Los riesgos actuales según Kaspersky, Fortinet y Watchguard

ITSitio.com comparte un resumen con los temas que los expertos de estas tres empresas ven como riesgos clave en realidad actual. Conozca todos los detalles en esta nota.

Puntos de venta y máquinas de punto de servicio en la mira de cibercriminales

Los sistemas integrados (embedded system) o sistemas con función dedicada hoy se encuentran en máquinas de ventas de boletos, cajeros automáticos, terminales interactivas, sistemas de punto de venta y en equipos médicos, solo por mencionar algunos. Su accesibilidad a redes corporativas, así como su distribución geográfica y administración de datos confidenciales, los ha puesto en la mira de los ciberdelincuentes.

Principales riesgos:

  1. Robo y aprovechamiento de credenciales y datos confidenciales de clientes
  2. Robo con tarjetas de crédito clonadas
  3. Pérdida de efectivo por ataque directo a cajeros individuales y ataques dirigidos, iniciados a través de sistemas integrados de Windows XP, ya que éste sigue siendo el estándar de la mayoría de estos sistemas.

Para solucionar estos riesgos, los expertos de Kaspersky desarrollaron Kaspersky Embedded Systems Security, que proporciona protección avanzada para una variedad de sistemas integrados involucrados en operaciones financieras altamente sensibles, y facilita el cumplimiento de normativas.

Esta solución fue elegida por Tatsuno Corporation para proteger los sistemas de terminales de pago instalados en sus surtidores de combustible. El Subdirector General del Departamento de Diseño de Tatsuno, Keiji Kitami, explicó: “Decidimos optar por la solución de Kaspersky porque podríamos instalarla sin problemas en los sistemas de terminales de pago de nuestros surtidores de combustible, que ejecutan Windows XP y tienen espacio en disco limitado. Kaspersky Embedded Systems Security cumple con nuestros requisitos al permitir solo la operación de archivos ejecutables que se habían permitido explícitamente, lo que garantiza que podamos hacerlo compatible con terminales existentes con cambios mínimos”.

Para obtener más detalles sobre el caso de estudio de Tatsuno, visite este sitio.

Información adicional sobre Kaspersky Embedded Systems Security está disponible aquí.

¿Qué pasos seguir durante un ataque de ransomware? 

Según el reciente informe del panorama global de amenazas del laboratorio de inteligencia de amenazas de Fortinet, FortiGuard Labs, los ataques de ransomware se multiplicaron por siete en la última mitad de 2020 y se volvieron aún más efectivos al atacar a casi todos los sectores y en todo el mundo.

Los expertos de Fortinet desarrollaron una lista de verificación para ayudar a las organizaciones a lidiar con un ataque de ransomware cuando éste ocurre:

  1. No entre en pánico, ejecute un plan de respuesta: Mantenga la calma y comience a ejecutar su plan de respuesta a incidentes (IR), si lo tiene. Si no tiene un plan de respuesta a incidentes, los pasos que se indican a continuación pueden ayudarle. Solicite ayuda a su proveedor de seguridad o busque el asesoramiento de expertos. Muchas organizaciones utilizan servicios de respuesta a incidentes como el equipo de respuestas de FortiGuard. Considere el impacto potencial que puede tener el incidente de seguridad.
  2. Aísle sus sistemas y detenga la propagación: Existen múltiples técnicas para aislar la amenaza y evitar que se propague. En primer lugar, identifique el alcance del ataque. Si ya sabe que el incidente se ha extendido, aplique bloqueos a nivel de red como el aislamiento del tráfico en el conmutador o en el borde del firewall, o considere la posibilidad de interrumpir temporalmente la conexión a Internet. Si está disponible, la tecnología de detección y respuesta para endpoint (EDR, por sus siglas en inglés) puede bloquear el ataque a nivel de proceso, lo que sería la mejor opción inmediata con una interrupción mínima del negocio. La mayoría de los atacantes de ransomware encuentran una vulnerabilidad para entrar en su organización como un RDP expuesto, correos electrónicos de suplantación de identidad u otro método que los atacantes utilizan para introducirse en su entorno.
  3. Identificar la variante de ransomware: Muchas de las tácticas, técnicas y procedimientos (TTP) de cada variante de ransomware están documentadas públicamente. Determinar con qué cepa se está tratando puede dar pistas sobre la ubicación de la amenaza y cómo se está propagando. Dependiendo de la variante, algunas herramientas de descifrado pueden estar disponibles para descifrar los archivos.
  4. Identificar el acceso inicial: Determinar el punto de acceso inicial, o paciente cero, ayudará a identificar y cerrar el agujero en su seguridad. Los vectores de acceso inicial más comunes son el phishing, los exploits en sus servicios de borde (como los servicios de Escritorio Remoto) y el uso no autorizado de credenciales. Determinar el punto de acceso inicial es a veces difícil y puede requerir la experiencia de equipos forenses digitales y expertos en IR.
  5. Identificar todos los sistemas y cuentas infectadas (alcance): Identificar cualquier malware activo o restos persistentes en los sistemas que aún se comunican con el servidor de comando y control (C2). Las técnicas de persistencia más comunes incluyen la creación de nuevos procesos que ejecutan la carga útil maliciosa, el uso de claves de registro de ejecución o la creación de nuevas tareas programadas.
  6. Localice sus copias de seguridad y determine su integridad: Un ataque de ransomware intentará borrar sus copias de seguridad en línea y las instantáneas de volumen para disminuir las posibilidades de recuperación de los datos. Por ello, asegúrese de que su tecnología de copias de seguridad no se ha visto afectada por el incidente y sigue siendo operativa. Con muchos ataques de ransomware, los atacantes suelen haber estado en su red durante días, hasta semanas, antes de decidirse a cifrar sus archivos. Esto significa que puede tener copias de seguridad que contengan cargas útiles maliciosas que no quiera restaurar en un sistema limpio. Analice sus copias de seguridad para determinar su integridad.
  7. Sanear los sistemas o crear nuevas construcciones: Si confía en su capacidad para identificar todo el malware activo y los incidentes de persistencia en sus sistemas, entonces puede ahorrar algo de tiempo al no reconstruir. Sin embargo, puede ser más fácil y seguro crear sistemas nuevos y limpios. Incluso puede considerar la posibilidad de crear un entorno limpio completamente separado al que pueda migrar. Esto no debería llevar demasiado tiempo si está ejecutando un entorno virtual. Cuando reconstruya o sanee su red, asegúrese de que se han instalado los controles de seguridad adecuados y que se siguen las mejores prácticas para garantizar que los dispositivos no se vuelvan a infectar.
  8. Informar del incidente: Es importante informar del incidente. También debe determinar si es necesario y obligatorio informar. Su equipo legal puede ayudar a abordar cualquier obligación legal en torno a los datos regulados, como PCI, HIPAA, etc. Si el ataque es grave y su empresa se extiende por varias regiones geográficas, es posible que tenga que ponerse en contacto con los servicios policiales nacionales en lugar de con una agencia policial local o regional.
  9. ¿Pagar el rescate?: Se recomienda no pagar el rescate, sin embargo, si lo está considerando, debería contratar a una empresa de seguridad con conocimientos especializados para que le ayude. Además, pagar el rescate no va a remediar las vulnerabilidades que los atacantes explotaron, así que asegúrese de haber identificado el acceso inicial y parchear las vulnerabilidades.
  10. Realice una revisión posterior al incidente: Revise su respuesta a los incidentes para comprender lo que ha ido bien y para documentar las oportunidades de mejora. Esto asegura la mejora continua de sus capacidades de respuesta y recuperación para el futuro. Considere la posibilidad de simular los detalles técnicos y no técnicos del ataque para poder revisar sus opciones.

Los pendrives todavía son un gran vector de amenazas

Durante el año pasado, se evidenció un crecimiento del 30% en el uso de pendrives en organizaciones industriales. Ante esta tendencia, los ciberdelincuentes duplicaron el número de amenazas diseñadas para ser utilizadas desde estos dispositivos; de ellas, un 79% podrían afectar a las instalaciones y maquinaria. Esas son las principales conclusiones de un reciente estudio publicado por Cyberscoop.

Un ejemplo de este riesgo es el incidente en la planta de agua de Oldsmar (Florida, EE. UU.), donde los ciberatacantes lograron alterar de forma remota los niveles de sodio del suministro.

El malware a través de pendrives había descendido por la menor frecuencia de uso de estos dispositivos debido a la opción de almacenamiento en servicios Cloud, pero se mantuvo en organizaciones industriales.

Los especialistas de WatchGuard recomiendan tener en cuenta estas 3 prácticas principales:

  1. Verificar los equipos industriales en los que se pueden conectar pendrives.
  2. Establecer niveles de roles y permisos según el perfil de los empleados.
  3. Utilizar solo dispositivos proporcionados y verificados por el equipo de IT o el MSP de la organización, como también el uso en las computadoras portátiles proporcionadas por la empresa y debidamente protegidos.

En este contexto, las organizaciones necesitan contar con la seguridad en el endpoint más avanzada posible y una visibilidad total de toda su actividad, que incluya la conectividad USB.

Para tener una protección total en el endpoint, la compañía ofrece WatchGuard Endpoint Security (ahora disponible en WatchGuard Cloud) como respuesta a esa necesidad: su Zero-Trust Application Service presente en sus soluciones WatchGuard EDR y WatchGuard EPDR clasifica primero los procesos como malware o confiables y luego permite que solo los procesos confiables se ejecuten en cada endpoint.

Gustavo Aldegani

Consultor Independiente en Seguridad Informática, con 25 años de experiencia, especializado en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos, América Latina y Argentina. Profesor de la Materia Seguridad Informática en la Universidad de Belgrano.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
X