera los trabajadores remotos sabrán con quien comunicarse cuando sea necesario.
• Socialización: reúna a los trabajadores remotos, especialmente de manera virtual. La interacción social es una parte importante de la motivación y aumenta la productividad. Considere un esquema de amigo o mentor para que cada empleado esté emparejado y pueda resolver problemas, desahogarse, compartir o socializar virtualmente.
• Accesibilidad: establezca una política de gestión virtual de puertas abiertas, tal como la hay en la oficina. Asegúrese de que las personas sean accesibles y se puedan involucrar fácilmente.

No asuma que todos los empleados pueden cambiar a una dinámica de trabajo remoto de manera efectiva y con poca necesidad de asistencia u orientación. El hogar no es la oficina y pueden necesitar una ayuda considerable para adaptarse.

Filosóficamente, es posible que el mundo nunca vuelva a ser el mismo, ya que este mandato de trabajo remoto masivo podría resultar ser un experimento social/laboral que pocas empresas hubieran emprendido si no fuera por esta situación particular. ¿Alguna vez volveremos a nuestra oficina de la misma manera?

Fuente: www.welivesecurity.com

Guildma es el troyano bancario avanzado que más está afectando en los últimos meses a bancos de Latinoamérica, con una especial incidencia en Brasil. En el país sudamericano tiene ya un impacto diez veces mayor que cualquier otro troyano analizado en la región por ESET, la mayor empresa de ciberseguridad de la Unión Europea.

El pico de actividad de Guildma se alcanzó en agosto de 2019, con hasta 50.000 ataques diarios distribuidos exclusivamente a través de correos electrónicos con adjuntos maliciosos.

En una de sus versiones más recientes, Guildma emplea una nueva forma de distribuir los servidores de mando y control abusando de perfiles de Facebook y YouTube. Sin embargo, parece que los ciberdelincuentes han dejado de utilizar Facebook casi de forma inmediata para centrarse completamente en YouTube.

 “Guildma hace uso de métodos muy innovadores de ejecución y de técnicas de ataque sofisticadas gestionadas desde su servidor de mando y control, por lo que los delincuentes disponen de una mayor flexibilidad para reaccionar a las medidas de defensa implantadas por los bancos afectados”, advierte Robert Suman, el investigador de ESET que lidera la investigación sobre este malware.

Guildma utiliza un backdoor, o puerta trasera, con diferentes funcionalidades, como la posibilidad de realizar capturas de pantalla, capturar las pulsaciones del teclado, emular el teclado y el ratón, bloquear accesos directos (por ejemplo, deshabilita la función Alt+F4 para complicar el bloqueo de las ventanas falsas que muestra), descargar y ejecutar archivos e incluso reiniciar la máquina.

Además, Guildma está compuesto por, al menos, diez módulos y es capaz de aprovechar herramientas ya existentes en los ordenadores infectados y reutilizar sus propias técnicas. En una de las primeras versiones descubiertas en 2019, por ejemplo, Guildma era capaz de afectar a entidades financieras de fuera de Brasil, aunque ESET no ha encontrado campañas masivas fuera del país en los últimos 14 meses.

Fuente: www.muypymes.com

La Comisión Europea ha tomado la decisión de recomendar la utilización de Signal para asegurar la confidencialidad de las comunicaciones entre sus miembros.

Las razones por las que las Comisión Europea ha tomado la decisión de usar Signal derivan en buena medida por la transparencia que ofrece dicho servicio de mensajería frente a alternativas como WhatsApp y Telegram. El primero, aunque su protocolo se basa en el de Signal, es software privativo, mientras que el segundo, según el medio Politico, “se enfrenta a preocupaciones similares por la falta de transparencia sobre cómo funciona su cifrado”, ya que su servidor es privativo.

Signal es un servicio de mensajería con cifrado de extremo a extremo software libre tanto a nivel del cliente como del servidor. El hecho de haberse centrado fuertemente en la privacidad y su alto nivel de transparencia le ha granjeado muchos adeptos, sobre todo entre activistas políticos y periodistas que trabajan en países donde los derechos fundamentales son reprimidos. Su desarrollo es responsabilidad de Signal Foundation, una fundación sin ánimo de lucro que arrancó fuerte gracias a los 50 millones de dólares donados por Brian Acton, cofundador de WhatApp y todo un exponente de directivo de gran empresa arrepentido que desde hace tiempo defiende la privacidad.

Volviendo a las razones de la apuesta por Signal por parte de la Comisión Europea, el origen también podría estar en que el sistema empleado por la Unión Europea no estaría dando los resultados deseados: “En diciembre de 2018, la firma de investigación de seguridad cibernética Area 1 Security dijo que descubrió que miles de cables diplomáticos se descargaron del sistema COREU (o cortesía) de la UE, que utilizan los gobiernos nacionales y las instituciones de la UE para intercambiar información diaria sobre política exterior”, explica Politico.

En otro incidente descubierto en junio del pasado año, “la delegación de la UE en Moscú había sufrido lo que parecía ser una violación de seguridad cibernética en 2017, con dos computadoras presuntamente hackeadas para robar información diplomática. La Comisión dijo que estaba investigando el tema e informó a sus principales diplomáticos.”

La Unión Europea se encuentra ahora en proceso de crear un nuevo borrador sobre el que se plasmará su nueva estrategia de ciberseguridad, mediante el cual se podría proponer la creación de una unidad conjunta de ciberseguridad para apoyar a los países y organizaciones de la Unión Europea en caso de recibir estos un ciberataque. Además, los funcionarios de la Comisión Europea ya están obligados a cifrar los correos electrónicos con información confidencial no clasificada, existiendo normas de seguridad todavía más estrictas para la información clasificada.

En resumidas cuentas, parece que la Unión Europea necesita renovar sus protocolos y sistemas de ciberseguridad para proteger sus datos. Por otro lado, y a pesar de que el servidor y el cliente son software libre, Signal funciona de forma centralizada, por lo que a la Unión Europea posiblemente le hubiera convenido más apostar por Matrix, que ofrece la posibilidad de tener una infraestructura de comunicación descentrazliada.

Fuente: www.muylinux.com

Se han detectado varias campañas en distintos países del mundo en las que los cibercriminales utilizan el coronavirus como excusa para comprometer el equipo de sus víctimas o robar datos personales.

us datos son muy importantes, aunque no lo creas.

Desde distribuir códigos maliciosos como Emotet o Trickbot, entre otros, hasta realizar campañas de engaño que buscan robar datos personales de los usuarios, son algunas de las acciones maliciosas que los cibercriminales están llevando adelante en países como Italia, España o Colombia. Como suele ocurrir, los actores maliciosos aprovechan temas actuales y de interés masivos, como es en este caso el Coronavirus (COVID-19), para realizar campañas de phishing que suplantan la identidad de organismos o entidades oficiales y de esa manera engañar y comprometer a más víctimas. A continuación, compartimos algunas campañas recientes que han sido alertadas por autoridades locales y organismos internacionales para evitar que los usuarios caigan en este tipo de engaños.

Campaña en Colombia suplanta identidad del Ministerio de Salud

Una de las alertas más recientes fue comunicada por el Ministerio de Salud de Colombia, quien a través de su cuenta de Twitter advirtió la existencia de una campaña que circula por correo electrónico y por WhatsApp, suplantando la identidad del Ministerio de Salud, en la que envían un adjunto (archivo PDF) para distribuir un código malicioso que se instala en el dispositivo de la víctima. El objetivo de esta campaña es robar información personal, asegura el organismo de salud colombiano.

⚠️CUIDADO⚠️ Por e-mail y WhatsApp circula información falsa, a nombre del @MinSaludCol, que advierte la llegada del coronavirus a su sector, junto con un archivo que se instala en su dispositivo móvil y roba información personal. Informate solo en canales oficiales de MinSalud pic.twitter.com/4ZFtumFmsr

— MinSaludCol (@MinSaludCol) March 5, 2020

Campaña en España se hace pasar por el Ministerio de Sanidad

Por su parte, la Guardia Civil en España también alertó a los usuarios a través de su cuenta de Twitter sobre una campaña que al parecer solo circula por WhatsApp, en la que se suplanta la identidad del Ministerio de Sanidad para compartir recomendaciones relacionadas sobre este virus que tiene paralizado al mundo entero. El mensaje incluye una URL en la que supuestamente se venden mascarillas o barbijos, cuando en realidad lo que busca la campaña es robar datos personales de las víctimas.

#NiCaso a este mensaje que circula por #Whatsapp. Suplantan al Ministerio de Sanidad @sanidadgob para dar supuestas “recomendaciones” contra el #coronavirus #COVID19 y un enlace para venderte mascarillas. pic.twitter.com/hzw4f2oWhc

— GDT Guardia Civil (@GDTGuardiaCivil) March 1, 2020

Advertencia de la Organización Mundial de la Salud por campañas maliciosas en su nombre

La semana pasada la Organización Mundial de la Salud (OMS) emitió un comunicado alertando también ante la existencia de campañas que circulan a través del correo en la que los cibercriminales utilizan técnicas de ingeniería social para hacerle creer al usuario que se trata de un correo legítimo de la OMS con el objetivo de robar dinero o información personal.

Según reportaron distintos medios, en Italia ha estado circulando a través del correo una campaña de spam de estas características en la que simulan ser de la OMS con la intención de instalar el malware TrickBot al convencer a las potenciales víctimas para que descarguen un archivo Word adjunto que tenía embebido un código malicioso. Según los investigadores que detectaron y analizaron esta campaña, una vez descargado TrickBot en el equipo de la víctima, la amenaza recolectará información del dispositivo, robará datos y credenciales de administrador e intentará moverse lateralmente a través de la red en busca de más información para luego eventualmente descargar otra amenaza.

En el caso de la campaña detectada en Italia, el asunto del correo pretende hacer creer a la víctima que se trata de recomendaciones para estar protegidos ante la propagación del Coronavirus en nombre de un doctor de la OMS.

Japón y una campaña que distribuye Emotet

Hacia fines de enero comenzaron a verse campañas maliciosas que utilizaban al Coronavirus como pretexto. En Japón se detectó una campaña de spam intentando distribuir Emotet en la que los operadores detrás de la misma pretendían convencer a las potenciales víctimas que se trataba de una notificación oficial con recomendaciones y medidas preventivas a raíz de la llegada del virus a la isla. A raíz de esto fue que el CERT de Japón publicó EmoChek, una herramienta para detectar la presencia de Emotet en el equipo de quienes crean pueden haber sido comprometidos.

Otros países en los que se han reportado casos similares ha sido Ucrania. En este país ha estado circulando un correo en nombre del centro de salud pública ucraniano que incluye un archivo Word que también utilizaba documentos de Office para ocultar código malicioso con funcionalidades de backdoor, robar datos del portapapeles, contraseñas y con capacidad para realizar capturas de pantalla.

Estas son solo algunas de las advertencias que han sido divulgadas en las últimas semanas a lo largo del mundo, pero no son las únicas. En Estados Unidos también han estado presentes campañas a través del correo, mensajes de texto e incluso redes sociales que se aprovechan del Coronavirus, advirtió la Comisión Federal del Comercio (FTC, por sus siglas en inglés).

Recomendamos a los usuarios a estar atentos. Si llegan a recibir un correo o mensaje que incluye un enlace o un archivo adjunto utilizando el tema del Coronavirus, recuerden que puede ser un engaño, por lo que se recomienda no descargar ni abrir el archivo y tampoco el enlace.

Fuente: www.welivesecurity.com

Durante mucho tiempo se creyó que era prácticamente imposible que un virus u otro tipo malware impactaran a Linux. De hecho, se consideraba que los sistemas operativos basados en Linux eran la perfecta combinación entre las bondades del código abierto y una seguridad sólida. Sin embargo, los sistemas operativos basados ​​en Linux ahora se ven cada vez más como un blanco de ataque valioso y viable.

Este cambio de pensamiento es en parte consecuencia de una creciente comprensión por parte de los aficionados a Linux y también de los administradores de sistemas, de que un sistema Linux comprometido, como un servidor web, proporciona a los atacantes un excelente “retorno de la inversión”. Igual de importante, las investigaciones de malware realizadas en los últimos años le han dado una mayor visibilidad a las amenazas que enfrentan los sistemas Linux.

Todavía hay muchas razones que justifican la creencia popular que asocia a Linux con una mayor seguridad, aunque no perfecta. Sin embargo, es importante destacar que esta creencia no distingue entre las distintas distribuciones y casos de uso de sistemas basados ​​en Linux, al tiempo que no tiene en cuenta la existencia de varias amenazas.

Las distribuciones de Linux para escritorio siguen siendo ampliamente superadas en número por los sistemas Windows (y también por las máquinas con macOS). Este estado de nicho sin dudas juega un papel en la relativa escasez de malware basado en Linux. Pero cambie su mirada sobre los servidores públicos y se volverá evidente que hay mucha más actividad maliciosa cocinándose a fuego lento bajo la tapa de Linux. Lo mismo podría decirse de todo tipo de dispositivos integrados, equipos de red y teléfonos inteligentes Android que, de alguna forma, también se basan en Linux.

Centrémonos aquí en los servidores, sobre todo porque llevan la peor parte de los ataques de malware contra sistemas basados en Linux. Las distribuciones Linux para servidores están en el corazón de la mayoría de los data centers y el sistema operativo es grande para empresas que tienen múltiples formas y tamaños. De hecho, gran parte de la web actual, incluidos los servidores operados por Google, Facebook y Twitter, funciona con Linux.

Por lo tanto, no debería sorprendernos que en la historia reciente se hayan visto ejemplos de daños causados ​​por malware que comprometieron la instalación de un servidor Linux. Un servidor vulnerable es un blanco invaluable para varios tipos de acciones nefastas, incluido el robo de datos personales y credenciales de acceso, redirección de tráfico web, ataques DDoS y minería de criptomonedas. Es importante destacar que también se puede abusar del servidor para alojar servidores de comando y control (C&C) para otro código malicioso y para lanzar campañas de spam que desplieguen malware; especialmente malware dirigido a sistemas Windows.

Antecedentes

Ni siquiera es necesario irse muy lejos para encontrar ejemplos ilustrativos de huecos en la armadura de malware de Linux. Hace poco más de un año, investigadores de ESET expusieron una gran cantidad de backdoors OpenSSH, un arma elegida por los atacantes que buscan arrebatar a los administradores el control de los servidores. Los investigadores descubrieron 21 familias de malware basadas en Linux, incluida una docena que no se había documentado antes. Casi todas las cepas tenían funcionalidades de robo de credenciales y de backdoor.

Esta investigación fue el resultado de tres años de trabajo que finalmente ofreció información única sobre el ecosistema de malware de Linux. Sin duda, no fue un esfuerzo aislado, ni ocurrió de la nada. Los investigadores emprendieron la búsqueda con los conocimientos proporcionados por su galardonada investigación sobre la Operación Windigo, que había acorralado alrededor de 25,000 servidores, la mayoría de ellos con Linux, en una de las botnets de servidores más grandes que se haya conocido. Las máquinas comprometidas fueron utilizadas para el robo de credenciales, campañas de spam, redirección de tráfico web a contenido malicioso y otras acciones nefastas.

En el corazón de la campaña se había ejecutado, sin ser detectado durante al menos tres años, el backdoor de Linux/Ebury. Incluso antes de que esta pieza de malware se instalara en un servidor, los atacantes harían que Ebury verificara si el servidor ya estaba cargado con otro backdoor SSH. Fue esta rutina la que provocó la búsqueda de familias de malware OpenSSH activas in-the-wild.

A lo largo de los años, los investigadores de ESET han realizado otros descubrimientos que se agregaron al conjunto de conocimientos sobre el malware para servidores Linux. Entre otras cosas, se descubrió que Windigo estaba vinculado a uno de sus descubrimientos anteriores: Linux/Cdorked, uno de los backdoors más sofisticados dirigidos en ese momento a servidores web Linux Apache. Además, Windigo trajo recuerdos de la investigación de ESET sobre Mumblehard, otra botnet que zombificó a miles de servidores Linux y que finalmente fue eliminada en un esfuerzo internacional de aplicación de la ley con el apoyo de investigadores de ESET.

¿Cómo capturar el malware?

Los investigadores de ESET están ansiosos por compartir sus hallazgos con los profesionales de Linux, que pueden estar inadecuadamente entrenados para combatir el malware dirigido a servidores. La próxima Conferencia RSA 2020 contará con un taller realizado por el experimentado investigador de malware de ESET Marc-Etienne M.Léveillé, quien ha sido una figura central en la mayoría de las investigaciones descritas anteriormente. El taller de Marc-Etienne, Hunting Linux Malware for Fun and Flags, brindará a los administradores de sistemas y a otros profesionales de TI una excelente oportunidad para enfrentar la amenaza que supone el malware para Linux y aplicar las conclusiones en sus propios entornos de servidor.

Compartimos una entrevista que publicaremos con Marc-Etienne en la que nos brinda más detalles sobre el ecosistema de malware para Linux en la actualidad.

Fuente: www.welivesecurity.com