Semana de seguridad 13: seguridad en el hogar

La agenda de noticias de la semana pasada en el campo de la seguridad de la información se trasladó con confianza del ámbito de los "virus informáticos" condicionales a los reales, transmitidos por gotitas en el aire. Los empleados de muchas empresas que pueden realizar su trabajo de forma remota ahora están conectados con colegas e infraestructura de oficina de una manera puramente nominal. Esto no quiere decir que la transición se realice sin problemas, aunque muchas tareas siempre se pueden realizar no en el lugar de trabajo, sino desde cualquier parte del mundo con un Internet más o menos confiable.

La semana pasada, Threatpost recolectórevisiones de profesionales de seguridad sobre los riesgos de udalenka. Lo principal: los especialistas de TI en condiciones de trabajo masivo de empleados desde casa tienen mucho menos control sobre la infraestructura. El concepto del "perímetro de la red corporativa", y antes de eso era bastante condicional debido al uso masivo de servicios en la nube, se ha vuelto completamente ilusorio. En el mejor de los casos, sus colegas trabajarán desde una computadora portátil corporativa, con políticas de seguridad y software de seguridad, conectándose a través de VPN. Pero no se descarta la opción de usar una PC, teléfono inteligente, tableta con conexión de red Wi-Fi con protección incomprensible.

Naturalmente, los delincuentes cibernéticos intentan aprovecharse de la situación, y es complicado por el hecho de que en casa, se garantizará que los colegas se distraerán, por las tareas domésticas, por los niños que no van a la escuela, etc. En este caso, el trabajo se vuelve no menos, sino más, y las posibilidades de no reconocer un mensaje de phishing aumentan notablemente.

A estos problemas se agregan cuestiones puramente técnicas de mantenimiento de la infraestructura. Si la compañía ha implementado servicios en la nube, la transición al trabajo remoto será casi perfecta. ¿Y si por alguna razón necesita acceso a servicios locales? ¿Todos los empleados tienen los derechos necesarios? ¿Están capacitados para acceder al sistema? ¿Un servidor VPN resistirá una gran cantidad de conexiones simultáneas si fue diseñado solo para viajar? No depende de las iniciativas educativas: mantener el equipo a flote.

Un ejemplo típico de un ciberataque en el momento más inoportuno ocurrióHace dos semanas en la Universidad de Otterbane en Ohio, EE. UU. Justo en el proceso de transferir a todos los estudiantes al aprendizaje a distancia, la organización fue víctima de un ataque de un ransomware-ransomware. No se dan detalles en el mensaje, pero se puede suponer que en el peor de los casos será difícil incluso contactar a un gran número de personas para notificarles sobre la disponibilidad de infraestructura. O incluso más grave: el reemplazo forzado de contraseñas, que ya no se puede llevar a cabo, simplemente reuniendo a todos en las instalaciones de la universidad.

Los ciberdelincuentes comenzaron a explotar el tema del coronavirus en los correos no deseados y los ataques de phishing en febrero: esto sucede con cualquier evento resonante. Por ejemplo, aquí hay un análisis de una campaña que distribuye el troyano bancario Emotet bajo el disfraz de "recomendaciones para la protección contra el virus". IBM publicó otro estudio con detalles de correo electrónico no deseado .

Otro ataque temático fue descubierto por los expertos de Check Point Research ( noticias , investigación ). Un boletín de propiedad estatal en Mongolia con un archivo RTF adjunto explotó la vulnerabilidad en Microsoft Word e instaló una puerta trasera con una amplia gama de funciones en el sistema. Los organizadores del ataque, vistos anteriormente en correos similares en Rusia y Bielorrusia, recibieron el control total sobre las computadoras de las víctimas, organizaron la vigilancia con capturas de pantalla regulares y cargaron archivos en el servidor de comando.

Y todo esto aparte de los ataques "sobre el área", por ejemplo, en nombre de la Organización Mundial de la Salud, con llamadas para descargar un documento o enviar una donación. El personal de la OMS tuvo que distribuir el documentoadvertencia de estafadores que se han vuelto especialmente activos desde el brote. Aquí hay un ejemplo de envío de un keylogger en nombre de una organización.

¿Dónde tiene esta explotación de temas verdaderamente importantes para fines criminales, por así decirlo, el fondo? Probablemente, estos son ataques a organizaciones médicas, hospitales y hospitales, donde la vida de las personas depende del equipo conectado a la red y, a veces, de equipos vulnerables. Mikko Hipponen de F-Secure en Twitter dio un ejemplo de un ataque no a un hospital, sino a una organización local que informa a la población ("nuestro sitio está caído, escriba al correo").

Volvamos a la defensa corporativa en las condiciones de un total udalenka. El blog de Kaspersky Lab proporciona otros ejemplos de explotación del tema del coronavirus. El spam intrusivo con enlaces de phishing o archivos adjuntos preparados cambió al tema del coronavirus ("ver información sobre retrasos en la entrega"). Enviaron correos dirigidos supuestamente de agencias gubernamentales con los requisitos de alguna acción urgente. Los métodos para contrarrestar tales campañas bajo cuarentena no han cambiado, las posibilidades de ataque se han expandido, explotando tanto la infraestructura doméstica menos segura como el nerviosismo general.

¿Qué hacer? En primer lugar, mantén la calma y no te rindas al pánico. Otra publicación de blog de Kaspersky Lab resume las recomendacionespara la protección de los "trabajadores remotos". Para la audiencia de Habr, son obvios, pero vale la pena compartirlo con colegas menos inteligentes.

• Usa una VPN.
• Cambie la contraseña de su enrutador doméstico, asegúrese de que su red Wi-Fi sea segura.
• Use herramientas de colaboración corporativa: a menudo sucede que una persona está acostumbrada a algún otro servicio para conferencias web, intercambio de archivos, etc. Esto hace que sea aún más difícil para el departamento de TI controlar los eventos.
• Finalmente, bloquee su computadora cuando salga de su lugar de trabajo. No necesariamente porque un espía corporativo entrará a su hogar. Y al menos para que los niños no respondan accidentalmente una llamada de conferencia importante.

Qué más sucedió :

Adobe lanzó un parche extraordinario para sus productos que cubre 29 vulnerabilidades críticas, 22 de ellas en Adobe Photoshop. Otra recomendación importante para el trabajo remoto (y no solo para ello) es recordar instalar actualizaciones.

Nuevos horizontes para el uso de caracteres no estándar en nombres de dominio para phishing y otros actos malvados. Resumen de la publicación: Google y Google son dos cosas diferentes.

Un estudio científico con el análisis de telemetría enviado por navegadores populares. Spoiler: Microsoft Edge recibe la mayoría de las estadísticas de los usuarios, incluidos identificadores persistentes únicos.

Las vulnerabilidades descubiertas recientemente en los dispositivos NAS de Zyxel explotan otra botnet.

La historia es detallada: cómo los investigadores encontraron (y Microsoft luego arregló con éxito) un error grave en la configuración del servicio en la nube de Azure. La telemetría con tokens de acceso se envió a un dominio inexistente.