Interceptor de archivos ejecutables – Filtro de contenidos

Interceptor de archivos ejecutables – Filtro de contenidos

Una de las promesas más importantes de nuestro servicio gestionado de Filtro de Spam es proteger a nuestros clientes contra correos maliciosos. En particular, la detección automática de spam y software malicioso en los últimos meses ha crecido en importancia – Locky, Tesla, Petia ¡¡han anunciado su llegada!!.  Una protección adicional, que se puede ajustar de forma individual, es el filtro de contenidos. Con él, los clientes pueden determinar el manejo de los archivos adjuntos incluidos en correos entrantes o salientes.

 

Captura de pantalla de la configuración del filtro de contenidos

Configuración del Filtro de Contenidos

De esta forma es posible definir el tamaño máximo de los archivos adjuntos; aún más importante, sin embargo, es la capacidad del filtro de contenidos para detectar ciertos tipos de extensiones de archivo para las cuales la entrega de correos que incluyan este tipo de archivos adjuntos sea bloqueada.

 

Concretamente esto significa: los administradores de TI que deseen evitar que sus usuarios reciban correos electrónicos con archivos adjuntos con la extensión .exe, solo deberán activar el filtro de contenidos (en caso de que no esté activado) y en el campo libre incluir .exe.  Como servicio especial y para facilitar su uso, hemos incluido una colección de extensiones, en la configuración por defecto: .exectutables, .mediafile, .xlsmacro o docmacro. Por ejemplo, al incluir  “.executable”, el filtro de contenidos bloquea automáticamente las 58 terminaciones ejecutables. Esta colección de extensiones se mantiene actualizada continuamente para asegurar la protección más alta posible.

 

Al incluir la extensión .mediafile, los correos que incluyan las extensiones .wav, .mp3, .mid. Mpg  serán filtrados automáticamente.  Los dos últimos términos genéricos se utilizan para filtrar correos con macros de ficheros excel y Word, que típicamente incorporan enlaces a virus de tipos extorsivo. Por cierto, el filtro de contenidos puede configurarse, no solo para un dominio, sino también para grupos de usuarios dentro del mismo dominio.

 

Si no lo tienen activo, recomendamos a todos los clientes y partners de Hornetsecurity, que activen con urgencia  – sin coste alguno – el filtro de contenidos, y la extensión “.executable” a la lista de extensiones para el bloqueo. Aumentando, por tanto, su protección.  En la captura de pantalla adjunta puede apreciar el proceso.

 

Nota: Este artículo ya había sido publicado con anterioridad, pero lo hemos actualizado y adaptado a las nuevas amenazas tipo ransomware.

 

“Nuestros filtros de virus se actualizan rápidamente”

“Nuestros filtros de virus se actualizan rápidamente”

Los virus “Krypton” como “Locky” son actualmente uno de los temas centrales de la seguridad TI, debido a que son muy peligrosos. ¿Cómo podemos proteger a nuestras compañías y qué medidas pueden ofrecen empresas como Hornetsecurity para dar una seguridad efectiva? Para traer un poco de claridad al asunto, hemos hecho un par de preguntas a Daniel Hofmann.

 

Desde hace poco tiempo el virus Locky está en boca de todos: ¿Pero qué es lo que realmente hace y por qué es tan peligroso?

El virus “Locky“, como funciona hoy, existe ya en una forma parecida desde principios de Diciembre. Se envía en un documento office que llega como archivo adjunto al correo electrónico, cuando el destinatario lo abre, se ejecuta un programa Macro.

Los primeros virus macro en circulación fueron troyanos bancarios en línea, que desviaban los pagos a cuentas en el extranjero. El tipo de virus que circula actualmente además de cifrar todo el contenido del disco duro, puede también encriptar unidades de red e incluso copias de seguridad.

La peligrosidad del virus se debe a que los e-mails portadores están hechos de una manera muy profesional, por lo que es muy difícil identificarlos. Por ejemplo, con el contenido del correo el destinatario estará convencido de que no ha pagado una factura,  y al abrir el contenido del documento, se activa inmediatamente el virus macro y encripta el contenido de la computadora.

Naturalmente, luego la víctima quiere recuperar sus datos decodificados, entonces se le pedirá que page por ellos un rescate. Sin embargo, no recomiendo el pago de ese rescate, porque no hay ninguna seguridad de que reciba el código de descifrado.

 

¿Cómo pudo propagarse este mal y qué daños pudo producir?

La característica especial de este tipo de virus es que el atacante desarrolla 2-3 nuevas formas de ataque diariamente y prueba sus estrategias en el escáner de virus conocido hasta que este ya no las reconozca.

Entonces, envía el virus. Los especialistas de malware se encargan de llevar a cabo el traslado rápido y compacto.

También el aspecto regional juega un papel importante: los correos con virus se adaptan a las zonas horarias e idiomas locales, también el contenido de los correos electrónicos enviados supuestamente por una empresa remitente que el receptor conoce. Los correos se envían generalmente durante el día, de lunes a jueves.

Si nos fijamos en los virus de macro que circulan actualmente, se puede notar que existe un grupo que controla todo el ciclo, desde que el virus infecta el sistema, su desarrollo y  hasta la entrega del pago previsto. En una forma extremadamente profesional, incluso ofrece el pago mediante un chat ¡en directo!.

 

¿Cómo se pueden cuidar los usuarios y las empresas para protegerse lo mejor posible contra los Malware como Locky?

Hay varias medidas que deben llevarse a cabo con regularidad con el fin de protegerse de los ataques. En primer lugar, todo tipo usuario y de empresa siempre debe contar con las últimas actualizaciones de su software.

Por otra parte, es conveniente hacer una copia de seguridad periódica de sus documentos, ya sea en un medio de almacenamiento externo o con un servicio de almacenamiento en la nube como Hornetdrive, de esta manera, con dos versiones de un documento, podrá recuperar sus informaciones en el caso de que pierda una versión.

Las principales puertas de entrada para el malware – correo electrónico e Internet – deben estar protegidos con un servicio de filtro de spam y filtrado web de buena reputación y eficiente. Finalmente, sin embargo, también los propios usuarios deben hacerse responsables de sus correos y hacer un análisis crítico de si  la información que ofrece el e-mail tiene realmente relación con el remitente, si no es así, deben suprimir estos correos.

 

¿Puede Hornetsecurity detectar y filtrar a Locky y si es así, cómo?

Cuando comenzaron a circular los primeros ataques de virus de macro, en diciembre pasado, inmediatamente desarrollamos nuevos métodos de filtrado.

Para este fin, fue necesario todo un paquete de medidas: hemos desarrollado entre  7 a 8 métodos de detección de virus que se centran específicamente en los documentos de Office con macros contenidas en el mismo.

Los escáneres utilizan diferentes mecanismos, todos de reputación, para determinar si se trata de un elemento inofensivo o de un macro malicioso. Esto se realiza automáticamente dentro de segundos. Si se encuentra un código malicioso, el filtro se ajusta automáticamente de modo que no hay más virus de macro que puedan deslizarse a través de los sistemas de filtro.

 

¿Cómo funciona generalmente el filtro de virus de Hornetsecurity?

Desarrollamos nuestro escáner de virus constantemente. Mientras tanto, hemos llegado a 18 detectores de virus diferentes, que controlan el tráfico de correo electrónico. Además el número está creciendo continuamente: Entonces cada año se agregan más. Entonces tenemos, como también para los virus de macro, el escáner especializado para diferentes escenarios y ataques. Estos buscan, por ejemplo, a los archivos con enlaces externos con los que se podrían recargar el virus y generar un problema.

Aquí desempeña un papel importante el lugar desde donde se producen los ataques, si los enlaces son bien conocidos, si los sitios a los que dirige el enlace están en una la lista negra, etc. También estamos trabajando en conjunto con los fabricantes de antivirus para asegurar la detección de virus conocidos.

 

Para tener una estimación, ¿Cuántos nuevos virus descubren los filtros por día?

Firmas diarias de virus

Estadística diaria de nuevas firmas de virus descubiertas

Eso es muy variable. Hay días en los que estamos viendo solo unas pocas nuevas variantes, y en otros días hay varios miles. En los últimos tres meses, el promedio es de cerca de 400 nuevas variantes de virus diarios, el día en el que más virus encontramos, hallamos 2732 nuevos tipos de virus que tenían que identificar y filtrar nuestro filtro.

 

 

 

 

¿Qué pasa en caso de un ataque de virus masivo?

El ajuste de las reglas de los filtros pasa con nosotros automáticamente, en segundos y en plena actividad (de los servicios de IT). Además, el funcionamiento de los filtros para atrapar los virus está controlado por automatismos que funcionan en base del tiempo de reacción entre llegada y creación de una regla de filtro.

Por ejemplo, en caso de que una ola de virus sobrepase a la regla de filtro, nuestros expertos de seguridad intervienen manualmente y enseguida ejecutan un análisis profundo, optimizan el reconocimiento automático o instalan nuevas herramientas de filtros hasta que el tiempo de reacción bajo otra vez al tiempo normal.

 

 

¿Cómo se dejan reconocer los nuevos virus?

Lo que más rápido y mejor funciona, a través de nuestro “Honeypots”. Hay e-mails que sirven para un solo propósito, el spam y transportar virus. Esto se evalúa todo el día. Nuestros sistemas también responden a ciertos tipos de correos electrónicos y los evalúan automáticamente, incluso antes de saber que se trata de un correo electrónico malicioso.

Una evaluación se lleva a cabo sobre la base del “comportamiento” de un correo electrónico o archivo adjunto, es decir, quieren que se ejecute como un código de órdenes en el sistema o volver a cargar archivos de Internet. Otros criterios incluyen la frecuencia de correo electrónico, o si se trata de diferentes remitentes.

La cultura de la seguridad protege contra la ciberdelincuencia

La cultura de la seguridad protege contra la ciberdelincuencia

En el futuro vamos a publicar en nuestro  blog periódicamente artículos de autores invitados. En esta ocasión la pluma invitada es Petra Adamik, periodista libre en distintos medios de comunicación comerciales de TI.

 

El espionaje económico, el robo de la propiedad intelectual y el plagio siempre han sido los efectos secundarios desagradables de la economía. La digitalización ha agravado aún más este problema.

Las redes de ciberdelincuentes atacan cada vez con mayor frecuencia a las empresas. Sus ataques son una amenaza grave y puede poner en peligro la supervivencia económica de una empresa cuando los planes de producción, los resultados de las investigaciones u otra información importante cae en manos equivocadas.

 

En Alemania, poco más de la mitad (51 por ciento) de todas las empresas fueron víctimas del espionaje industrial digital, sabotaje, o robo de datos en los últimos dos años, según un estudio realizado por la asociación de la industria BITKOM. Según los cálculos de la asociación, las pérdidas económicas causadas por este mal ascienden a cerca de  51 mil millones de euros por año.

Una de las razones por la que estas empresas son víctimas de estos ataques es porque muchas de ellas no protegen lo suficiente sus valores materiales e intelectuales, señala el estudio. Las empresas medianas son las que más deberían preocuparse de proteger sus sistemas, ya que de acuerdo a la encuesta son este tipo de empresas, el 61% de ellas, las que más blanco son de los gánsteres cibernéticos.

 

Ventanas digitales están abiertas a menudo

La puerta de entrada para el espionaje y sabotaje digital es, en la mayoría de los casos, las redes de datos y sistemas de TI. Los ataques se aplican a todas las divisiones y departamentos de la empresa, incluida  dirección. Especialmente están en el foco de ataque los departamentos de investigación y desarrollo, ya que la información que se puede robar de estos departamentos puede valer muchos miles de millones en los mercados mundiales.

 

La protección de la infraestructura crítica es, por lo tanto, para cualquier empresa una obligación central. Sin embargo, no debe subestimarse que hay otro peligro potencial: el ser humano. Esto incluye no solamente a los empleados actuales, sino a los del pasado, así como a proveedores y clientes.

Los estudios demuestran que casi el 80 por ciento de todos los incidentes de seguridad en las empresas se podrían haber evitado con un personal más atento. El porqué sucede esta fallo en la vida cotidiana, tiene que ver con la baja conciencia del riesgo o al trato “pragmático” de las medidas de protección.

Por lo tanto, es cada vez más importante para las empresas que quieran sobrevivir en la competencia global, establecer una cultura de seguridad integrada que sea comprensible para todos los empleados, y que también sea apoyada por ellos. Sólo si los empleados conocen donde están los riesgos, pueden poner en duda una decisión que podría poner en riesgo a su compañía. Por ello, es recomendable ofrecer a los empleados un sistema de protección, para el correo electrónico, por ejemplo.

 

Un buen servicio de filtro spam, como el que ofrece Hornetsecurity, impide que los empleados puedan hacer clic en un enlace de un correo spam o virus, ya que éstos correos no llegan hasta ellos. De este modo, los servidores de correo y los usuarios están protegidos contra los ataques DDoS y correos electrónicos de phishing.

 

Las medidas educativas y las normas de seguridad comprensibles son el alfa y omega de cualquier cultura de la seguridad. Las empresas tienen que formar a sus empleados frente a la continua amenaza. También tiene sentido ofrecerles herramientas uniformes. Esto evita que la red de la empresa se atasque de soluciones y al mismo tiempo alivia los administradores.

 

En el área de almacenamiento y del intercambio de documentos, se ofrece el uso de Hornetdrive. El servicio permite que los datos se cifren a través de la nube y se compartan con varias personas al mismo tiempo que se sincronicen con otros dispositivos.
El personal de las pequeñas y medianas empresas rara vez actúan de mala fe, pero se convierten a menudo inconscientemente en infractores de las normas. Las razones más comunes para el incumplimiento de las normas básicas de seguridad son el poco conocimiento y la falta de sentido hacia los riesgos de la seguridad, la falta de herramientas de TI, y la falta de normas de seguridad o el tratamiento “pragmático” las medidas de protección.

Por lo tanto, la educación es una medida muy importante. – Los empleados deben saber donde tomar la decisión correcta para proteger a la compañía contra el phishing, el uso con las contraseñas o redes sociales – sólo si saben donde se esconden los riesgos.

 

En Alemania, para aumentar la conciencia hacia los ciberataques y para ayudar a las medianas empresas en términos de seguridad, el ministerio federal alemán de Economía y Tecnología incluso ha creado la iniciativa “Seguridad Informática en la Empresa” (www. it-sicherheit-in-der-wirtschaft.de).

 

Con buenas estructuras organizativas hacia más seguridad

Además de la protección básica como firewalls, antivirus escáner, programas de cifrado, y actualizaciones periódicas de todos los programas, las empresas también deben tomar medidas organizativas para garantizar una mayor seguridad:

 

  • Definir reglas, quién tiene acceso a qué datos en la red y quién puede llegar a las áreas sensibles o críticas de la empresa.
  • Establecer una gestión de emergencias, demarcando las responsabilidades, con el fin de responder rápidamente a una crisis.
  • Instalar y activar herramientas estandarizadas.
  • Educar/entrenar dirección y empleados regularmente, comunicar y recordar las reglas de seguridad.
  • Especificar cómo se pueden o cómo se deben utilizar los datos de acceso. Lo que espera la compañia de sus empleados en cuanto a la correcta utilización de los dispositivos de almacenamiento de datos externos.
  • Crear reglas que definan el comportamiento de la direccion y de los empleados con la información de la empresa cuando viajan o trabajan en casa.
  • Eliminar credenciales y privilegios de ex empleados para evitar el acceso no autorizado.

 

Para facilitar la implementación de reglas de seguridad en la vida laboral cotidiana, cada empleado no tiene porqué ser informado sobre todos las aspectos de seguridad, ya que los riesgos son distintos  dependiendo del trabajo.

En general es importante sensibilizar la conciencia de los empleados con respecto a los riesgos y de ilustrar la importancia de la seguridad de TI.  Sin embargo, todos los departamentos deben participar en la introducción de las reglas de seguridad con el fin de aumentar su importancia y el sentido de grupo.