1 mar 2024

Delitos en criptomonedas en la Darknet aumentaron en 2023 [Chainalysis]

La industria de las criptomonedas continúa siendo objeto de ciberdelincuencia, y los mercados de la darknet son una de las dos categorías que mostraron un aumento en los ingresos en 2023, según el último informe de la firma de análisis blockchain Chainalysis.

En su "Informe de Crimen de Criptomonedas 2024", publicado ayer, los datos revelaron que los mercados de la darknet recibieron ingresos de al menos USD 1,7 mil millones. Esto fue un "rebote" desde sus datos de 2022 cuando las autoridades cerraron el mercado de la darknet más grande del mundo, Hydra.

Aunque ningún mercado reemplazó a Hydra, el informe reveló que los mercados más pequeños están prosperando al servir nichos específicos y desarrollar roles más "especializados". Chainalysis destacó que el Mega Darknet Market lidera el paquete con más de medio billón de dólares en entradas de criptomonedas.

No obstante, los ingresos generados por los mercados de la darknet aún no han vuelto a los niveles máximos vistos durante el liderazgo de Hydra en el mercado. El informe dijo:
"Esperamos que las agencias de aplicación de la ley continúen investigando y desmantelando los mercados de la darknet, especialmente dado que muchos ofrecen productos de fentanilo en venta".

Eric Jardine, líder de investigación de ciberdelincuencia en Chainalysis, dijo a Cointelegraph que el fenómeno de los "mercados de la darknet de nicho" compitiendo por ganar cuota de mercado no es algo nuevo y sigue las tendencias después de los cierres de mercados de la darknet como Silk Road y AlphaBay.

Además del aumento de los ingresos de los mercados de la darknet, 2023 vio más del doble de las sanciones vinculadas a criptomonedas por parte de la Oficina de Control de Activos Extranjeros (OFAC) de los Estados Unidos, con un total de 18 sanciones a individuos o entidades, todas las cuales incluyeron direcciones de criptomonedas en su designación.

Las entradas de criptomonedas a entidades y jurisdicciones sancionadas representaron el 61.5% de todo el volumen de transacciones ilícitas, lo que representa USD 14.9 mil millones en volumen de transacciones en 2023.

Según el informe, las sanciones vinculadas a criptomonedas cambiaron en 2023 de OFAC dirigirse a servicios importantes como Garantex y Hydra, y mezcladores como Tornado Cash, a grupos y actores individuales.

La lista de individuos sancionados este año vinculados a criptomonedas incluyó al grupo de piratería norcoreano Kimsuky, el mezclador de criptomonedas Sinbad.io, la nacional rusa Ekaterina Zhdanova y el MSB Buy Cash con sede en Gaza.

Sin embargo, el informe presentó algunas cifras más positivas, incluida una disminución interanual en los ingresos de estafas basadas en criptomonedas. Aunque las estafas siguen siendo uno de los mayores impulsores del crimen basado en criptomonedas con USD 4.6 mil millones en ingresos para 2023, la cifra bajó desde los USD 5.9 mil millones del año anterior.

Sin embargo, 2023 vio un aumento en nuevos tipos de estafas, incluidas estafas románticas —también conocidas como estafas de sacrificio de cerdos (pig-butchering). Estos tipos de estafas más que duplicaron los ingresos año tras año, con datos que sugieren un crecimiento de 85 veces desde 2020.



Jardine dijo que las estafas románticas están en aumento porque "son efectivas —los estafadores no son nada si no son oportunistas. Estas estafas llevan semanas o meses, ya que los estafadores buscan ganarse la confianza de sus víctimas. Los usuarios que no son conscientes de las señales para detectar estafas pueden caer fácilmente en la trampa".

Cuando se le preguntó sobre cualquier información para que los usuarios eviten estafas y naveguen por la ciberdelincuencia vinculada a las criptomonedas en 2024, Jardine dijo: "Crear un entorno en cadena más seguro y confiable requiere acciones de varios actores del sector público y privado, así como de los propios individuos".

Dijo que en el caso de las estafas, "los individuos pueden ayudar a minimizar su riesgo siendo cautelosos en sus interacciones en cadena y en línea", mientras que otros actores en el ecosistema pueden ayudar a identificar las huellas en cadena de las redes de estafas, y la aplicación de la ley "puede trabajar en diferentes jurisdicciones y con actores del sector privado para intentar recuperar los fondos robados a las víctimas".

Jardine también enfatizó la importancia de utilizar servicios que enfaticen activamente la seguridad en el espacio DeFi. Cuando se le preguntó sobre cualquier información para que los usuarios eviten estafas y naveguen por la ciberdelincuencia vinculada a las criptomonedas en 2024, Jardine dijo: "Crear un entorno en cadena más seguro y confiable requiere acciones de varios actores del sector público y privado, así como de los propios individuos".

Dijo que en el caso de las estafas, "los individuos pueden ayudar a minimizar su riesgo siendo cautelosos en sus interacciones en cadena y en línea", mientras que otros actores en el ecosistema pueden ayudar a identificar las huellas en cadena de las redes de estafas, y la aplicación de la ley "puede trabajar en diferentes jurisdicciones y con actores del sector privado para intentar recuperar los fondos robados a las víctimas".

Jardine también enfatizó la importancia de utilizar servicios que enfaticen activamente la seguridad en el espacio DeFi. "Una buena higiene digital, especialmente en términos de gestión de contraseñas y frases de recuperación, también es crucial", dijo.

Fuente: CoinTelegraph

29 feb 2024

¿Qué es una frase de contraseña? Ejemplos, tipos y mejores prácticas

Una frase de contraseña funciona como una contraseña y le otorga acceso a un sistema o aplicación, pero en lugar de una cadena de caracteres aleatorios, es una combinación de palabras, números y símbolos. Las frases de contraseña suelen ser más largas que las contraseñas y más fáciles de recordar, ya que pueden estar compuestas por una serie de palabras o una frase significativa.

Y es evidente que olvidar una contraseña es un temor común. En 2023, en su quinto estudio anual sobre hábitos de contraseñas, NordPass descubrió que "123456" era la contraseña más común en 35 países y se podía descifrar en menos de un segundo.

La seguridad de la cuenta no debe verse comprometida por temor a olvidar su contraseña.

¿Qué es una frase de contraseña?

Una frase de contraseña es una combinación de frases utilizadas para salvaguardar o autenticar el acceso a una cuenta en línea, sistema informático u otro recurso digital. Las frases de contraseña suelen ser más largas que las contraseñas tradicionales y constan de palabras que son fáciles de recordar pero que resultan difíciles de descifrar para los posibles atacantes. Piense en ello como una oración corta de cuatro palabras o más y un mínimo de 15 caracteres.

Dado que las frases de contraseña pueden ser más fáciles de recordar para los usuarios y son más resistentes a ataques de fuerza brura, a menudo se utilizan para brindar protección mejorada para cuentas o datos esenciales. A continuación, enumeramos algunos ejemplos de frases de contraseña. Sin embargo, no le recomendamos que utilice ninguno de estos para sus cuentas personales. En su lugar, elija una frase que sea significativa para usted.

Al crear su contraseña, considere poner en mayúscula letras aleatorias dentro de la frase y reemplazar letras con símbolos. Por ejemplo, "@" para "a".

  • ILoveiCeCre@msoMuch!
  • Jack&JillWentUptheHill
  • Mich@elJ@cksonIstheGr8testofAllTime

Las frases de contraseña anteriores son ejemplos de frases de contraseña mnemotécnicas: palabras unidas para formar una frase memorable. Los tipos adicionales de frases de contraseña incluyen:

  • Frases de contraseña de patrones de teclado: estas frases de contraseña constan de una serie de palabras, cada una de las cuales comienza con una letra de un patrón de teclado.
    • Ejemplo: "Quick Wick Eat Rice Tomato Yam" sigue el patrón QWERTY.
  • Frases de contraseña aleatorias: consiste en elegir palabras aleatorias para formar una frase. Esto podría ser un poco más difícil de recordar, especialmente en comparación con las frases de contraseña mnemotécnicas; sin embargo, son una opción segura.
    • Ejemplo: "IcepickHammerSnailDragon"
  • Frases de contraseña basadas en imágenes: consiste en generar una frase de contraseña inspirándose en imágenes.
    • Ejemplo: "BabysFirstSliceofPizza02042004" creado a partir de una foto familiar memorable.

Fuente: TechRepublic

28 feb 2024

Browser In The Browser (BitB) sin Frames

Browser In The Browser (BITB) introducido originalmente por @mrd0x, es un concepto que crea la apariencia de una ventana de navegador creíble dentro de la cual el atacante controla el contenido (sirviendo el sitio web malicioso dentro de un iframe).

Sin embargo, la barra de URL de la ventana del navegador falso está configurada en el sitio legítimo que el usuario esperaría. Esto, combinado con una herramienta como Evilginx, se convierte en la receta perfecta para un ataque de phishing creíble.

El problema es que en los últimos meses/años, los principales sitios web como Microsoft implementaron varios pequeños trucos llamados "framebusters/framekillers" que principalmente intentan romper los iframes que podrían usarse para servir al sitio web proxy, como en el caso de Evilginx.

En resumen, Evilginx + BITB para sitios web como Microsoft ya no funciona. Al menos no con un BITB que se basa en iframes.

Aquí es donde viene la herramienta de Wael Al Masri: Frameless BibB y es simplemente eso, un BITB sin usar iframes, es decir, que podremos usar BitB con Evilginx en sitios web como Microsoft. Esto lo logra inyectando scripts y HTML además del contenido original mediante búsqueda y reemplazo (también conocido como sustituciones), y luego confiando completamente en trucos de HTML/CSS/JS para crear el efecto visual.

También utiliza un truco adicional llamado "Shadow DOM" en HTML para colocar el contenido de la página de destino (fondo) de tal manera que no interfiera con el contenido proxy, lo que nos permite usar de manera flexible cualquier landing page con pocos JS adicionales.

Instrucciones de instalación y más en la web del proyecto https://github.com/waelmas/frameless-bitb

Fuente: HackPlayers

Botnet con Ubiquity EdgeRouter infectados

Grupos de ataque militares rusos están utilizando Ubiquiti EdgeRouter comprometidos para evadir la detección, dice el FBI en un aviso conjunto emitido con la NSA, el Comando Cibernético de EE.UU. y socios internacionales.

Los ciberespías de la Unidad Militar 26165, parte de la Dirección Principal de Inteligencia del Estado Mayor (GRU - Russian Military Intelligence) de Rusia y rastreados como APT28 y Fancy Bear, están utilizando estos routers secuestrados y muy populares para construir extensas redes de bots que les ayudan a robar credenciales, recopilar hashes NTLMv2.

También se utilizan para alojar herramientas personalizadas y páginas de inicio de phishing en operaciones cibernéticas encubiertas dirigidas a militares, gobiernos y otras organizaciones en todo el mundo.

"Los EdgeRouters a menudo se envían con credenciales predeterminadas y protecciones de firewall limitadas o nulas para adaptarse a los proveedores de servicios de Internet inalámbricos (WISP)", advierte el aviso conjunto. "Además, los EdgeRouters no actualizan automáticamente el firmware a menos que un consumidor los configure para hacerlo".

A principios de este mes, el FBI desbarató una botnet de Ubiquiti EdgeRouters infectados con el malware Moobot por ciberdelincuentes no vinculados con APT28 que el grupo de hackers ruso luego reutilizó para construir una herramienta de ciberespionaje con alcance global.

En sus ataques, los actores de amenazas apuntaron a vulnerabilidades Zero-Day, incluida una vulnerabilidad crítica de elevación de privilegios en Microsoft Outlook en Windows (CVE-2023-23397), que aprovecharon para recopilar hashes NTLMv2 de cuentas de Outlook específicas. Como parte de estos ataques, los actores también instalaron herramientas disponibles públicamente, como Impacket ntlmrelayx.py y Responder, para ayudar con los ataques de retransmisión NTLM y para alojar servidores de autenticación NTLMv2 maliciosos. Actualmente hay exploits activos.

También es importante mantener el dispositivo actualizado. En julio pasado, se ha publicado un exploit de prueba de concepto (PoC) para la vulnerabilidad CVE-2023-31998 en Ubiquiti EdgeRouter. La vulnerabilidad en el miniupnpd de EdgeRouters y AirCube permite a los atacantes de LAN ejecutar código arbitrario. Actualmente también hay exploits activos.

Mientras investigaba los routers hackeados, el FBI descubrió varias herramientas y artefactos APT28, incluidos scripts de Python para robar credenciales de correo web, programas diseñados para recopilar hashing NTLMv2 y reglas de enrutamiento personalizadas que redirigían automáticamente el tráfico de phishing a una infraestructura de ataque dedicada.

APT28 es un notorio grupo de hackers ruso responsable de varios ataques cibernéticos de alto perfil desde que comenzaron a operar.

Cómo "revivir" Ubiquiti EdgeRouters secuestrados

El FBI y las agencias asociadas detrás del aviso recomiendan las siguientes medidas para deshacerse de la infección de malware y bloquear el acceso de APT28 a los routers comprometidos:

  • Realice un restablecimiento de fábrica del hardware para eliminar los sistemas de archivos de archivos maliciosos
  • Actualice a la última versión de firmware
  • Cambiar los nombres de usuario y contraseñas predeterminados, y
  • Implemente reglas de firewall estratégicas en las interfaces del lado WAN para evitar la exposición no deseada a servicios de administración remota.

El FBI está buscando información sobre la actividad de APT28 en EdgeRouters hackeados para evitar un mayor uso de estas técnicas y responsabilizar a los responsables.

Fuente: ArsTechnica

27 feb 2024

Publicado Marco de ciberseguridad (CSF) 2.0 del NIST

El Marco de ciberseguridad (CSF) 2.0 del NIST proporciona orientación a la industria, las agencias gubernamentales y otras organizaciones para gestionar los riesgos de ciberseguridad. Ofrece una taxonomía de resultados de ciberseguridad de alto nivel que cualquier organización puede utilizar, independientemente de su tamaño, sector o madurez, para comprender, evaluar, priorizar y comunicar mejor sus esfuerzos de ciberseguridad.

El Cybersecurity Framework (CSF) 2.0 está diseñado para ayudar a organizaciones de todos los tamaños y sectores (incluidos la industria, el gobierno, el mundo académico y las organizaciones sin fines de lucro) a gestionar y reducir sus riesgos de ciberseguridad. Es útil independientemente del nivel de madurez y la sofisticación técnica de los programas de ciberseguridad de una organización. Sin embargo, el CSF no adopta un enfoque único para todos. Cada organización tiene riesgos comunes y únicos, así como distintos apetitos y tolerancias de riesgo, misiones específicas y objetivos para lograr esas misiones.

Por necesidad, la forma en que las organizaciones implementan el CSF cambiará. El CSF no describe cómo se deben lograr los resultados. Más bien, enlaza con recursos en línea que brindan orientación adicional sobre prácticas y controles que podrían usarse para lograr esos resultados.

Idealmente, el CSF se utilizará para abordar los riesgos de ciberseguridad junto con otros riesgos de la empresa, incluidos aquellos de naturaleza financiera, de privacidad, de cadena de suministro, reputacionales, tecnológicos o físicos.

El CSF describe los resultados deseados que deben ser comprendidos por una audiencia amplia, incluidos ejecutivos, gerentes y profesionales, independientemente de su experiencia en ciberseguridad.

Debido a que estos resultados son neutrales en cuanto a sectores, países y tecnologías, brindan a una organización la flexibilidad necesaria para abordar sus riesgos, tecnologías y consideraciones de misión únicos. Los resultados se asignan directamente a una lista de posibles controles de seguridad para su consideración inmediata para mitigar los riesgos de ciberseguridad.

Aunque no es prescriptivo, el CSF proporciona sugerencias sobre cómo se pueden lograr resultados específicos en un conjunto cada vez mayor de recursos en línea que complementan el CSF, incluida una serie de Guías de inicio rápido (QSG).

Además, diversas herramientas ofrecen formatos descargables para ayudar a las organizaciones que optan por automatizar algunos de sus procesos. Los QSG sugieren formas iniciales de utilizar el CSF y brindan recursos relacionados. Estos recursos complementarios deben verse como una "cartera de CSF" para ayudar a gestionar y reducir los riesgos.

Partiendo de versiones anteriores, CSF 2.0 contiene nuevas características que resaltan la importancia de la gobernanza y las cadenas de suministro. Se presta especial atención a los QSG para garantizar que el CSF sea relevante y fácilmente accesible tanto para las organizaciones más pequeñas como para sus contrapartes más grandes.

El NIST ahora proporciona ejemplos de implementación y referencias informativas, que están disponibles en línea y se actualizan periódicamente. La creación de perfiles organizacionales actuales y del estado objetivo ayuda a las organizaciones a comparar dónde están y dónde quieren o necesitan estar y les permite implementar y evaluar controles de seguridad más rápidamente.

Los riesgos de ciberseguridad se expanden constantemente y su gestión debe ser un proceso continuo. Esto es cierto independientemente de si una organización recién está comenzando a enfrentar sus desafíos de ciberseguridad o si ha estado activa durante muchos años con un equipo de ciberseguridad sofisticado y con buenos recursos. El CSF está diseñado para ser valioso para cualquier tipo de organización y se espera que proporcione orientación adecuada durante un largo tiempo.

Se proporciona un conjunto de recursos en línea que complementan el CSF y están disponibles a través del sitio web del NIST CSF:

Una organización puede utilizar el núcleo, los perfiles y los niveles del CSF con recursos complementarios para comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad.

Fuente: NIST Cybersecurity Framework (CSF) 2.0

SSH-Snake: gusano que permite mapeo de red a través de SSH

Los actores de amenazas han reutilizado una herramienta de mapeo de red de código abierto recientemente llamada SSH-Snake para realizar actividades maliciosas.

"SSH-Snake es un gusano que aprovecha las credenciales SSH descubiertas en un sistema comprometido para comenzar a propagarse por la red", dijo el investigador de Sysdig Miguel Hernández"El gusano busca automáticamente en ubicaciones de credenciales conocidas y archivos de historial de shell para determinar su próximo movimiento".

SSH-Snake se lanzó por primera vez en GitHub a principios de enero de 2024 y su desarrollador lo describe como una "herramienta poderosa" para realizar un recorrido automático de la red utilizando claves privadas SSH descubiertas en los sistemas.

Al hacerlo, crea un mapa completo de una red y sus dependencias, lo que ayuda a determinar hasta qué punto una red puede verse comprometida utilizando SSH y claves privadas SSH a partir de un host en particular. También admite la resolución de dominios que tienen múltiples direcciones IPv4.

"Es completamente autorreplicante y autopropagante, y completamente sin archivos", según la descripción del proyecto. "En muchos sentidos, SSH-Snake es en realidad un gusano: se replica y se propaga de un sistema a otro tanto como puede".

Sysdig dijo que el script de shell no sólo facilita el movimiento lateral, sino que también proporciona sigilo y flexibilidad adicionales que otros gusanos SSH típicos.

La compañía de seguridad en la nube dijo que observó actores de amenazas que implementaban SSH-Snake en ataques del mundo real para recopilar credenciales, las direcciones IP de los objetivos y el historial de comandos bash luego del descubrimiento de un servidor de comando y control (C2) que albergaba el datos.

Estos ataques implican la explotación activa de vulnerabilidades de seguridad conocidas en instancias de Apache ActiveMQ y Atlassian Confluence para obtener acceso inicial e implementar SSH-Snake.

"El uso de claves SSH es una práctica recomendada que SSH-Snake intenta aprovechar para propagarse. Es más inteligente y confiable, lo que permitirá a los actores de amenazas llegar más lejos en una red una vez que consigan un punto de apoyo".

Cuando se le contactó para hacer comentarios, Joshua Rogers, el desarrollador de SSH-Snake, dijo a The Hacker News que la herramienta ofrece a los propietarios legítimos de sistemas una forma de identificar las debilidades en su infraestructura antes de que lo hagan los atacantes, instando a las empresas a utilizar SSH-Snake para "descubrir el ataque y arreglarlos".

"Parece ser una creencia común que el terrorismo cibernético 'simplemente ocurre' de repente en los sistemas, lo que sólo requiere un enfoque reactivo de la seguridad. En cambio, según mi experiencia, los sistemas deberían diseñarse y mantenerse con medidas de seguridad integrales. Si un atacante es capaz de ejecutar SSH-Snake en su infraestructura y acceder a miles de servidores, la atención debe centrarse en las personas que están a cargo de la infraestructura, con el objetivo de revitalizarla de modo que el compromiso de un único host no se pueda replicar entre miles de otros."

Rogers también llamó la atención sobre las "operaciones negligentes" de empresas que diseñan e implementan infraestructuras inseguras, que pueden ser fácilmente controladas por un simple script de shell.

"Si los sistemas se diseñaran y mantuvieran de manera sensata y los propietarios/empresas de los sistemas realmente se preocuparan por la seguridad, las consecuencias de la ejecución de dicho script se minimizarían, así como si las acciones tomadas por SSH-Snake fueran realizadas manualmente por un atacante", añadió Rogers.

"En lugar de leer las políticas de privacidad y realizar la entrada de datos, los equipos de seguridad de las empresas preocupados por que este tipo de script se apodere de toda su infraestructura deberían realizar una reestructuración total de sus sistemas por parte de especialistas en seguridad capacitados, no aquellos que crearon la arquitectura en primer lugar".

Fuente: THN

26 feb 2024

Fraudes a través Identidad Sintética (SIF)

Luego del revuelo que causó el conocimiento del sitio OnlyFake para crear documentación falsa, es bueno conocer el crecimiento que ha tenido el fraude a través Identidad Sintética (Synthetic Identity Fraud - SIF).

En 2020, el FBI identificó el fraude de identidad sintética (SIF) como el tipo de delito financiero de más rápido crecimiento. Este artículo tiene como objetivo explicar qué es SIF, por qué es importante y qué pueden hacer las empresas para prevenirlo.

Por Diego Pacheco-Páramo

Uno de los métodos de fraude asociado a la identidad que ha ganado más relevancia en los últimos años ha sido el de la creación de identidades sintéticas. Estas identidades usan atributos de identidades reales, mezclados con atributos falsos y presentados a entidades para cometer fraude a nombre de otras personas. En este documento profundizamos acerca de cómo se crean las identidades sintéticas y de los mecanismos que ayudan a tener confianza en las identidades presentadas.

El término identidades sintéticas hace referencia a identidades creadas por defraudadores, las cuales mezclan atributos de personas reales con atributos ficticios para abrir productos financieros.

La razón por la cual se utilizan atributos reales, es que de esta forma se está en capacidad de superar algunos filtros de seguridad y así ir fortaleciendo la identidad sintética para en un momento determinado usarla para defraudar a comercios o entidades financieras. Como es de esperarse, al usar atributos de la identidad de personas reales, estas quedan asociadas al fraude y son gravemente perjudicadas, algunas veces enterándose años después de cometido el fraude.

El robo de identidad y el fraude de identidad sintética son similares en que ambos implican el uso no autorizado de información personal. Sin embargo, hay una diferencia importante entre los dos.

  • El robo de identidad se refiere al uso no autorizado de información personal real de alguien, como su nombre, número de Seguro Social, fecha de nacimiento, número de cuenta bancaria, etc. Los ladrones utilizan esta información para abrir cuentas de crédito, solicitar préstamos, hacer compras y cometer otros delitos financieros en el nombre de la víctima.
  • Por otro lado, el fraude de identidad sintética se refiere al uso de información falsa o inventada para crear una identidad completamente nueva. Los ladrones pueden emplear esta identidad para abrir cuentas de crédito, solicitar préstamos, obtener servicios públicos y cometer otros delitos financieros.

De acuerdo al National Credit Union Association [NCU2020], en los Estados Unidos este problema se ha acentuado en parte debido a que el identificador principal es el número de seguridad social, el cual actualmente por sí solo no permite inferir ningún tipo de atributo de la persona, lo cual puede hacer que por ejemplo se utilice el número de seguridad social de un niño para abrir una cuenta.

Adicionalmente, este tipo de fraude no se suele realizar por una persona aislada, sino que se trata de grupos coordinados que ayudan a robustecer estas identidades falsas, elevando el nivel de las transacciones fraudulentas [CAR2019]. Esto se entiende al observar que las pérdidas asociadas a este tipo de fraude se calcularon en $820 millones de USD en 2017, y se proyectaban en $1200 millones para 2020 [CON2018]. Un caso reconocido ocurrió en 2013, cuando un grupo de 13 personas crearon 7 mil identidades falsas para robar $200 millones de USD [FBI2013].

Como lo mencionamos anteriormente, para la creación de la identidad sintética se requiere contar con algún atributo real de una persona existente. Este atributo de origen puede ser contrastado por alguna institución financiera, y sobre este se empiezan a relacionar otros atributos falsos, que le servirán al defraudador para fortalecer la identidad y hacerle creer a las instituciones que interactúan con una persona real.

Debido en gran parte a las constantes fugas de información que sufren las empresas que guardan información personal identificable, atributos como nombres, direcciones, números de documentos o incluso de cuentas bancarias se pueden asociar a una identidad física. Si esta información se presenta a una entidad que no realice una gestión adecuada, se podría usar esta información para abrir una cuenta bancaria. Con esta cuenta se podría abrir un microcrédito, que podría ser pagado, lo cual robustecería la confianza sobre esta identidad.

Como es de esperarse, algunos atributos como la dirección, el correo electrónico o la foto del individuo se reemplazaría con información del defraudador. Una vez se tenga una confianza suficiente, o el score crediticio sea lo suficientemente alto, el defraudador podría pedir un préstamo que no pagaría, ejecutando el fraude. Como se puede ver, el éxito de la identidad sintética se basa en establecer confianza sobre un conjunto de atributos que están asociados de manera equivoca a una identidad física. Por lo tanto, las soluciones que buscan detectar una identidad sintética se suelen basar en la evaluación de los atributos de la identidad.

¿Cómo funciona?

En este tipo de fraude, los delincuentes utilizan información personal de diferentes personas, como nombres, direcciones, números de seguridad social, fechas de nacimiento, entre otros, para crear una identidad falsa que no pertenece a ninguna persona real.

El proceso de cometer fraude de identidad sintética suele contener los siguientes pasos:

  • Recopilación de información: los delincuentes recopilan información personal de diferentes fuentes, como bases de datos públicas, redes sociales, registros de crédito, entre otros.
  • Creación de la identidad falsa: los delincuentes combinan la información recopilada para crear una nueva identidad falsa. En algunos casos, pueden incluso utilizar información falsa para completar la identidad.
  • Verificación de la identidad: los delincuentes usan la nueva identidad falsa para solicitar servicios financieros, como tarjetas de crédito, préstamos, cuentas bancarias, entre otros. En algunos casos, pueden incluso solicitar empleo o servicios gubernamentales.
  • Construcción de la identidad: los delincuentes construyen la identidad falsa a lo largo del tiempo, utilizando la información y los servicios financieros para mejorar la credibilidad de la identidad.
  • Uso fraudulento: una vez que la identidad falsa ha sido construida, los delincuentes pueden emplearla para llevar a cabo diferentes tipos de fraude, como el robo de identidad, el fraude en tarjetas de crédito, el lavado de dinero, entre otros.

El fraude de identidad sintética puede ser difícil de detectar, ya que los delincuentes usan información real para crear la identidad falsa. Además, los delincuentes también pueden utilizar diferentes identidades falsas para llevar a cabo sus actividades fraudulentas, lo que hace que sea difícil rastrearlos.

¿Cómo detectar identidades sintéticas?

Como lo mencionamos en la sección anterior, el fraude por identidades sintéticas se basa en un error a la hora de confiar en que algunos atributos se pueden asociar con una identidad física. El defraudador hábilmente construye confianza sobre estos atributos, basándose en una interacción inicial donde se usa un atributo real. Por lo tanto, tiene sentido que las soluciones que buscan detectar una identidad sintética se basen en analizar la calidad de los atributos y en cómo asignar de manera correcta un grado de confianza en cada uno de ellos.

En [MCK2019], se resalta la dificultad de que los sistemas de detección de fraude basados en aprendizaje de máquina detecten este tipo de casos debido a que muchas veces se confunden con casos de no-pago, generando dificultades para el entrenamiento. Para evitar rechazar a clientes reales, proponen una evaluación de atributos basado en 2 dimensiones: profundidad y consistencia.

Con profundidad hacen referencia a la historia del atributo. Por ejemplo, en el caso de un número de teléfono puede ser útil saber si este existe hace un tiempo considerable. Con consistencia hacen referencia a las relaciones que se dan entre diferentes fuentes de información, y como estos coinciden en los atributos que presentan. Por ejemplo, si se ve que hay coincidencia entre la dirección física registrada en la cuenta del banco y en la información que presenta en un formulario, se puede decir que es un atributo que presenta consistencia. Tomando cada atributo, y evaluándolo bajo estas dos características, se puede realizar una evaluación general de la identidad presentada, y según ellos, mitigar efectivamente el riesgo de aceptar una identidad sintética por medio de un modelo de riesgo que castiga las identidades poco profundas y con poca consistencia.

En [SOE2014], se presenta un "ecosistema de identidad", el cual permite evaluar el nivel de riesgo de los atributos presentados, en función de la probabilidad de que sean comprometidos. Como lo mencionamos en la sección anterior, desafortunadamente atributos de nuestra identidad pueden estar disponibles para terceros. Si existe certeza de que un atributo en específico está disponible para terceros, es de esperarse que una entidad considere que este atributo no es suficiente por sí solo para probar la identidad de una persona.

Por lo tanto, lo que se busca hacer en esta solución es cuantificar el nivel de riesgo de cada uno de los atributos basándose en la forma en que estos atributos se presentan y como se relacionan entre ellos. Por ejemplo, en la cédula de ciudadanía colombiana aparecen los nombres, apellidos y fecha de nacimiento de una persona. Por lo tanto, si se le pierde a alguien la cédula, es de esperarse que un tercero que tenga los nombres de esa persona también tenga la fecha de nacimiento. Pero así como existe la cédula, existen muchas otras fuentes de información personal identificable, que relacionan los atributos de una identidad. Esto permite tener un modelo que asigna un nivel de riesgo para cada atributo, indicándole a la entidad el grado de confianza que puede tener en las identidades presentadas.

Por otro lado, Equifax [EQU2019] propone una evaluación de atributos para detectar identidades sintéticas basado en la generación de perfiles y su relación con atributos generados por diferentes fuentes de información. El objetivo de este sistema es detectar inconsistencias entre los atributos presentados por las diferentes fuentes de información, o relaciones entre los atributos presentados y los de aquellos perfiles que han estado relacionados con algún tipo de fraude. Este último aspecto es relevante ya que una de las características que tiene el fraude basado en identidades sintéticas es que suele apoyarse en perfiles que tienen un alto score crediticio. De esta manera, es más fácil identificar patrones de abuso.

Conclusiones

El uso de identidades sintéticas se basa en la dificultad de asociar un nivel de confianza a los atributos presentados, ya que muchas veces estos no pueden ser corroborados como en el caso de los números de seguridad social en Estados Unidos. Por lo tanto, se hace necesario evaluar la confianza entregada a cada uno de los atributos presentados. Las soluciones observadas utilizan criterios como la consistencia y la profundidad para garantizar la calidad de los atributos asociados a la identidad presentada. Esto se hace muy importante si tenemos en cuenta que muchos de los atributos de nuestra identidad se encuentran fuera de nuestro control debido al mal manejo de nuestros datos personales, fugas de información, o simplemente por compartir nuestros datos personales en lugares públicos.

Bibliografía

Fuente: Reconoserid | AliceBiometrics

25 feb 2024

VMware pide ELIMINAR un complemento de autenticación vulnerable y obsoleto

VMware urge a los administradores a eliminar un complemento de autenticación descontinuado y expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se habían parcheado.

El componente vulnerable Enhanced Authentication Plug-in (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través de la autenticación integrada de Windows.

VMware anunció la obsolescencia de EAP hace casi tres años, en marzo de 2021, con el lanzamiento de vCenter Server 7.0 Update 2.

Registrados como CVE-2024-22245 (CVSS de 9,6/10) y CVE-2024-22250 (7,8/10), los dos fallos de seguridad parcheados esta semana pueden ser utilizados por atacantes maliciosos para transmitir tickets de servicio Kerberos y tomar el control de sesiones EAP privilegiadas.

La compañía agregó que actualmente no tiene evidencia de que las vulnerabilidades de seguridad hayan sido explotadas en la naturaleza.

Cómo proteger los sistemas vulnerables

Para solucionar los fallos de seguridad CVE-2024-22245 y CVE-2024-22250, los administradores deben eliminar tanto el complemento/cliente del navegador (VMware Enhanced Authentication Plug-in 6.7.0) como el servicio de Windows (Servicio de complemento de VMware).

Para desinstalarlos o deshabilitar el servicio de Windows si no es posible eliminarlos, se pueden realizar los siguientes pasos a través de comandos de PowerShell, como se recomienda aquí.

Como alternativa a este complemento de autenticación vulnerable, VMware recomienda a los administradores utilizar otros métodos de autenticación de VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta y Microsoft Entra ID (anteriormente Azure AD).

El mes pasado, VMware también confirmó que una vulnerabilidad crítica de ejecución remota de código de vCenter Server (CVE-2023-34048) parcheada en octubre estaba bajo explotación activa. Mandiant reveló que el grupo chino de ciberespionaje UNC3886 abusó de él como Zero-Day durante más de dos años, al menos desde finales de 2021.

Fuente: BC

23 feb 2024

Importancia de backups inmutables para la resiliencia

Para mejorar la estrategia de protección de datos y mantener la empresa en funcionamiento, una copia de seguridad segura es prioridad. La protección de los datos es uno de los pilares centrales de seguridad de la información y se centra en la accesibilidad y la inmutabilidad de las copias de seguridad.

La inmutabilidad sigue siendo un tema candente, especialmente en torno al ransomware, y muchos proveedores y organizaciones adoptan tecnologías inmutables para lograr resiliencia en ciberseguridad. 

¿Qué son exactamente los backups inmutables y por qué debería utilizarlas en su estrategia de protección de datos?

Antes de implementar una solución de copia de seguridad inmutable, es necesario comprender qué es. Inmutable significa que algo no se puede cambiar ni eliminar. Por lo general, las copias de seguridad inmutables sólo se pueden eliminar una vez que haya expirado un período de tiempo determinado. Los datos de copia de seguridad inmutables están a salvo de posibles cambios o eliminaciones, lo que significa que su integridad original permanece intacta.

Con el auge del ransomware, tener una copia de seguridad inmutable se ha vuelto fundamental para la recuperación. Esto se debe a que los actores de amenazas ahora atacan rutinariamente las copias de seguridad y las máquinas virtuales. Con una copia de seguridad inmutable esos datos quedan protegidos de este tipo de ataques.

¿Por qué son importantes las copias de seguridad inmutables?

Las copias de seguridad inmutables no solo lo ayudan a recuperarse después de un evento de ransomware, sino que también sirven para otros propósitos cuando se trata de diseñar e implementar una estrategia de protección de datos resiliente.

Un ejemplo de esto es la recuperación después de una eliminación accidental. Las estrategias de inmutabilidad impulsan a las partes interesadas a tener conversaciones directas que describan cuáles deben ser sus acuerdos de nivel de servicio empresarial para recuperar datos críticos con éxito.

Entonces, ¿por qué no utilizar la inmutabilidad para todo y activarla para siempre para evitar la eliminación accidental de datos? Dado que la inmutabilidad generalmente necesita tener una ventana de disponibilidad acordada, puede haber otros riesgos involucrados.

Tener copias de seguridad inmutables que sean demasiado largas puede poner en peligro el consumo innecesario de almacenamiento y aumentar el costo de almacenar esos datos. Esto también puede aumentar la posibilidad de que se produzca una dispersión de datos, lo que puede crear desafíos a la hora de gestionar los gastos generales para sus administradores/equipo de almacenamiento. Por el contrario, períodos de retención demasiado cortos pueden poner en riesgo la capacidad de una organización para recuperar datos críticos. Esto puede tener consecuencias legales y afectar la reputación, lo que provoca que los empleados pierdan sus empleos.

Copia de seguridad inmutable frente a copias de seguridad tradicionales (mutables)

Actualmente, nuestra organización utiliza copias de seguridad tradicionales (es decir, mutables). ¿Estamos en riesgo? Según el informe de tendencias de protección de datos de Veeam, el 85% de 4.200 organizaciones encuestadas admitieron haber sufrido al menos un ciberataque conocido en 2022. Depender de la copia de seguridad tradicional ya no es suficiente cuando se trata de ciberamenazas y tener una defensa en capas inmutabilidad ayudará a aumentar sus posibilidades de recuperación.

Con las herramientas actuales, es posible utilizar copias de seguridad tradicionales e inmutables en conjunto. Si bien las copias de seguridad inmutables pueden convertirse en la forma predeterminada en la que la mayoría de los clientes almacenan sus datos, las copias de seguridad tradicionales aún se pueden usar para extender una política fuera de la "zona de recuperabilidad" o para clases de datos inferiores, como entornos de desarrollo/pruebas, donde es bueno tener copias pero esos datos no son críticos para las operaciones del negocio.

Entonces, ¿cómo se decide una estrategia de inmutabilidad?

El desglose es bastante simple y se puede lograr siguiendo una estrategia de respaldo 3-2-1-1-0.

  • Debe haber 3 copias de los datos.
  • En 2 medios diferentes
  • Con 1 copia fuera del sitio
  • Con 1 copia fuera de línea, aislada o inmutable
  • Y 0 errores en la verificación de recuperación

Tanto las copias de seguridad inmutables como las tradicionales (es decir, mutables) se utilizan juntas en una estrategia general de protección de datos. Aquí, se puede tener copias de seguridad locales utilizando backup tradicionales mientras una copia se almacena en un almacenamiento inmutable externo o en la nube.

Beneficios de las copias de seguridad inmutables

Hay muchos beneficios de las copias de seguridad inmutables más allá de la resistencia al ransomware:

  • Integridad y seguridad de los datos
    • Prevención de corrupción de datos
    • Protección contra ataques maliciosos
    • Cumplimiento de las regulaciones de datos (por ejemplo, GDPR)
  • Recuperación confiable ante desastres
    • RTO más rápidos: no es necesario buscar copias de seguridad intactas después del ataque
    • RPO más altos: muchos buenos puntos de recuperación conocidos
  • Preservación de datos históricos.
    • Garantizar la auditabilidad y el cumplimiento
    • Facilitar el análisis forense

Las copias de seguridad inmutables son seguras de usar y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) recomienda su uso con cifrado para ayudar a mitigar el ransomware.

Implementación de copias de seguridad inmutables

La implementación de la inmutabilidad puede variar según la tecnología que desee aprovechar. Esto puede variar desde soluciones locales, opciones en la nube e inmutabilidad de múltiples capas con cifrado que depende de su proveedor de tecnología.

El primer conjunto de datos original es la infraestructura de producción. Aquí, los proveedores de almacenamiento primario pueden crear instantáneas de volumen inmutables (es decir, de solo lectura) de las cargas de trabaj y con controles de acceso adecuados, como la autenticación multifactor.

Esto facilita la recuperación rápida de un evento de pérdida de datos reciente y está separado del respaldo tradicional, lo que hace que los respaldos sean portátiles, de modo que si los datos originales se ven comprometidos, el destino de respaldo no se verá afectado y siempre se tendrá una copia para recuperar.

Soluciones de almacenamiento local inmutables

Un servidor de almacenamiento basado en disco. Los proveedores de servidores pueden variar desde HPE, Cisco, Dell o Lenovo y aprovechar la deduplicación, compresión y clonación de bloques.

Los proveedores públicos, incluidos Amazon y Microsoft Azure, pueden proporcionar inmutabilidad al crear un depósito S3 o un contenedor de Azure. La inmutabilidad se puede ampliar a largo plazo a través de capacidades de archivo para distribuir los datos en niveles en Amazon S3 Glacier o Microsoft Azure Archive, respectivamente.

También hay proveedores de nube como Wasabi que brindan almacenamiento externo que aprovecha el bloqueo de objetos compatible con S3.

Los proveedores de ecosistemas, incluidos IBM y Veeam Cloud & Service Providers (VCSP), proporcionan inmutabilidad en el backend. También se pueden utilizar como un sitio de recuperación ante desastres que amplía las capacidades para replicar las cargas de trabajo más críticas y lograr RTO bajos.

Todos los proveedores enumerados anteriormente tienen artículos de base de conocimientos que enlazan con las mejores prácticas y arquitecturas validadas

Estrategias de respaldo y mejores prácticas

Una vez que se establece la inmutabilidad para ciertos proveedores, puede ser difícil cambiarla e incluso es permanente en algunos casos. Por lo tanto, es importante comprender los acuerdos de nivel de servicio comerciales de su organización y contar con políticas de retención acordadas que eviten contratiempos en el almacenamiento de datos. Estas son las tres preguntas principales que debe considerar al elegir la mejor tecnología para usted:

  • Duración: ¿Qué tan rápido podrías restaurar tu negocio? ¿<1 día, <1 semana, <1 mes o más? Tener múltiples estrategias de recuperación es fundamental para prepararse para cualquier tipo de evento de pérdida de datos. Una copia de seguridad tradicional basada en instantáneas deja demasiados agujeros sin tapar. Agregar al menos una copia de seguridad inmutable aumenta sus posibilidades de recuperar sus datos con éxito.
  • Cómo: ¿Existen procesos de recuperación manuales o automatizados y en qué orden? Una interrupción no es el momento para determinar qué cargas de trabajo deben recuperarse primero y cuánto tiempo podrían tardar. Tener documentación probada y actualizada para la continuidad del negocio/recuperación ante desastres (BC/DR) es fundamental.
  • Dónde: ¿Qué lugar ha designado para la recuperación? ¿Es la nube, un proveedor de servicios o un segundo centro de datos? Se debe considerar la replicación externa y la redundancia geográfica al crear un plan BC/DR. Si no hay un segundo sitio disponible, ¿podría aprovechar un VCSP o un proveedor de nube pública para obtener datos fuera del sitio y de forma inmutable? Esto ha salvado a numerosas organizaciones que necesitaban recuperarse pero no tenían acceso a la infraestructura local.

Fuente: Veeam | Estrategia de backups

22 feb 2024

Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023

La explotación de vulnerabilidades por parte de los grupos de ransomware se divide en dos categorías claras: vulnerabilidades que solo han sido explotadas por uno o dos grupos y aquellas que han sido ampliamente explotadas por varios grupos. Cada una de estas categorías requiere un enfoque diferente para la defensa y la mitigación y este informe de Recorded Future profundiza en estos aspectos.

Los grupos de actores de amenazas que son los únicos que atacan ciertas vulnerabilidades tienden a seguir preferencias específicas de orientación y uso de armas, lo que permite a las empresas priorizar las defensas de la red y las auditorías de los proveedores. La mejor defensa contra los grupos que favorecen la explotación única es crear un perfil de sus objetivos más probables, tanto en términos de productos como de tipos de vulnerabilidad.

Las vulnerabilidades ampliamente explotadas se encuentran en el software que se utiliza con frecuencia en las grandes empresas. Estas vulnerabilidades suelen explotarse fácilmente mediante módulos de pruebas de penetración o líneas mínimas de código centradas en dispositivos que aceptan solicitudes HTTP/S.

Las mejores defensas contra la explotación generalizada son parchear las vulnerabilidades tan pronto como estén disponibles, monitorear la investigación de seguridad para detectar vulnerabilidades simples de prueba de concepto y monitorear los foros criminales en busca de referencias a componentes de la pila tecnológica (en lugar de vulnerabilidades específicas).

Resultados clave

  • Los grupos de ransomware son los únicos que explotan tres o más vulnerabilidades y muestran un claro enfoque de selección, que los defensores pueden utilizar para priorizar las medidas de seguridad. Por ejemplo, CL0P se ha centrado de manera única en el software de transferencia de archivos de Accellion, SolarWinds y MOVEit. Otros grupos de ransomware con altos niveles de explotación única muestran patrones similares.
  • Todas las vulnerabilidades que los grupos de ransomware han atacado con mayor frecuencia se encuentran en el software utilizado con frecuencia por las grandes empresas y pueden explotarse fácilmente mediante módulos de prueba de penetración o líneas individuales de código curl. Estas vulnerabilidades son ProxyShell (CVE) 2021 (34473), CVE (2021) 34523 y CVE (2021) 31207, ZeroLogon (CVE 2020) 1472, Log4Shell (CVE 2021) 44228, CVE 2021 (3). 4527 y CVE 2019 19781.
  • Las vulnerabilidades que requieren vectores únicos o personalizados para explotar (por ejemplo, archivos maliciosos que utilizan formas particulares de compresión) tienen más probabilidades de ser explotadas por sólo uno o dos grupos.
  • Es muy poco probable que los operadores y afiliados de ransomware hablen sobre vulnerabilidades específicas, pero el ecosistema cibercriminal que los respalda ha discutido vulnerabilidades y productos públicamente conocidos como objetivos de interés para la explotación.

Las tres principales identificaciones (ID) de CWE para vulnerabilidades explotadas por grupos de ransomware son las siguientes:

  • CWE 20 (Validación de entrada incorrecta): nueve vulnerabilidades
  • CWE 22 (Limitación inadecuada de un nombre de ruta a un directorio restringido ["Path Traversal"]): nueve vulnerabilidades
  • CWE 787 (escritura fuera de límites): ocho vulnerabilidades

Este resultado no es del todo sorprendente, ya que se alinea aproximadamente con patrones más amplios observados en el panorama de amenazas. Por ejemplo, CWE 20, CWE 22 y CWE 787 figuraron entre los diez CWE principales en la lista de las 25 debilidades de software más peligrosas de 2023 de CISA / MITRE, una clasificación elaborada a partir del análisis de los CVE que se explotan actualmente en el salvaje.

La explotación generalizada se concentra en los grandes proveedores y los scripts fáciles.

De todas las vulnerabilidades explotadas por las operaciones de ransomware, cinco se destacaron como aquellas que atrajeron la mayor atención de los actores de amenazas, habiendo sido explotadas por el mayor número de actores de amenazas de ransomware individuales.

Estas vulnerabilidades son ProxyShel, ZeroLogon, Log4Shell, CVE 2021 34527, que afectó a productos empresariales de Microsoft como Exchange, Netlogon y Print Spooler, y CVE 2019 19781, que afectó al software de Citrix.


El dominio de Microsoft aquí no es sorprendente: como hemos identificado en informes anteriores, Microsoft es regularmente el proveedor más afectado por la explotación de Zero-Days y por el ransomware en general, ya que alrededor del 55% de las vulnerabilidades explotadas por tres o más grupos estaban en productos de Microsoft.

Las cinco vulnerabilidades principales también resultaron muy populares en el panorama de amenazas más amplio una vez reveladas debido a factores como el alto impacto en términos de acceso o control sobre los sistemas y la ubicuidad del software afectado. Por ejemplo, se observó repetidamente que grupos de estados-nación y otros ciberdelincuentes que no utilizan ransomware atacaban estas vulnerabilidades como parte de sus operaciones de intrusión.

Al examinar las actividades de los grupos de ransomware y el uso de vulnerabilidades conocidas públicamente en foros, se identificaron dieciséis CVE no solo a los que se hace referencia en foros criminales sino que también son explotados por miembros de ransomware como servicio y RaaS.

Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023

(clic para agrandar)

Los ciberdelincuentes afiliados a RaaS se encuentran en estos foros delictivos y pueden utilizar estas publicaciones en los medios para facilitar su interés en explotar una vulnerabilidad.

Mitigaciones

Con base en los hallazgos y evaluaciones anteriores, consideramos que las siguientes son las defensas más efectivas contra la explotación de vulnerabilidades por parte de los operadores de ransomware:

  • A menos que sea necesario, asegúrese de que los dispositivos y las redes no puedan recibir solicitudes entrantes en los puertos 80 HTTP y 443 HTTPS. La explotación de vulnerabilidades del ransomware de mayor volumen muestra una clara preferencia por las vulnerabilidades críticas que pueden explotarse mediante unas pocas líneas de código contra dispositivos que pueden recibir solicitudes HTTP/S.
  • Monitorear artículos, blogs y repositorios de códigos de investigadores de seguridad en busca de referencias a una sintaxis de explotación simple basada en solicitudes HTTP/S (como el código curl). Esta información se puede utilizar para configurar detecciones de intentos de explotación contra dispositivos que deben permanecer accesibles públicamente.
  • Para los grupos de ransomware de interés, identifique si dichos grupos explotan vulnerabilidades específicas y dónde, para crear un perfil de los objetivos más probables, tanto en términos de productos como de tipos de vulnerabilidad. Por ejemplo, las organizaciones preocupadas por CL0P deberían priorizar mayores medidas de seguridad contra la inyección SQL en el software de transferencia de archivos. Alternativamente, las organizaciones preocupadas por ALPHV deberían priorizar el refuerzo de la autenticación para el software de respaldo de datos.
  • Parchee las vulnerabilidades críticas y ampliamente explotadas lo más rápido posible. Las estadísticas de tiempo de permanencia anteriores demuestran que los grupos de ransomware pueden explotar la infraestructura vulnerable de las víctimas más de tres años después de la divulgación de una vulnerabilidad.
  • No utilice el monitoreo de foros criminales como una forma confiable de identificar el interés de los grupos de ransomware en vulnerabilidades específicas, ya que estos grupos rara vez discuten dichas vulnerabilidades. Además, no confíe en las alertas de menciones criminales de identificadores CVE, ya que los delincuentes generalmente hablan de los identificadores CVE solo después de que se ha producido la explotación. En su lugar, supervise las discusiones criminales sobre proveedores y productos preocupantes.

​Fuente: Recorded Future