Virus disfrazado de Dropbox

Virus disfrazado de Dropbox

A primeros de Marzo, nuestros filtros de spam y virus detectaron correos electrónicos referentes a temas de facturación con enlaces vinculados a archivos de Dropbox.

 

De esta forma los estafadores buscan que el destinatario descargue los archivos con supuestas informaciones de pago o facturas. La descarga con el contenido de pago no se realiza directamente en el dispositivo local, sino a través de un archivo ZIP contentivo del virus. Los archivos comprimidos “factura1.zip”, “factura2.zip”, etc., contienen a su vez un archivo .js con distintas firmas con malware.

 

“Saludos” maliciosos – archivo adjunto con virus

 

Nuestros filtros detectaron inmediatamente esta ola de ataques, reaccionando al mismo: la reescritura del enlace ha modificado los enlaces de descarga de las facturas mencionadas. El Sandbox de nuestro producto ATP se encargaría de verificar el archivo, una vez hecho clic en el enlace de descarga, el virus sería detectado y así detenido el ataque. Luego de la fase de reconocimiento de nuestro Advanced Threat Protection, serían tomadas las medidas pertinentes necesarias para proteger a nuestros clientes.

 

Incluso los programas de antivirus clásicos, prácticamente no detectaron los virus (solo cuatro de 56 dispositivos reconocieron al código malicioso), así mismo ese día la tasa de detección fue de 19 de 58 escáneres de virus. Desde entonces, se ha pedido mucha cautela a los usuarios con emails contentivos del asunto “Su factura” o “Detalles de pago”, en cuyo contenido se encuentra un enlace vinculado a Dropbox. Tal correo electrónico debe ser borrado de forma inmediata.

 

Hornetsecurity Advanced Threat Protection protege a las empresas de ataques como el Ransomware, el Fraude del CEO y el Phishing. Para más información haga clic aquí.

¿Quieres saber sobre amenazas avanzadas? Advanced Threat Protection

¿Quieres saber sobre amenazas avanzadas? Advanced Threat Protection

Aunque los ataques clásicos no se han quedado atrás, se han añadido otras amenazas en los últimos meses, que la industria de la seguridad debe responder. La razón: Las clásicas técnicas de defensa contra los clásicos correos electrónicos de spam y virus pueden tener éxito. Para los nuevos métodos como ransomware, que se centran en los objetivos o ataques específicos, así como la inclusión de enlaces ocultos de código malicioso en los correos electrónicos provocan un daño considerable. En muchas empresas prevalece la falta de conocimiento sobre los distintos tipos de ataques y un alto grado de incertidumbre sobre cómo pueden ser evitados.

 

El grupo de expertos de la Asociación eco Internet Security, de la que forma parte Hornetsecurity, han organizado un taller con el título “Locky, fraude del CEO, ¿Cómo son las amenazas avanzadas y qué se puede hacer?”. Proveedores de seguridad TI tales como Blue Coat, GData y Hornetsecurity estuvieron presentes en el evento durante el cual se habló de las cuestiones más actuales, las amenazas más avanzadas y su defensa.

 

Como Jefe de Seguridad del grupo de expertos, Oliver Dehning, lideró el taller. Publicamos un par de preguntas para ilustrar el tema.

 

Sr. Dehning, ¿qué se entiende por Advanced Threat? 

“Advanced Threat” no es más que la abreviatura, de amenaza persistente avanzada (Advanced Persistent Threat). Esto significa que, como su nombre indica, amenazas avanzadas y aun más persistentes. En sentido estricto, los ataques que se adaptan a las organizaciones o individuos. Este tipo de ataques requieren por parte del atacante planificación, en la recolección de información, un análisis preciso de dicha información, y por lo general varios pasos de ataque que estén coordinados. Los casos de Fraude del CEO, son este tipo de ataques: los atacantes son informados sobre los detalles de la organización objetivo, identifican a las personas expuestas, y luego tratan de influir en ellos, para que, por ejemplo, realicen transferencias con importes elevados a las cuentas del agresor.

 

El término “Advanced Threat Protection” (ATP) también se utiliza en la industria de la seguridad TI. Los ataques no son necesariamente avanzados, pero sí lo es la tecnología la utilizada para su detección.

 

ATP protege contra la amenaza avanzada persistente igual que antes contra ataques convencionales, tales como los virus que se propagan a través del correo electrónico de forma masiva. Utilizando la técnica, por ejemplo, “Sandboxing (La zona de pruebas)”, puede ATP proteger contra ataques y virus no conocidos previamente, a diferencia de métodos de detección tradicionales basados en firmas. El reconocimiento “de la primera copia de virus” es cada vez más importante ya que los virus enviados por correo cambian rápidamente su forma y apariencia (los llamados virus polimórficos). Para métodos de detección basados en la firma puede ser difícil de detectar, y muchas copias de virus polimórficos pasan los filtros convencionales sin dejar rastro.

 

Desde su punto de vista. ¿Aumenta la importancia de ransomware frente al malware “normal”?

Absolutamente. El fenómeno es en realidad bastante viejo, las primeras copias de estos virus son conocidas desde 1989.

Durante este tiempo, sin embargo, los kits de software están disponibles, con lo que los atacantes, pueden iniciar ataques con virus ransomware con relativamente poco esfuerzo. Esto ha llevado a un aumento drástico en el número de ataques durante aproximadamente el último año. En Hornetsecurity hemos visto con claridad  un incremento de virus detectados.   Pero uno también aprende de las conversaciones en las que prácticamente cualquiera conoce a alguien que ha sido víctima de un ataque. Algunos de ellos, espectaculares que han aparecido en los medios de comunicación.

 

¿Cómo explica que esta ingeniería social y especialmente el fraude del CEO funcionen de nuevo?

Los atacantes conocen y utilizan la conducta humana. Nuestra comunidad básicamente funciona sobre la base de la confianza. Es apropiado ser desconfiado en ciertas situaciones, pero si usted se cuestiona y examina todo, cualquier tipo de cooperación sería imposible. Los temores de los empleados, por tanto, juegan un importante papel – el miedo a hacer algo mal o parecer tonto por preguntar demasiado a menudo.

 

La protección técnica contra los delincuentes cibernéticos es solo una parte ¿Qué recomienda a las empresas para garantizar la protección integral?

La protección técnica es importante, pero también debe llevarse a cabo un análisis de las amenazas antes de adoptar medidas de protección. ¿Qué valores de la empresa son particularmente dignos de ser protegidos? ¿Qué datos y sistemas necesitan ser protegidos, aunque tal vea sean menos importantes? Los resultados de este análisis permiten hacer un uso eficiente de los fondos. En el caso de las medidas en sí mismas, además de los equipos de protección técnica, los empleados son una y otra vez importantes. Las medidas técnicas no ayudarán si pueden ser eludidas a la sombra del departamento de TI. Se deben tomar en serio las necesidades de los empleados para que no eludan las medidas de protección con el ánimo de hacer su trabajo más rápida y eficazmente.  Por tanto, una cultura empresarial abierta ayuda, por ejemplo, en el caso de atacantes del fraude del CEO, dirigido a empleados que por temor a sus jefes, evitan hacer muchas preguntas.

 

Para la PYME, ¿la nube no es nada o solo por ahora?

Para la PYME, ¿la nube no es nada o solo por ahora?

La lectura de un artículo en el portal Online_Portal Cloud Insider me llamó la atención hace unos días. Este aconsejaba a la pequeña y mediana empresa no confiar en lo productos en la nube para proteger mayor su infraestructura IT. Los argumentos: la empresa tendrá un mayor número de puntos de ataque que en una solución local, la pérdida de la soberanía en los datos propios y los costes ocultos de las soluciones en la nube; por el contrario, las soluciones locales ahora son gratis, muy fáciles de instalar y de configurar.

 

Creo que por el contrario para las PYME utilizar soluciones de Seguridad en la nube tiene mucho sentido. Entre los aspectos más globales a favor del Cloud las sinergias entre distintos proveedores que no solo proporcionan elasticidad y bajo coste sino también un producto de muy alta calidad. Los gastos administrativos internos inferiores son una característica fundamental de las soluciones en la nube, o el apoyo que ofrecen los estudios donde la hipótesis que se defiende es que  los productos clásicos (on-Premise) ofrecen menos protección en comparación con los productos en la nube.

 

El argumento de que los datos críticos para el negocio nunca deben salir de la empresa, no es justificable ya que por el contrario el incluir los datos críticos del negocio en aplicaciones en la nube, garantiza una mayor disponibilidad de datos, la monitorización de los servicios a toda hora, así como la disponibilidad de copias de seguridad y servicios de recuperación de desastres que ofrecen las empresas con la más alta fiabilidad disponible. Estas son todas las tareas que una pequeña empresa difícilmente puede atender por sí misma. Además, los proveedores Cloud ofrecen sus servicios en un entorno altamente profesional, realizan actualizaciones  periódicas de sus sistemas y se aseguran constantemente de no tener vulnerabilidades. Además es posible asegurar que los conocimientos sobre la seguridad TI alcanzan niveles mayores en el caso de especialistas en comparación con los de un administrador TI en una PYME. Como último, las soluciones en la nube le facilitan a la empresa cumplir con los requerimientos oficiales sobre la protección de datos – a través del uso de sistemas de cifrado o el uso de proveedores de servicio alemanes, y usando acuerdos   seguros jurídicamente para el manejo de datos.

 

Naturalmente: el uso de Servicios en la nube no debe usarse a ciegas, sino que deber ser probado en cada caso de forma individual, en particular para las pequeñas y medianas empresas. Las soluciones Cloud son una alternativa sensata que debe considerarse.

 

La cultura de la seguridad protege contra la ciberdelincuencia

La cultura de la seguridad protege contra la ciberdelincuencia

En el futuro vamos a publicar en nuestro  blog periódicamente artículos de autores invitados. En esta ocasión la pluma invitada es Petra Adamik, periodista libre en distintos medios de comunicación comerciales de TI.

 

El espionaje económico, el robo de la propiedad intelectual y el plagio siempre han sido los efectos secundarios desagradables de la economía. La digitalización ha agravado aún más este problema.

Las redes de ciberdelincuentes atacan cada vez con mayor frecuencia a las empresas. Sus ataques son una amenaza grave y puede poner en peligro la supervivencia económica de una empresa cuando los planes de producción, los resultados de las investigaciones u otra información importante cae en manos equivocadas.

 

En Alemania, poco más de la mitad (51 por ciento) de todas las empresas fueron víctimas del espionaje industrial digital, sabotaje, o robo de datos en los últimos dos años, según un estudio realizado por la asociación de la industria BITKOM. Según los cálculos de la asociación, las pérdidas económicas causadas por este mal ascienden a cerca de  51 mil millones de euros por año.

Una de las razones por la que estas empresas son víctimas de estos ataques es porque muchas de ellas no protegen lo suficiente sus valores materiales e intelectuales, señala el estudio. Las empresas medianas son las que más deberían preocuparse de proteger sus sistemas, ya que de acuerdo a la encuesta son este tipo de empresas, el 61% de ellas, las que más blanco son de los gánsteres cibernéticos.

 

Ventanas digitales están abiertas a menudo

La puerta de entrada para el espionaje y sabotaje digital es, en la mayoría de los casos, las redes de datos y sistemas de TI. Los ataques se aplican a todas las divisiones y departamentos de la empresa, incluida  dirección. Especialmente están en el foco de ataque los departamentos de investigación y desarrollo, ya que la información que se puede robar de estos departamentos puede valer muchos miles de millones en los mercados mundiales.

 

La protección de la infraestructura crítica es, por lo tanto, para cualquier empresa una obligación central. Sin embargo, no debe subestimarse que hay otro peligro potencial: el ser humano. Esto incluye no solamente a los empleados actuales, sino a los del pasado, así como a proveedores y clientes.

Los estudios demuestran que casi el 80 por ciento de todos los incidentes de seguridad en las empresas se podrían haber evitado con un personal más atento. El porqué sucede esta fallo en la vida cotidiana, tiene que ver con la baja conciencia del riesgo o al trato “pragmático” de las medidas de protección.

Por lo tanto, es cada vez más importante para las empresas que quieran sobrevivir en la competencia global, establecer una cultura de seguridad integrada que sea comprensible para todos los empleados, y que también sea apoyada por ellos. Sólo si los empleados conocen donde están los riesgos, pueden poner en duda una decisión que podría poner en riesgo a su compañía. Por ello, es recomendable ofrecer a los empleados un sistema de protección, para el correo electrónico, por ejemplo.

 

Un buen servicio de filtro spam, como el que ofrece Hornetsecurity, impide que los empleados puedan hacer clic en un enlace de un correo spam o virus, ya que éstos correos no llegan hasta ellos. De este modo, los servidores de correo y los usuarios están protegidos contra los ataques DDoS y correos electrónicos de phishing.

 

Las medidas educativas y las normas de seguridad comprensibles son el alfa y omega de cualquier cultura de la seguridad. Las empresas tienen que formar a sus empleados frente a la continua amenaza. También tiene sentido ofrecerles herramientas uniformes. Esto evita que la red de la empresa se atasque de soluciones y al mismo tiempo alivia los administradores.

 

En el área de almacenamiento y del intercambio de documentos, se ofrece el uso de Hornetdrive. El servicio permite que los datos se cifren a través de la nube y se compartan con varias personas al mismo tiempo que se sincronicen con otros dispositivos.
El personal de las pequeñas y medianas empresas rara vez actúan de mala fe, pero se convierten a menudo inconscientemente en infractores de las normas. Las razones más comunes para el incumplimiento de las normas básicas de seguridad son el poco conocimiento y la falta de sentido hacia los riesgos de la seguridad, la falta de herramientas de TI, y la falta de normas de seguridad o el tratamiento “pragmático” las medidas de protección.

Por lo tanto, la educación es una medida muy importante. – Los empleados deben saber donde tomar la decisión correcta para proteger a la compañía contra el phishing, el uso con las contraseñas o redes sociales – sólo si saben donde se esconden los riesgos.

 

En Alemania, para aumentar la conciencia hacia los ciberataques y para ayudar a las medianas empresas en términos de seguridad, el ministerio federal alemán de Economía y Tecnología incluso ha creado la iniciativa “Seguridad Informática en la Empresa” (www. it-sicherheit-in-der-wirtschaft.de).

 

Con buenas estructuras organizativas hacia más seguridad

Además de la protección básica como firewalls, antivirus escáner, programas de cifrado, y actualizaciones periódicas de todos los programas, las empresas también deben tomar medidas organizativas para garantizar una mayor seguridad:

 

  • Definir reglas, quién tiene acceso a qué datos en la red y quién puede llegar a las áreas sensibles o críticas de la empresa.
  • Establecer una gestión de emergencias, demarcando las responsabilidades, con el fin de responder rápidamente a una crisis.
  • Instalar y activar herramientas estandarizadas.
  • Educar/entrenar dirección y empleados regularmente, comunicar y recordar las reglas de seguridad.
  • Especificar cómo se pueden o cómo se deben utilizar los datos de acceso. Lo que espera la compañia de sus empleados en cuanto a la correcta utilización de los dispositivos de almacenamiento de datos externos.
  • Crear reglas que definan el comportamiento de la direccion y de los empleados con la información de la empresa cuando viajan o trabajan en casa.
  • Eliminar credenciales y privilegios de ex empleados para evitar el acceso no autorizado.

 

Para facilitar la implementación de reglas de seguridad en la vida laboral cotidiana, cada empleado no tiene porqué ser informado sobre todos las aspectos de seguridad, ya que los riesgos son distintos  dependiendo del trabajo.

En general es importante sensibilizar la conciencia de los empleados con respecto a los riesgos y de ilustrar la importancia de la seguridad de TI.  Sin embargo, todos los departamentos deben participar en la introducción de las reglas de seguridad con el fin de aumentar su importancia y el sentido de grupo.