Get best of the week

Ataque a udalenka


En los últimos días, los medios de comunicación rusos han estado llenos de informes de que los expertos han notado un aumento en los ataques cibernéticos en el contexto de la transición de las personas a udalenka. Como dicen, a quien la guerra, y a quien la madre es querida. Además, varias compañías especializadas en seguridad de la información están de acuerdo en que la naturaleza de los ataques en 2020 ha cambiado. Veamos cómo ha crecido la cantidad de ataques de piratas informáticos desde el momento en que las personas comenzaron a trabajar en grandes cantidades desde su hogar, qué tipos de ataques en servidores virtuales y computadoras personales llegaron a la cima y cómo protegerse de ellos.

Estadísticas de ataque de hackers


En las últimas semanas, el número de ataques de hackers de varios cientos ha aumentado a 5 mil por día. Los especialistas advierten que los sitios web con las palabras corona o covid mencionadas en el dominio, así como los archivos cuyos nombres mencionan coronavirus, representan un peligro potencial. Pero no solo ellos.

En noviembre de 2019, Kaspersky Lab predijo que las llamadas amenazas complejas y ataques dirigidos (Amenazas persistentes avanzadas, ART) ganarían impulso en el próximo año: esta fue la filtración de datos biométricos y el uso de IA para perfilar a la víctima y crear falsificaciones de información (falsificación profunda), y extorsión dirigida. En cuanto a esto último, hubo sugerencias de que los atacantes se desviarían de los métodos de distribución de programas universales de ransomware y se concentrarían en la selección selectiva de víctimas que estaban dispuestas a pagar mucho por recuperar sus datos.

Sin embargo, la pandemia establece sus propias reglas y en el informe de la misma Kaspersky vemos que, por ejemplo, este mes de abril la parte superior de las amenazas está encabezada por un ataque de intrusión utilizando un programa de ransomware universal dirigido a computadoras con Windows. Se está implementando en un intento de aprovechar las vulnerabilidades de SMB (Server Message Block), un protocolo de red de nivel de aplicación que funciona a través de los puertos TCP 139 y 445, que se utilizan para proporcionar acceso compartido a archivos e impresoras, así como para acceder de forma remota a los servicios.

La explotación exitosa de estas vulnerabilidades podría resultar en la ejecución remota de código en las computadoras atacadas, lo que permite a un atacante descargar el ransomware y distribuirlo a otros nodos vulnerables en la red.


Principales amenazas de Kaspersky Lab en abril de 2020

En segundo lugar, se encuentra el ataque Bruteforce, que implica la selección de una contraseña o clave de cifrado para el protocolo de escritorio remoto RDP, que es el protocolo patentado de Microsoft que proporciona al usuario una interfaz gráfica para conectarse a otra computadora a través de la red. El protocolo RDP es ampliamente utilizado por los administradores del sistema y los usuarios comunes para controlar de forma remota los servidores y otras computadoras.

Y a continuación, en el gráfico, se muestra el número total de respuestas antivirus de la compañía a las amenazas de la lista en abril. Hay un claro aumento en comparación con finales de marzo y principios de abril. Todas las estadísticas se pueden ver aquí .



Por cierto, el otro día, el Laboratorio descubrió una versión modificada del troyano Ginp de Android, que solicita una tarifa por mostrar a las personas infectadas cerca con el virus SARS-CoV-2.

La Organización Mundial de la Salud registró un fuerte aumento de cinco veces en los ataques cibernéticos. Los ataques se llevaron a cabo tanto en el personal de la empresa como en la población.

En comparación con el primer trimestre del año pasado, la intensidad de los ataques DDoS se duplicó en el mismo período de este año. En el mayor ataque DDoS de 2020 en los canales de la víctima, se produjo tráfico de basura con una intensidad de 406 Gbit / s, mientras que el ataque máximo en el primer trimestre de 2019 fue de 224 Gbit / s. Se notó un total de 51 ataques con intensidades superiores a 50 Gb / s, y la intensidad promedio fue de 5 Gb / s versus 4.3 Gb / s el año pasado ( Cnews, en referencia a los datos de la empresa Link11).

El número de ataques de múltiples vectores ha aumentado del 47% al 64%; sin embargo, el 66% de todos los ataques de múltiples vectores consistieron en dos o tres vectores utilizados simultáneamente. ¡Incluso hubo 19 casos en que los atacantes usaron 10 o más vectores! En 2019, no hubo tales ataques. Los métodos más utilizados son la reflexión DNS, CLDAP, NTP y WS-Discovery (ibid.).

El número de ataques realizados desde botnets basados ​​en la nube ha aumentado: en el primer trimestre de 2020, aproximadamente el 47% de los ataques DDoS provienen de tales botnets en comparación con el 31% del año anterior (ibid.).

En los últimos días, Sberbank ha visto un aumento en los ataques DDoS en sus sistemas. Desde comienzos de año ya ha habido 26 de ellos, sin embargo, el banco afirma estar operando normalmente.

Después de la transición de los niños al aprendizaje a distancia, el número de ataques cibernéticos contra instituciones educativas aumentó cuatro veces en abril. Muy a menudo, los ataques a los sistemas de información de las escuelas y universidades se llevan a cabo por el robo de datos personales e información de contacto de los estudiantes con miras a su uso posterior en la ingeniería social. Los bromistas que explotan vulnerabilidades en las plataformas de aprendizaje en línea también son "populares", invaden chats y conferencias e interfieren con el proceso de aprendizaje (según Infosecurity a Softline Company).

En la darknet, el número de ofertas para la venta de acceso a los servidores de grandes empresas mundiales aumentó en 30 veces: si hace un año se les ofrecían solo tres, ¡en el primer trimestre de 2020 - 88! En un tercio de los casos, se trata de empresas con un ingreso anual promedio de $ 23 mil millones a $ 45 mil millones, y la infraestructura de las organizaciones tiene hasta 6,000 computadoras. En plataformas ilegales, venden solo ciertos " puntos de entrada " a la infraestructura interna de las empresas. Muy a menudo, estas son credenciales pirateadas de un usuario o administrador local (RIA Novosti con referencia a los datos del centro de investigación Positive Technologies Positive Research).

Los tipos de ataques más comunes en VPS y PC durante 4 meses de 2020


Spam y ataques de phishing. En las cartas, los atacantes explotan el tema de la epidemia, con la ayuda de la cual obtienen las acciones necesarias de los usuarios (por ejemplo, abrir un archivo adjunto) que comienzan la ejecución de código malicioso. Como resultado, los piratas informáticos obtienen acceso a escritorios remotos, acceso a máquinas comprometidas, la capacidad de monitorear las acciones del destinatario, la posibilidad de cualquier pirateo para encriptar los servidores de la compañía y otras oportunidades que la ingeniería social ofrece a los atacantes.

Puede ser:

  • "Recomendaciones para la protección contra el coronavirus". 
  • Llamamientos supuestamente de la Organización Mundial de la Salud para descargar un documento de información importante, enviar donaciones o contribuir al desarrollo de vacunas (la OMS incluso emitió una advertencia al respecto).
  • . / -.
  • « » , , , , , . — «».
  • « » - .


Alertas de phishing de supuestos

ataques de Pharmacy.ru en escritorios remotos. Se ha detectado un error de seguridad que permite a un atacante obtener el control total de una computadora con Windows a través del escritorio remoto: BlueKeep (CVE-2019-0708). En las últimas tres semanas, el número de nodos de red accesibles a través del protocolo RDP aumentó en un 9% y ascendió a más de 112 mil. Ahora más del 10% de dichos recursos son vulnerables a BlueKeep (ibid.).

Ataques DDoS en VPN.Con el aumento de los empleados que trabajan de forma remota, el uso de redes VPN, que implica el acceso desde muchos puntos diferentes, ha aumentado considerablemente. Esto permite que los organizadores de ataques DDoS sobrecarguen las redes y causen serias interrupciones en todos los procesos. Es importante aplicar tecnologías proactivas para la protección contra ataques DDoS, cuyo propósito es prevenir la infección del sistema del usuario, eliminar posibles conflictos y amenazas antes de que ocurran, y no buscar malware ya conocido.

Ataques a aplicaciones de red y API. Las aplicaciones y los servicios son vulnerables a ataques como la Capa 7 que apuntan a la lógica de la aplicación web. Su propósito principal es el agotamiento de los recursos del servidor web al procesar solicitudes "pesadas", funciones de procesamiento intensivo o memoria.


CERT-GIB

:


Resumiendo las recomendaciones de los expertos de la primera parte del artículo, podemos distinguir los siguientes consejos generales para garantizar la seguridad de la información en cuarentena. Algunos de ellos parecerán obvios para muchos durante mucho tiempo, pero recordarlos no hará daño.

Compruebe si la empresa en cuyo nombre llegó la carta. ¿La empresa tiene redes sociales, alguna mención de ello en Internet? Los estafadores pueden usar información abierta sobre la compañía de fuentes oficiales, por lo que si aún tiene dudas, solicite a la compañía que confirme el envío de esta carta.

Compruebe si los datos en el campo del remitente y en la firma automática coinciden. Por extraño que parezca, con bastante frecuencia ya los estafadores cometen un error.

Mira la extensión de los archivos adjuntos.No abra el archivo ejecutable.

Instale una solución de seguridad confiable para su servidor de correo. Debe actualizarse regularmente y utilizar bases de datos actuales.

Use computadoras portátiles corporativas para empleados remotos. Instale en él el antivirus corporativo necesario para que el software funcione, proporcione autenticación de dos factores, cifrado de disco, un nivel adecuado de registro de eventos, así como una actualización automática oportuna de todos los sistemas.

Instale protección antivirus de última generación en VPS. Por ejemplo, ofrecemos a nuestros clientes un agente antivirus sencilloKaspersky para entornos virtuales, que proporciona: protección de red multinivel contra ataques de red externos e internos, control de aplicaciones y dispositivos, protección automática contra exploits, tiene autocontrol incorporado. 

Configure el acceso remoto a través de una puerta de enlace especial. Para las conexiones RDP, se trata de Remote Desktop Gateway (RDG), para VPN - VPN Gateway. No utilice una conexión remota directamente a la estación de trabajo.

Utilice el acceso VPN de autenticación de dos factores. 

Copia de seguridad de datos clave.

Instale la protección DDOS en el VPS. Los proveedores de la nube ofrecen diferentes condiciones. Aquí, nuevamente, la protección nos permite soportar de manera estable 1500 Gbit / s. El análisis de tráfico se lleva a cabo las 24 horas, los 7 días de la semana. En este caso, el pago es solo por el tráfico necesario.

Verifique los derechos de acceso de los empleados y realice la segmentación de la red y la separación de los derechos de acceso.

Use PortKnocking , la protección de red de un servidor basada en un método que le permite hacer un puerto "invisible" para el mundo exterior y visible para aquellos que conocen una secuencia predefinida de paquetes de datos que abrirán el puerto (por ejemplo, SSH).

Establezca restricciones para descargar aplicaciones de terceros , especialmente plataformas en línea y mensajeros de colaboración, para evitar posibles fugas de información confidencial.

Verifique todos los servicios y equipos utilizados para el acceso remoto en busca de firmware actualizado y parches de seguridad.
 
Proporcionar capacitación sobre los conceptos básicos de seguridad digital.antes de que los empleados se vayan a un modo remoto de operación.

El seguro de riesgos de TI , por supuesto, no ayudará a recuperar datos, pero ayudará a cubrir el daño causado por la piratería informática. Es cierto que ahora en Rusia este es un nuevo tipo de producto para las compañías de seguros, por lo que, literalmente, hay unidades. RUVDS ofrece a sus clientes dos opciones de seguro: una póliza general para todas las condiciones o condiciones especiales para el seguro individual, que se analizan individualmente en cada caso único. 

Por separado, notamos problemas con 1C en el control remoto. Poner 1C en caja para empleados remotos es costoso, inseguro y, a menudo, simplemente inútil. No acostumbrados a esta forma de trabajar, los contadores olvidarán sincronizar los datos; Los errores en el trabajo con el sistema requerirán la participación remota del administrador del sistema de la compañía o del representante del proveedor del programa (por una tarifa), existe el riesgo de que los competidores se agoten Salida: alquiler de servidores VPS remotos desde 1C .

Cómo monitorear sus servicios para detectar vulnerabilidades típicas


Todos los escenarios de monitoreo tienen como objetivo acumular los datos necesarios para la investigación más rápida y efectiva del incidente. ¿Qué es importante hacer primero?

Monitoree el acceso al almacenamiento de archivos , use SIEM . Idealmente, esta es una configuración de auditoría para listas de archivos a los que los empleados en el sitio remoto no pueden acceder. Lo mínimo es configurar el registro de los accesos de almacenamiento y las operaciones de archivos.


Ilustración del sitio styletele.com

Registre las direcciones externas de los usuarios que se conectan para el trabajo remoto. Utilice la referencia geográfica de los usuarios para esto con la ayuda de los servicios apropiados (después de asegurarse de su seguridad).

Identificar estaciones de trabajo con y sin dominioCon una conexión remota.

Monitoree las conexiones de los administradores y realice cambios en la configuración de los servicios de infraestructura críticos. Detecta inicios de sesión duplicados por control remoto y rastrea intentos fallidos de conexión.

Y en general: realice tales acciones por adelantado que ayudarán a aumentar la precisión de la identificación de conexiones ilegítimas en la masa de solicitudes que se generan en la red durante el acceso remoto total.

Esperamos que el material te haya sido útil. Como siempre, estaremos encantados de recibir comentarios constructivos sobre el artículo. ¡Quédese en casa y manténgase a salvo usted y su negocio!

More articles:


All Articles