8 consejos para un gráfico de valores de bitcoin de SamSam y CryptoBlackmail-Free 2019

A principios de este mes, el departamento de seguridad nacional y el FBI publicaron una alerta de US-CERT (equipo de preparación para emergencias informáticas) sobre samsam ransomware, también conocida como MSIL / samas.A. SamSam no es un nuevo tipo de malware; se descubrió por primera vez a principios de 2016. Sin embargo, lo que lo hace notable es que no funciona como las variantes típicas de un ransomware que emplean esquemas de phishing para engañar a los usuarios para que hagan clic en enlaces o archivos adjuntos de correo electrónico. SamSam se implementa utilizando las credenciales del protocolo de escritorio remoto (RDP) para colarse en las redes de las víctimas. Los actores a veces usan ataques de fuerza bruta, pero con mayor frecuencia usan credenciales de inicio de sesión robadas adquiridas en los mercados de darknet. Este último enfoque hace que el ransomware sea muy difícil de detectar porque el malware ingresa a través de un punto de acceso aprobado.

Otro tipo de ataque cibernético que se está volviendo más frecuente, que utiliza credenciales robadas como samsam, es el cryptoblackmail. Este tipo de ataque, también conocido como una estafa de “extorsión sexual”, generalmente comienza cuando el actor de amenazas se comunica con la víctima por correo electrónico e insiste en que tiene evidencia de video de que la víctima está viendo sitios de adultos. El actor amenaza con exponer el “secreto” de la víctima a menos que la víctima pague un rescate dentro de las 48 horas. En el correo electrónico se incluye el nombre de usuario y la contraseña de una de las cuentas en línea anteriormente violadas de la víctima, lo que hace que muchos destinatarios de la estafa paguen el rescate. De hecho, cuando esta amenaza surgió por primera vez en julio de 2018, un actor de amenazas ganó $ 15,500 USD (2,5 bitcoins) en solo dos días.

• capacitar a los usuarios para que no hagan clic en enlaces de correo electrónico o archivos adjuntos desconocidos. La gran mayoría de los ataques cibernéticos (91%) comienzan con un correo electrónico de spear phishing, por lo que solo tiene sentido comenzar aquí haciendo de la capacitación en ciberseguridad una de las principales prioridades. La capacitación debe incluir más que meras conferencias, también. Debe reforzarse cómo comprar bitcoins instantáneamente con pruebas y ataques simulados que imitan situaciones del mundo real para que los usuarios estén más atentos con sus bandejas de entrada.

• restringir los privilegios de administrador de usuario. La mayoría de las infecciones de ransomware comienzan con una sola estación de trabajo. Si la computadora infectada tiene privilegios de administrador local, es cuando el problema aumenta y se extiende por toda la red. Si bien la restricción de la capacidad del usuario para instalar aplicaciones supone una carga mayor para las TI, es mucho más seguro para la organización.

• Proteja sus credenciales con autenticación multifactor. Con todas las violaciones de seguridad en los últimos años, es muy probable que parte de su PII (información de identificación personal) esté ahora a la venta en la web oscura. Además de asegurarse de que está creando contraseñas seguras y de actualizarlas regularmente, es una buena idea implementar la autenticación multifactor (MFA (alerta de noticias)). También hay muchas opciones viables para MFA, como los escáneres biométricos o los códigos de autenticación que se insertan en los dispositivos de los usuarios, lo que mejora la seguridad con un mínimo de inconvenientes.

• mantén actualizados los parches de software de Bitcoin Mine. Los ciberdelincuentes optan por la fruta de baja altura. Además de engañar a los usuarios para que lancen programas maliciosos, a los actores de amenazas les gusta explotar software que no está actualizado. El infame wansacry ransomware, por ejemplo, infectó a cientos de miles de computadoras en todo el mundo, que tenían una cosa en común: estaban varios meses atrás en sus parches de Windows.

La administración de parches se vuelve difícil cuando las empresas ejecutan aplicaciones personalizadas, que no pueden actualizarse automáticamente cada vez que se lanza un parche nuevo. Las actualizaciones deben probarse primero para garantizar que el programa aún sea estable. Para las organizaciones con personal de TI limitado, es fácil quedarse atrás en las pruebas de parches y, antes de que se dé cuenta, tiene seis meses y tres versiones de software atrás.

La subcontratación de esta tarea a una empresa de servicios de TI suele ser la mejor manera de resolver este problema sin tener que contratar a otro administrador de TI a tiempo completo. Una empresa de servicios de TI administrada como magna5, por ejemplo, trabaja con los desarrolladores de los clientes para coordinar las actualizaciones de software con sus ventanas de mantenimiento. Después de implementar las actualizaciones, magna5 continúa monitoreando y validando que todo funcione correctamente.

• Proteja su entorno de escritorio remoto como se mencionó anteriormente, samsam a menudo explota los RDS (servicios de escritorio remoto) de las empresas mediante el uso de credenciales robadas disponibles en la web oscura. La mejor manera de evitar que esto le suceda a su empresa es a través de la eliminación de los dispositivos con RDP habilitado en la Internet pública y usar una VPN (red privada virtual) para mayor seguridad.

• No asuma que sus copias de seguridad son buenas. La planificación de la continuidad del negocio y la recuperación ante desastres (BCDR) es un componente vital para la seguridad. Lamentablemente, la mayoría de las empresas (75%) descubren que sus conjuntos de copia de seguridad están dañados cuando intentan una recuperación real. La única forma de garantizar que un conjunto de copia de seguridad sea bueno (es decir, podría restaurarse si lo necesitara) es probar sus copias de seguridad (o contratar a un proveedor de soluciones de TI para que lo haga por usted). Aunque el proceso variará de una organización a otra, el hilo común en la prueba de copias de seguridad y restauraciones es realizar una restauración completa de cada último archivo en un sistema limpio. Las pruebas regulares y los resultados de las pruebas deben garantizar que su estrategia de copia de seguridad esté funcionando.

• No escatime en su firewall y protección antispam. Hay una gran diferencia entre el firewall tradicional de hace 10 años y el firewall Nextgen de nivel empresarial de hoy. Los cortafuegos anteriores solo tenían capacidad de inspección de paquetes con estado, lo que significa que podían realizar el bloqueo básico de puertos e IP. No tienen características que sean necesarias para defenderse de las amenazas avanzadas de hoy. Por el contrario, las soluciones de seguridad de firewall de nivel empresarial incluyen características avanzadas como el bloqueo geográfico.

Esto es particularmente útil si, por ejemplo, su compañía solo hace negocios en los EE. UU. Y Canadá, el firewall puede bloquear el tráfico entrante de Corea del Norte, Rusia y China, que son focos de emergencia para ataques cibernéticos. Además, este cambio en la tecnología también ha afectado a las soluciones antispam. El antispam tradicional tenía capacidades más débiles para detectar malware avanzado e intentos de phishing. Podría detener los mensajes más obvios (por ejemplo, el príncipe árabe destronado que quiere regalarle $ 5 millones) pero no pudo detectar los intentos de ingeniería social de bitcoin en la ingeniería social. Las soluciones antispam avanzadas pueden brindar a los usuarios información sobre las técnicas de phishing provenientes de fuera de la empresa. Por ejemplo, un mensaje enviado a alguien en la contabilidad que pretende ser el CEO que solicita que se transfieran 20.000 dólares de forma inmediata a una cuenta bancaria se detecta con más facilidad como fraudulento cuando se comercializa “[externo] dentro de la línea de asunto”.

• Considerar un servicio de monitoreo de seguridad subcontratado. Uno de los mayores desafíos con un ataque de estilo de fuerza bruta es que una organización puede no tener ni idea de que esté bajo ataque. Incluso si la empresa tiene sistemas de seguridad en el lugar que registran los ataques, si nadie está mirando los registros, no importa (este fue el caso de la brecha de 2013). Un servicio de monitoreo de seguridad administrado es una solución viable. Un MSSP puede detectar rápidamente intentos de ataque de fuerza bruta y otras anomalías (por ejemplo, un usuario ha iniciado sesión en su cuenta desde dos países simultáneamente) y tomar medidas en nombre del cliente para frustrar el ataque antes de que ocurra una violación y un compromiso de datos.

Acerca del autor: matt kimpel, director de ingeniería de TI de magna5, aporta más de una década de experiencia en la industria de servicios de TI y una experiencia significativa en las áreas de redes y seguridad. Dirige el equipo de ingeniería avanzada de servicios administrados y supervisa la entrega y el crecimiento de los servicios de seguridad administrados, además de desempeñar un papel clave en el desarrollo de nuevos productos dentro de Magna5.

banner