Los Ataques DDos Vuelven con Fuerza y se Sofistican Según el informe Quarterly Cyberthreat Intelligence Report de Infoblox

Ya sean volumétricos, dirigidos a nivel de aplicación o basados en protocolos, el objetivo final de los atacantes DDoS es extorsionar a la organización víctima

Marzo de 2022 –  Infoblox, líder en gestión de DNS y servicios de seguridad, ha publicado una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Reporta, un informe de inteligencia de seguridad que recopila las principales amenazas y brechas de seguridad detectadas en todo el mundo desde octubre hasta diciembre de 2021. Las principales revelaciones incluyen:

• El phishing, causa principal de violaciones de datos en 2021 – En su informe de seguridad de noviembre de 2021, Dark Reading recoge que los ataques de phishing, malware y denegación de servicio siguieron siendo las causas más comunes de violaciones de datos que las organizaciones experimentaron en 2021 y destaca el phishing como la causa más frecuente. Según este informe, el porcentaje de organizaciones que han denunciado una brecha relacionada con el phishing creció ligeramente en 2021 (53 %) frente a 2020 (51%).
• Vuelven con fuerza los ataques DDoS y se sofistican – Los ataques distribuidos de denegación de servicio (DDoS) son un tipo de ataque que causa una interrupción masiva de servicios de red. En un nivel alto, los ataques DDoS se pueden categorizar como volumétricos, dirigidos al nivel de aplicación, o basado en protocolos. Por lo general, se dirigen a los niveles 3, 4 y 7 del modelo OSI para arquitecturas de TI.
• Los ataques DDoS volumétricos aprovechan principalmente los protocolos de capa 7, especialmente el DNS y protocolo de tiempo de red (NTP), e intentan reducir el ancho de banda de una red capacidad inundando la red con mucho tráfico o con paquetes de solicitud. Algunos ataques DDoS volumétricos son lo suficientemente grandes como para comprometer la capacidad de ancho de banda de proveedores de servicios de Internet o de enlaces a centros de datos, lo que impide que el tráfico legítimo pueda conectarse a sitios web.
• Ataques DDoS a nivel de aplicación. Se dirigen principalmente a protocolos de nivel 7. A diferencia de los ataques volumétricos, intentan agotar los recursos del servidor al atacar los procesos back-end de las aplicaciones que son costosos en términos computacionales. Además, generan menos tráfico y usan menos ancho de banda total, pero pueden infligir tanto daño como los anteriores.
• Ataques DDoS basados en protocolos. Tienen como objetivo explotar las debilidades de los protocolos en los niveles 3 y 4. Este tipo de ataques son difíciles de mitigar, porque la mayoría de los dispositivos conectados utilizan protocolos de comunicación típicos de Internet. Aunque los fabricantes lanzan parches de seguridad con relativa rapidez, las empresas pueden tardar mucho tiempo en implementarlos, ya que a menudo son incompatibles con los sistemas existentes.

Cadenas de ataque en ataques DDos

Las campañas de extorsión DDoS suelen seguir alguno de estos dos tipos de cadenas de ataque:

• Los atacantes comienzan con un ataque de DDoS de demostración: una demostración de fuerza y un intento para convencer a la organización atacada de que la amenaza es real. El objetivo de los cibercriminales suele ser un recurso de TI específico vinculado a servicios web de la organización atacada o infraestructura de red. El ataque es lo suficientemente grande como para frenar los servicios de red, pero no lo suficiente como para hacerlos caer. Después o durante el ataque, la organización atacada recibe un correo electrónico en el que se materializa la extorsión, amenazando con lanzar un ataque DDoS masivo si la organización no hace efectivo un pago, a menudo a través de criptomonedas. Si la organización no realiza el pago en la fecha límite, los atacantes continúan con el ataque DDoS y con la extorsión hasta consiguen el pago completo.
• Los atacantes envían el correo electrónico de extorsión antes del ataque. El correo electrónico contiene las exigencias, una cartera de criptomonedas para hacer el pago, fecha límite, capacidad del ataque y otros detalles. A veces hacen una demonstración de la capacidad de atacar a través del correo electrónico, enviando varios terabytes de tráfico por segundo. En la mayoría de los casos, estos las amenazas no son ficticias y van seguidas de ataques a gran escala.

Amenazas de seguridad detectadas por Infoblox en el cuatro trimestre de 2021

• Fake Delivery Spam Email Drops Ave Maria – El 5 y 6 de octubre, Infoblox observó que se estaba distribuyendo una campaña de malspam con el troyano de acceso remoto (RAT) Ave María a través de un archivo de Microsoft Word. Ave María se vio por primera vez a finales de 2018
• Malspam Campaign ofrece Dark Crystal RAT (dcRAT) – Campaña de correo electrónico malicioso distribuyendo dcRAT. Este malware se propaga a través de un documento de Microsoft Word que contiene un script VBA malicioso.
• Extorsión y mitigación de DDoS – La denegación de servicio distribuida (DDoS) es un ataque cibernético que causa una interrupción masiva de servicios. Antes de 2020, los actores de DDoS generalmente enviaban amenazas vacías y no continuaban con los ataques; desde la segunda mitad de 2020, y a lo largo de 2021, los actores han cumplido sus amenazas y han continuado con ataques más frecuentes.
• SWIFT-Themed Malspam Delivers Vidar Infostealer – El 20 de octubre, Infoblox observó una campaña de correo electrónico malicioso que distribuía el infostealer Vidar, usando como asunto del mensaje un pago internacional. Las características del archivo Vidar utilizado en esta campaña se parecía mucho a los del archivo Vidar que se observó el año pasado. Después de comprometer la máquina de una víctima, Vidar extrae datos de los navegadores web, carteras de criptomonedas, software de mensajería y software de autenticación de dos factores.
• Malspam ofrece Adwind RAT – Del 22 al 27 de octubre, Infoblox observó múltiples campañas de malspam que distribuyen el troyano de acceso remoto (RAT) Adwind a través de Java y archivos JavaScript. Adwind RAT es un malware multiplataforma y multifuncional. Se distribuye abiertamente como “Malware as a Service” (MaaS), que los ciberdelincuentes pueden personalizar y controlar.
• PINK BOA, un nuevo actor de ciberataques – Desde principios de 2021, se ha rastreado a un nuevo actor de amenazas, llamado BOA ROSA. El actor ha estado muy activo a lo largo de este período, pero las campañas se han intensificado aún más en las últimas semanas. PINK BOA utiliza un algoritmo de diccionario DGA (DDGA) para generar nombres de host aleatoriamente, y utiliza miles de direcciones IP propiedad de un proveedor de alojamiento con sede en EE. UU.
• Log4j Exploit Harvesting – El 9 de diciembre, el Instituto Nacional de Normas y Tecnología dio a conocer una vulnerabilidad crítica en Log4j, que es un software de registro ampliamente adoptado. Esta la vulnerabilidad es CVE-2021-44228 y permite a los atacantes ejecutar código arbitrario en un servidor remoto. Debido a que la vulnerabilidad es fácil de explotar, se detectó inmediatamente y se respondió rápidamente para identificar problemas en el software y mitigar riesgos.

Infoblox alerta de la proliferación de sitios fraudulentos vinculados a la crisis de Ucrania

1. Resumen Ejecutivo  

Desde la invasión rusa a Ucrania el 24 de febrero, Infoblox Threat Intelligence Group ha observado un marcado aumento en la cantidad de nuevos nombres de dominio relacionados con Ucrania en nuestros DNS resolvers recurrentes. Gran parte de esta actividad es parte de una respuesta global a la crisis humanitaria que está ocurriendo en Europa del Este, y parte de esta actividad consiste en nuevos esfuerzos liderados por grupos previamente descoordinados. Sin embargo, los ciberdelincuentes también aprovecharon la oportunidad y crearon muchos sitios para suplantar o imitar esfuerzos de soporte genuinos. Distinguir entre estos dos escenarios puede ser difícil incluso para las personas más cautelosas.  

2. Análisis  

El análisis del tráfico de DNS a través de nuestros resolvers recurrentes desde el 24 de febrero ha mostrado un aumento espectacular en los dominios relacionados con Ucrania: del 24 al 28 de febrero, se vieron por primera vez más del doble de dominios que en la semana anterior a la ofensiva rusa.  

En respuesta, Infoblox ha desarrollado múltiples análisis y está evaluando activamente el nivel de amenaza de los dominios recién observados. Hemos encontrado indicadores relacionados con actividades que van desde campañas de malware hasta personas que realizan nuevos esfuerzos para coordinar la entrega de suministros médicos a Ucrania. Entre las amenazas más frecuentes en este entorno se encuentran las estafas para recolectar criptomonedas.  

Uno de los desarrollos que dificulta el análisis es que muchos esfuerzos, tanto legítimos como fraudulentos, se están estableciendo como Organizaciones Anónimas Descentralizadas (DAO). Una DAO típica se centra en un tema específico, como la guerra en Ucrania, y es una organización propiedad de sus miembros sin un liderazgo central. Estas organizaciones se basan en registros y reglas de transacciones financieras establecidas en una cadena de bloques. De hecho, el 26 de febrero, una cuenta de Twitter1 identificable con el gobierno ucraniano solicitó donaciones en criptomonedas, lo que podría haber contribuido a la oleada de sitios emergentes que ofrecen donaciones mediante moneda virtual.  

En las horas posteriores a que las tropas rusas cruzaran la frontera con Ucrania, se establecieron varios DAO legítimos para protestar por las acciones de Rusia y crear apoyo financiero para Ucrania. Quizás el más notable de estos es el DAO de Ucrania, alojado en ukrainedao[.]love y establecido por la fundadora de Pussy Riot, Nadya Tolokonnikova, y otros activistas. Debido al nuevo registro y uso de criptomonedas de este DAO, muchos proveedores de seguridad han concluido falsamente que su dominio de alojamiento es malicioso.  

El sitio web de Ucrania DAO ofrece dos métodos para donar a la causa:  

 (1) las personas pueden donar criptomonedas directamente a la billetera Ethereum ukrainedao[.]eth, y (2) las personas con una billetera en cadena pueden donar y recibir una ficha de “amor” que no tiene valor monetario pero sí tiene impacto social. Aunque está alojado en un dominio recién registrado y utiliza criptomonedas, los fundadores reclaman públicamente la DAO de Ucrania y la reconocen en cuentas de Twitter verificadas. Hemos llegado a la conclusión de que este dominio no aloja malware ni contenido fraudulento.  

Por el contrario, una serie de otras DAO son más sospechosas y carecen de vínculos creíbles con personalidades establecidas en la región. Como el dominio saveukraine[.]xyz. A primera vista, el contenido es similar al de Ucrania DAO; sin embargo, según varios factores, evaluamos que este sitio web es una estafa de criptomonedas:  

• La dirección de Ethereum anunciada no tiene transacciones.  

• No hay ningún reclamo validado públicamente de este sitio.  

• Investigadores establecidos de ESET concluyeron que el sitio web es fraudulento.  

• Los propietarios del sitio están creando transacciones de terceros a otro dominio recientemente registrado, unchain[.]fund, por el cual reciben tarifas.  

Comparar la DAO de Ucrania con saveukraine[.]xyz demuestra lo difícil que puede ser para el consumidor promedio distinguir entre una actividad válida y una actividad nefasta. Además de recibir dinero de forma falsa, los ciberdelincuentes pueden usar esta interacción para robar información personal y tarjetas de crédito y distribuir malware.  

Los investigadores de Infoblox han analizado manualmente docenas de dominios recientemente observados relacionados con Ucrania. A medida que proporcionamos el contenido a los firewalls de DNS que utilizan nuestros clientes, queremos asegurarnos de que los protegemos de actores maliciosos y no interferimos con los esfuerzos de ayuda genuinos únicamente en función de la antigüedad de un dominio o la apariencia de un sitio web.  

Además de los sitios web de donaciones como los que describimos anteriormente, la invasión ha inspirado esfuerzos de base para reunir apoyo, protestar contra la invasión y brindar ayuda al pueblo de Ucrania. Se han creado nuevos sitios web para recopilar medicamentos y suministros, organizar voluntarios para las milicias y difundir información sobre las protestas locales. Algunos de estos sitios web incorporan hojas de cálculo o enlaces a Formularios de Google, que a menudo se asocian con comportamientos maliciosos.  

3. Prevención y mitigación  

Las personas y organizaciones que deseen apoyar causas humanitarias en Ucrania o ser parte de los esfuerzos locales para poner fin a la guerra deben tener mucho cuidado al interactuar con sitios web relacionados con dichos esfuerzos. Recomendamos que todos lo piensen dos veces antes de hacer clic en los enlaces a los sitios y verifiquen la legitimidad de estas organizaciones. Algunos de estos sitios podrían servir como frentes fraudulentos para operaciones de inteligencia u operaciones de delitos cibernéticos, lo que representa un riesgo potencial de spyware para los dispositivos finales y la recopilación de información de identificación personal (PII). Antes de proporcionar información personal o financiera a este tipo de sitios web, verifique con una fuente establecida que identifique a la organización y su dominio de alojamiento.  

4. Indicadores  

Infoblox proporcionará indicadores relacionados con la guerra en Ucrania en una  lista  que también incluye una breve nota sobre cada indicador. Hemos descubierto estos indicadores en una o más de nuestras fuentes de datos patentadas y la lista no pretende ser exhaustiva en el sentido de incorporar indicadores de otras fuentes públicas. Nuestros indicadores se desglosan en aquellos que son maliciosos y aquellos que hemos validado para que no contengan malware o contenido fraudulento en el momento de la evaluación.  

Riesgos de guerra cibernética: lo que puede hacer ahora mismo

F5: Recomendaciones ante un aumento de los ataques cibernéticos 

Marzo de 2022 – F5 (NASDAQ: FFIV). El conflicto en Ucrania trae consigo la posibilidad de un aumento de los ataques cibernéticos dirigidos a la infraestructura pública de las naciones de la OTAN y sus aliados, y también podría extenderse fácilmente a corporaciones y otras entidades dentro de esos países. 

La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) de EE. UU. ha brindado orientación técnica y métodos de informes en https://www.cisa.gov/shields-up, que es un recurso excelente para todas las organizaciones. Aunque la mayoría de las empresas se dan cuenta de que los ataques cibernéticos son un hecho de vida, y que siempre están siendo el objetivo de los ciberdelincuentes e incluso de los actores del estado nación, este desarrollo puede conducir a cambios en el panorama de amenazas que aumentarán las apuestas considerablemente.  

Las siguientes recomendaciones tienen el objetivo de sugerir acciones prácticas y relativamente fáciles de realizar que las empresas podrían tomar de inmediato, en función de la madurez general de su programa de seguridad existente. No todas las empresas tienen las mismas capacidades de seguridad.  

Si tiene un programa de seguridad limitado  

• Copias de seguridad – Si su negocio se ve comprometido y atacado con malware de limpieza o ransomware, tener acceso a estas copias de seguridad puede ser la diferencia entre poder recuperarse eventualmente o no poder recuperar el negocio en absoluto.Comience priorizando los archivos críticos que son exclusivos de su negocio y necesarios para reconstruir las operaciones comerciales regulares. Continúe con el siguiente nivel de datos más críticos difíciles de reemplazar. 

• Superficie de amenaza – Comience por identificar los bordes de sus entornos y asegúrese de que los enrutadores, conmutadores y firewalls tengan los niveles de parches más recientes disponibles de sus proveedores.Después haga lo mismo con los servidores de correo, servidores de aplicaciones y servidores web.Finalmente, observe sus pilas de tecnología, si no puede actualizar, identifique qué componentes están desactualizados le dará un mapa de los lugares a los que los atacantes intentarán obtener acceso. 

• Control de Cambios y Monitoreo de Integridad – Monitorear los cambios no autorizados en sus sistemas principales, lo que se puede lograr con muchas herramientas gratuitas que a menudo se incluyen con los sistemas operativos. Asegúrese de monitorear específicamente los directorios temporales y otras áreas de escritura mundial. 

• La supervisión y las métricas que ya tenga – Como el espacio en disco, el uso de la CPU, la utilización de la red y estadísticas similares, se pueden aprovechar como un medio simple para detectar actividades anómalas. 

• Lluvia de ideas – Es una excelente manera de identificar sus puntos débiles y descubrir dónde puede fallar su respuesta. Elabore planes aproximados para incidentes como: Ransomware, DDoS, Malware/wiper, compromiso de la aplicación web y fugas de datos. 

• Aprovechar los servicios gestionados cuando corresponda – Si tiene acceso a un presupuesto adicional para prepararse para posibles ataques a corto plazo, considere identificar proveedores que puedan proporcionar ofertas «administradas como servicio» para filtrar el tráfico web y bloquear DDoS. Estos se pueden poner en línea rápidamente y se pueden utilizar con gran efecto. 

• Escaneo externo de activos orientados a Internet – Para mejorar aún más su superficie de amenazas, realice o compre un escaneo externo, para detectar puertos abiertos anómalos y comprender mejor su entorno. Se puede hacer a través servicios de escaneo o manualmente usando herramientas estándar y un VPS ubicado en un proveedor de la nube. 

• Manténgase al día con las firmas y las políticas – Asegúrese de que las herramientas de detección y prevención que tenga en los bordes de su red utilicen firmas y políticas actualizadas, y asegúrese de que estas políticas estén en modo de «cumplimiento» cuando sea posible. 

• Reforzar el acceso a nivel de servidor/servicio – Existe una gran cantidad de tecnologías que pueden ayudar a mitigar un compromiso al evitar la ejecución de datos o al bloquear el acceso a recursos que una aplicación comprometida normalmente nunca debería solicitar. 

• Reforzar el acceso a nivel de acceso a la cuenta – Mediante la implementación de algún tipo de MFA y requisitos de contraseña segura para sistemas críticos como mínimo. Elimine los derechos administrativos de las cuentas de usuario normales y exija el uso de cuentas sin privilegios para los administradores en el uso diario. Cuando se trata de credenciales comprometidas, es fundamental contar con múltiples capas de control, detección y prevención.. El phishing es un método de ataque muy eficaz y casi siempre funciona. 

• Revisar permisos, ACL y políticas de acceso – Casi todos los entornos tienen servicios o cuentas que tienen más permisos de los que estrictamente necesitan para hacer su trabajo, y revisarlos y ajustarlos siguiendo una política de «privilegios mínimos» es una de las mejores formas de limitar el daño que puede causar un ataque exitoso. 

• Monitoreo extendido – Supervise el tráfico de red entrante y saliente y restrinja el tráfico entrante y saliente solo a los puertos autorizados cuando sea posible. Considere el uso de proxies para restringir el acceso saliente y detectar el comportamiento de teléfono en casa del malware. Aplique cualquier lista de filtros que sus proveedores puedan proporcionar para detectar comunicaciones C&C (Command & Control) y otras actividades sospechosas. 

• Protección de terminales – El compromiso de los dispositivos de los empleados, como computadoras portátiles y teléfonos inteligentes, con frecuencia puede permitir que los atacantes se infiltren más profundamente en el entorno. Como tal, recomendamos asegurarse de que las firmas antivirus y de protección de punto final estén actualizadas y configuradas con políticas sólidas. 

Si tiene un programa de seguridad robusto y sofisticado:

• Asegúrese de que los registros y las alertas se manejen rápidamente y que su SOC cuente con suficiente personal – No tiene mucho sentido tener un excelente registro y monitoreo si nadie está mirando los registros de manera oportuna. Póngase en contacto con sus proveedores de SIEM para averiguar si tienen firmas o búsquedas específicas que sean aplicables en la situación actual. 

• Búsqueda de amenazas – El hecho desafortunado del asunto es que es posible que atacantes sofisticados ya hayan comprometido su red. Cazarlos, usar indicadores actualizados de compromiso y monitorear continuamente la actividad anómala, puede permitirle identificar actores hostiles en su entorno. Redobla tus esfuerzos en este espacio. 

• Equipo rojo/azul/morado – Si tiene la suerte de tener capacidades de Red Teaming, deberían estar rastreando las fuentes de inteligencia de amenazas (tanto las fuentes compradas como el análisis, así como las muchas fuentes de código abierto) para permitirles imitar el comportamiento del atacante y probar sus defensas. 

• Usar trampas y engaños – Una excelente manera de detectar y bloquear a los atacantes. Los ejemplos incluyen la configuración de servidores trampa que parecen ser parte de su infraestructura pero que, de hecho, son trampas altamente instrumentadas para actividades hostiles, o colocar datos tentadores pero falsos en servidores accesibles y monitorear quién accede a ellos. Esta es una táctica muy libre y dinámica, pero puede ser muy fructífera si se hace con cuidado. 

“A pesar de la evidente preocupación por las actividades patrocinadas por el estado, es importante comprender que muchos ciberdelincuentes están utilizando esta situación como una oportunidad para extender e intensificar sus propios ataques. Muchas bandas de ciberdelincuentes se han declarado leales a uno u otro lado de este conflicto. Muy a menudo, el malware de última generación y los mecanismos de entrega surgen del subsuelo de los ciberdelincuentes. No hay una solución única. Múltiples capas de controles, excelente conciencia situacional y monitoreo, y lo más importante, una perspectiva de «asumir incumplimiento» y una amplia recuperación ante desastres y planificación de respuesta a incidentes son los pilares de la defensa”, señaló Gail Coury, CISO, F5 

Nutanix: En México las empresas consideran la multi-nube híbrida como su modelo operativo de TI ideal

El 94% considera la multi-nube híbrida como su modelo operativo de TI ideal, comparado con 83% a nivel mundial

La mayoría de las empresas mexicanas (57 %) consideran la inteligencia artificial y el aprendizaje automático (AI/ML) como impulsores hacia la multi-nube

El modelo de TI multi-nube domina en México, aunque la adopción se encuentra rezagada en comparación a otros países.
Marzo de 2022 – Nutanix (NASDAQ: NTNX), líder en computación de multi-nube híbrida, anunció los hallazgos específicos de México de su cuarta encuesta e informe de investigación Global Enterprise Cloud Index (ECI) que mide el progreso empresarial con la adopción de la nube. La encuesta fue realizada por Vanson Bourne a 1700 tomadores de decisiones de TI durante agosto y septiembre de 2021.  Abarcó múltiples industrias y tamaños de empresas de varias regiones: Américas; Europa, Oriente Medio, África (EMEA) y Asia Pacífico Japón (APJ).  

A los encuestados se les preguntó acerca de sus desafíos actuales en la nube, cómo ejecutan las aplicaciones comerciales ahora y dónde planean ejecutarlas en el futuro, así como sobre el impacto de la pandemia en las decisiones de infraestructura de TI recientes, actuales y futuras y cómo la estrategia y las prioridades de TI pueden cambiar a causa de ello.

La investigación del Cuarto Índice Anual de Nube Empresarial (ECI) arrojó que la adopción de múltiples nubes, privadas o públicas está rigurosamente en marcha. Las empresas encuestadas en México siguen esta tendencia general, pero sus implementaciones multi-nube van a la zaga de las de sus pares en casi todos los demás países estudiados. Los encuestados de México indican fuertes planes para ponerse al día; sin embargo, citan razones marcadamente diferentes para el despliegue que los encuestados en otros lugares.

Resultados clave:

1. Multi-nube es el modelo operativo de TI dominante en México, aunque la adopción está rezagada en comparación a otros países. Un poco más de una cuarta parte de los encuestados de ECI de México (26 %) dijeron que actualmente usan múltiples nubes, privadas o públicas, como su modelo de implementación de TI más común. El único país encuestado con menor penetración multi-nube fue Arabia Saudita (25%), aunque Alemania (26%) fue igual a México.

Cifras mucho más altas que el promedio operan nubes privadas en México (38 % en comparación con solo el 25 % a nivel mundial), y una cuarta parte (25 %) aún opera centros de datos tradicionales de tres niveles, en comparación con el 22 % en todo el mundo. Sin embargo, de cara al futuro, los mexicanos esperan que el uso de nubes múltiples se duplique con creces en tres años hasta alcanzar una penetración del 57 %. En ese momento, esperan que el uso del centro de datos tradicional se haya reducido a solo el 4 % y que el uso exclusivo de la nube privada caiga al 25 %, ya que las nubes privadas se absorben cada vez más en infraestructuras multi-nube híbridas unificadas.

• Más lento para adoptar la nube pública. Las empresas en México indicaron un uso menos agresivo de la nube pública: el 63 % informó que no usa ningún servicio de nube pública, por ejemplo, en comparación con el 47 % de los encuestados tanto a nivel mundial como de las Américas.

• Diferentes impulsores multi-nube. Más de la mitad de los encuestados de México (57 %) mencionaron la inteligencia artificial y el aprendizaje automático (AI/ML) como impulsores a la multi-nube, en comparación con solo el 32 % de los encuestados globales. La capacidad de desarrollar y probar aplicaciones rápidamente (47 %), evitar la dependencia de un solo proveedor (44 %) y mejorar las capacidades de continuidad del negocio/recuperación de desastres (42 %). A nivel mundial el principal impulsor multi-nube fue la compatibilidad con el trabajo remoto y la colaboración (40 %), seguido de las mejoras esperadas en la atención al cliente (36 %) y la continuidad del negocio/recuperación ante desastres (35 %).

2.Casi todos los encuestados en México movieron aplicaciones a través de la infraestructura en el último año. La tendencia hacia la optimización continua de cargas de trabajo «inteligente en la nube» requiere que las empresas muevan aplicaciones a medida que cambian los requisitos de TI y los objetivos comerciales. El 96% de las empresas encuestadas en México dijeron que movieron al menos una aplicación a una infraestructura diferente en los últimos 12 meses. La principal razón fue permitir el uso de AI/ML (58 %), seguido de cerca por la mejora en la velocidad de acceso a los datos (57 %) y mejorar la seguridad de su empresa (49 %). Estos factores se mencionaron en México mucho más a menudo que a nivel mundial o en la región de las Américas.

• Estado de las operaciones entre nubes. Si bien la movilidad de aplicaciones es un habilitador multi-nube crítico, los encuestados de ECI tienden a percibirlo actualmente como costoso y lento. La mayoría en México (82 %) estuvo de acuerdo en que este era el caso, los encuestados a nivel mundial (80 %) y en las Américas (78 %). En México (82 %) describieron sus entornos de nube como parcialmente o totalmente interoperables que los del mundo (84 %) y en las Américas (84 %).

• Necesidad del mercado. La mayoría de los encuestados de México (89 %) estuvo de acuerdo en que los contenedores eran importantes para sus organizaciones hoy o lo serían dentro de un año.

3. La seguridad domina las preocupaciones de gestión de múltiples nubes. Cuando se trató de nombrar los desafíos más difíciles con la administración de un entorno de TI multi-nube, las respuestas de las empresas en México mencionaron las preocupaciones de seguridad (51 %), seguidas de la integración de datos en nubes diferentes, como las dificultades más frecuentes.

• Perspectivas de gestión y seguridad. La mayoría de los encuestados de ECI mencionaron la multi-nube híbrida como su modelo operativo de TI ideal, y notablemente más de México estuvo de acuerdo (94 %) que a nivel mundial (83 %) y en las Américas (86 %).

“Lo que impulsa a las empresas mexicanas en sus planes multi-nube es el deseo de aprovechar tecnologías como AI y ML, y tienen fuertes planes para retirar sus centros de datos e integrar muchas de sus nubes privadas en un modelo de TI de multi-nube híbrida”, comentó Fernando Zambrana, Country Manager de Nutanix México. “A la vez, las empresas reconocen las dificultades con la administración de múltiples nubes, lo que refleja la urgencia de herramientas híbridas que brinden visibilidad, seguridad y control que unifiquen las operaciones en todas las nubes públicas y privadas, ya que la gran mayoría de las empresas de México citan la multi-nube como el modelo operativo ideal para sus negocios”, concluyó.

Malspam con Tema Sobre Ucrania Descarga Agent Tesla

Por: Christopher Kim
Ingeniero de Inteligencia de Ciberamenazas, Infoblox

1. Información general
   El 1 de marzo, Infoblox observó una campaña de malspam que utilizaba mensajes relacionados con la invasión rusa de Ucrania. La campaña de malspam estaba tratando de atraer a los usuarios para que descargaran un archivo adjunto ZIP cuyo contenido podría descargar Agent Tesla.
   Esta campaña ocurrió una semana después de que Rusia invadiera Ucrania. Es una de varias campañas que se han aprovechado del conflicto para atraer a los usuarios a través de correos electrónicos y sitios web creados socialmente con dominios similares que ofrecen contenido de donación falso.
2. Impacto en el cliente
   Agent Tesla es un troyano de acceso remoto (RAT) de malware como servicio (MaaS) que los investigadores de seguridad descubrieron por primera vez en 2014. Por lo general, se distribuye a través de correos electrónicos no deseados o de phishing, y tiene muchas capacidades para robar información de la máquina de una víctima, incluyendo lo siguiente:

• Registro de pulsaciones de teclas.
• Extraer datos del portapapeles del anfitrión.
• Capturar pantallas.
• Agarrar formas.
• Robar credenciales del software VPN.

Después de recopilar información confidencial de la máquina de una víctima, Agent Tesla extrae la información robada mediante un navegador web o un cliente de correo electrónico.

3. Análisis de campaña
   En esta campaña, los actores de amenazas crearon mensajes utilizando la dirección de correo electrónico supawadee.so@univance[.]co[.]th para hacerse pasar por UNIVANCE (Thailand) Co., Ltd: un fabricante de piezas de automóviles. La línea de asunto es REQ: Encuesta de proveedores: Efecto de la cadena de suministro del conflicto entre Ucrania y Rusia, y la sección del cuerpo está vacía. El archivo adjunto ZIP se llama REQ Supplier Survey.zip y contiene un ejecutable de Microsoft Windows integrado.
4. Cadena de ataque
   Cuando un usuario extrae el archivo adjunto ZIP, el ejecutable integrado de Windows se inicia y se escribe en C:\Users\User\AppData\Roaming\Fgefvp\Gzgrfb.exe. También se crea una clave de registro Ejecutar y permitirá que Gzgrfb.exe se ejecute cada vez que el usuario inicie sesión en la máquina. A continuación, el malware descarga el binario Agent Tesla de los servidores de la red de entrega de contenido (CDN) de Discord e inyecta el código malicioso en el proceso legítimo de Windows MSBuild.exe a través del vaciado de procesos: una técnica común para evadir la detección por parte del software antivirus.2
   Luego, Agente Tesla roba las credenciales de la cuenta y otra información confidencial del sistema comprometido. Envía los datos sustraídos a la cuenta de correo del actor officestore2022@gmail[.]com vía SMTP, utilizando la cuenta de correo comprometida julieta@escueladeseguridadmaritima[.]com y el servidor de correo electrónico mail[.]escueladeseguridadmaritima[.]com.

5. Vulnerabilidades y mitigación
   Agent Tesla es una RAT peligrosa que puede tener un impacto severo y negativo en sus víctimas. Infoblox recomienda enfáticamente que las empresas consideren las siguientes medidas de seguridad:

• Tenga cuidado al abrir correos electrónicos de remitentes desconocidos e inspeccione los archivos adjuntos inesperados antes de abrirlos.
• Agent Tesla también puede comunicarse con su C&C mediante un cliente Tor. Prohibir el uso de la red Tor si no es crucial para las operaciones comerciales.
• Identificar y marcar solicitudes de API para servicios de mensajería y CDN, como Discord. Tales solicitudes son indicativas de un comportamiento inusual del usuario.
• No permita que los navegadores web guarden credenciales u otra información confidencial.

Notas finales.
⦁ https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/cyber-threat-advisory-ukrainian-support-fraud/
⦁ https://attack.mitre.org/techniques/T1055/012/
Apéndice (lista descargable aquí )

La guerra cibernética deja de ser una predicción para convertirse

en el “aquí y ahora”

Por: Roberto Ricossa  

VP Latin America F5  

r.ricossa@f5.com  

Cuando apenas hace unos meses atrás salió a la luz un artículo prediciendo hechos que pudieran llegar a ocurrir en las áreas de tecnología y ciberseguridad, encontramos una que es muy relevante hoy en día: la ciberguerra, que ha dejado de ser una mera predicción para convertirse desafortunadamente, en el “aquí y ahora”.  

Hablar de guerra cibernética podría ser algo aventurado, sin embargo, al conocer que dicho término hace referencia a la creación de «efectos en y a través del ciberespacio para garantizar a las fuerzas amigas la libertad de acción en el ciberespacio, mientras se niega a los adversarios estas mismas libertades», el panorama cambia.  

Como se sabe los ataques cibernéticos involucran una serie de acciones con el único propósito de “interrumpir, negar, degradar o destruir la información dentro de las computadoras y redes informáticas”, que como todos hemos visto se han convertido en el corazón de los negocios y por ende en el centro económico de los países y como punto medular de la operación de las diversas instituciones en un país.  

Gracias a su precisión ya no es necesario llevar a cabo un bombardeo o lanzar misiles a territorio enemigo, cuando a través de ciberataques es posible bloquear la infraestructura crítica de una organización con consecuencias devastadoras. Hablamos de procesos, sistemas, instalaciones, tecnologías, redes, servicios para la salud, la seguridad o el bienestar económico del público e incluso del funcionamiento eficaz de un gobierno.  

Más de cien  incidentes se identificaron entre 2021 y 2022 relacionados a ciber ataques, cuyo blanco principal fueron las agencias gubernamentales, empresas de defensa y alta tecnología; incluso delitos económicos con millones de dólares en pérdidas.  

Para hacer una revisión de los daños a infraestructuras críticas más impactantes, sólo es necesario retroceder algunos años para recordar los ataques a infraestructuras más relevantes por los daños causados.  

El primero de ellos ocurrió en 2010 en la planta nuclear de Natanz, en Irán, donde el software malicioso llamado Stuxnet hizo entonces su primera aparición pública, y logró llamar nuestra atención al detener por completo la operación de la planta nuclear. El gusano fue creado para dañar los motores que se usan comúnmente en las centrifugadoras para enriquecer uranio, les hizo perder el control y deshabilitar temporalmente 1,000 centrifugadoras.  

Y como olvidar lo sucedido en diciembre de 2015, cuando Ucrania experimentó un asalto sin precedentes en su red eléctrica. El ataque causó cortes de electricidad generalizados. Sólo bastó que los hackers se infiltraran en tres compañías energéticas cerrando temporalmente la generación de energía en tres regiones de Ucrania. Dejando a casi un cuarto de millón de personas en pleno inverno sin electricidad hasta seis horas. Los atacantes utilizaron el programa malicioso BlackEnergy 3 para cerrar las tres subestaciones, al parecer el programa se distribuyó mediante correos electrónicos de phishing personalizado, oculto en los archivos adjuntos falsos de Microsoft Office…. Algo tan común y tan usado por muchísima gente en todo el mundo.  

Fue en el año de 2017 cuando ciberterroristas asumieron el control remoto de una estación de trabajo ampliamente conocida en Arabia Saudita. El arma fue un nuevo tipo de programa malicioso, llamado Triton, cuyo objetivo era tomar el control del sistema de seguridad instrumentado (SIS por sus siglas en inglés). De nueva cuenta, el programa malicioso se desarrolló específicamente para apoderarse de sistemas de control industrial, también conocidos como tecnología operativa (TO).  

Declaración de ciberguerra  

Hace unos días, el colectivo Anonymous hizo su aparición al declarar la «ciberguerra» contra Rusia en apoyo a Ucrania. Señaló que el sitio web del Ministerio de Defensa ruso estaba caído al igual que numerosos sitios web relacionados con el Gobierno ruso.  

La misma emisora estatal rusa RT dijo que fue objeto de un «fuerte ciberataque DDoS», (ataque distribuido de negación de servicio) donde los ataques a sus sitios web provenían de unos 100 millones de dispositivos, la mayoría con sede en Estados Unidos.  

Con tales antecedentes, no es difícil imaginar que un posible ataque bien orquestado a infraestructuras críticas puede echar abajo a un país.  

Cuando hablamos de tecnología y guerra, se escucha el término de uso dual, es decir que una tecnología se puede usar tanto para el bien (pacífico) como para el mal (guerra). Por el momento, la guerra cibernética no ha tenido consecuencias humanitarias dramáticas, pero no debemos olvidar que también la transformación digital nos puede volver más vulnerables como países, organizaciones y sobre todo en la base económica y operacional para el funcionamiento de todo hoy día.  

Esto confirma que estamos en una carrera entre los buenos y los malos y que así cómo la guerra cibernética es vigente y tangible hoy, lo mismo ocurre en el mundo de los negocios. Mientras más se acelera la transformación digital, más se abren las posibilidades de pérdidas de información si no se cuenta con una estrategia clara de seguridad dentro del proceso del negocio, porque en la guerra como en la paz, la seguridad, o más bien, la falta de seguridad no perdona.