Agenda una reunión o demostración en vivo con un representante Widefense

Agendar

Observatorio de amenazas

Capital One

Fallo de seguridad en Capital One expone datos de 106 millones de personas

Uno de los bancos más grandes de Estados Unidos sufrió la fuga de datos más grande de los últimos tiempos. Descubre cómo Tenable puede protegerte a ti y a tu negocio

 

Capital One, una de las entidades bancarias más grandes de Estados Unidos confirmó este lunes mediante un comunicado que un individuo penetró de forma no autorizada a sus sistemas el 19 de julio y accedió así a información personal de unas 100.000.000 personas en Estados Unidos y otras 6.000.000 en Canadá.

La empresa, tras reparar de inmediato el fallo de ciberseguridad, señaló que los datos provenían de solicitudes realizadas por su clientes entre 2005 y principios de 2019 para obtener tarjetas de créditos.

Además de nombres, direcciones, teléfonos y correos, los medios destacan que en la fuga de información se filtraron 140.000 números de seguro social y 80.000 números de cuentas bancarias, que eventualmente podrían costarle a Capital One entre USD $100 y USD $150 millones por daños en reputación.

El Departamento de Justicia de los Estados Unidos ya avanzó en el caso e informó en otro comunicado que el FBI arrestó a Paige Thompson, de 33 años, en Seattle, como la figura responsable, después de que la acusada escribiera en Internet que había logrado infiltrarse en el sistema “a través de un firewall de aplicación web mal configurado que le permitió acceder a los datos”.

De acuerdo con información publicada por Capital One, en donde continúan investigando el caso, los afectados fueron informados y se realizará de manera gratuita un operativo para proteger su integridad, si bien consideran poco probable que la información robada se haya distribuido o usado para llevar a cabo algún tipo de fraude cibernético.  

 

Las claves: gestionar la ciber-exposición

Hoy, los servicios digitales se entregan desde una combinación compleja de plataformas y activos informáticos digitales que representan un superficie de ataque, en la que los activos en sí y sus vulnerabilidades asociadas se encuentran en plena expansión, se reducen y evolucionan, como un organismo vivo.

 

Esta superficie de ataque elástica ha provocado una brecha masiva. Dificulta la capacidad de las organizaciones para comprender su nivel de vulnerabilidad y exposición a violaciones de seguridad. 

 

La gestión de vulnerabilidades ya no es suficiente. Es necesario abordar la gestión con una mirada centrada en minimizar la superficie global que se expone cibernéticamente.

Esto incluye:
  • Detección en tiempo real de cualquier activo digital en cualquier ambiente informático
  • Visibilidad ininterrumpida en donde un activo es seguro, o expuesto, y en qué medida
  • Determinación de las prioridades de reparación en función del riesgo empresarial
  • La medición de ciber-exposición como métrica de riesgo clave para el respaldo de la toma de decisiones estratégicas

 

En Widefense trabajamos de la mano con Tenable para apoyar a las organizaciones a gestionar su ciber-exposición. 

 

Tenable es la primera solución de la industria que evalúa, gestiona y mide integralmente el riesgo cibernético en toda la superficie de ataque moderna.

 

La plataforma de Tenable proporciona, de manera única, la amplitud de visibilidad del riesgo cibernético en entornos de TI, nube, IoT y OT. Así como los análisis más profundos para medir y comunicar el riesgo cibernético en términos comerciales a fin de tomar mejores decisiones estratégicas.

 

Widefense es un experimentado especialista en apoyar a las empresas a implementar las soluciones de Tenable y gestionarlas para minimizar su ciber-exposición.

 

Una adecuada gestión debe ser continua, ágil y dinámica para minimizar la superficie y el tiempo de exposición de los activos de TI que son vulnerables a ser explotados. 

 

Contáctanos para saber cómo podemos ayudarle a gestionar su ciber-exposición. Escríbenos en www.widefense.com/contacto o llámanos al (+562) 2816 9000.

Hombre joven en la computadora, ransomware sodinokibi

Observatorio de Amenazas de Widefense detecta variante del ransomware Sodinokibi

La semana pasada, nuestro Observatorio de Amenazas detectó una nueva variante del ransomware Sodinokibi que ha estado afectando a distintos clientes en la región del Asia Pacífico. 

 

El ransomware Sodinokibi (también conocido como Sodin o REvi) ha infectado a miles de clientes a través de proveedores de servicios de seguridad administrados (MSSP). 

 

De igual manera, esta amenaza también explotó vulnerabilidades del día cero en servicios remotos como Oracle WebLogic (CVE-2019-2725) y empleó campañas masivas de spam para proliferar durante los últimos meses.

 

En esta ocasión, la amenaza utiliza una vulnerabilidad en archivo win32k.sys; sin embargo, el parche liberado por Microsoft en octubre de 2018 cubre esta vulnerabilidad, por lo que aquellos usuarios que tengan sus dispositivos actualizados no corren riesgos. 

 

Vale destacar que este ransomware Sodinokibi puede pasar al modo de 64 bits, y cambiar repetidamente desde y hacia 32/64 Modo-bit mientras se ejecutan partes del código de explotación.

 

https://unsplash.com/photos/uv5_bsypFUM. El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

 

Evidencia recabada 

Nuestro Observatorio de Amenazas identificó los siguientes hash asociados a esta amenaza, los cuales recomendamos bloquear:

 

MD5 e6566f78abf3075ebea6fd037803e176
SHA256 861bc212241bcac9f8095c8de1b180b398057cbb2d37c9220086ffaf24ba9e08
SHA256 06b323e0b626dc4f051596a39f52c46b35f88ea6f85a56de0fd76ec73c7f3851

 

Lee más: Por qué los hackers reutilizan el malware

El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

El ransomware Sodinokibi explota las vulnerabilidades del día cero en el popular servidor de aplicaciones Oracle Weblogic.

 

¿Cómo prevenirlo?

Asegúrate de que tu antivirus bloquea y detecta esta amenaza. Herramientas como Cylance, antivirus de última generación detectan este ransomware debido a su modelo matemático que permite efectuar el análisis y bloqueo por comportamiento.

 

Para los clientes administrados por el equipo de Widefense, por su parte, se procedió a bloquear los hash a nivel de antivirus.

 

Es importante tener en cuenta que los atacantes propagan este malware a través de Go2Assist en modalidad de servicio.

 

En concreto, el Observatorio de Amenazas de Widefense recomienda: 

 

  • Utilizar antivirus de nueva generación

El constante cambio, creación y mutación de amenazas hace necesario asegurar que sus equipos se encuentren protegidos y preparados ante amenazas de día cero.

 

Recomendamos probar herramientas de protección endpoint como Cylance para la protección de sus dispositivos, pues estas son capaces de proteger el equipo aún cuando este no se encuentre conectado a la red.

 

  • Asegurar su cobertura

Es importante que todos los equipos se encuentren protegidos y en su política correspondiente. Asegúrese de contar con políticas de revisión constante del estado de sus dispositivos o un sistema de monitoreo en línea.

 

  • Usar herramientas de colaboración y asistencia

Asegúrese de que la empresa opera con herramientas de asistencia remota válidas y corporativas. 

 

Solicita una asesoría gratuita en www.widefense.com/contacto o contacta ahora a uno de nuestros especialistas  (+562) 2816 9000

Emotet qué es

AHORA | Emotet: qué es y por qué tiene al sector bancario en estado de alerta

Este viernes 22 de marzo, la Asociación de Bancos e Instituciones Financieras de Chile (Abif)) informó que  el sector bancario suspendió el acceso remoto a los clientes del segmento empresas como medida preventiva ante una nueva alerta de ciberseguridad producida por el malware Emotet. 

 

Desde el equipo de Widefense y nuestro Observatorio de Amenazas compartimos la necesidad de proteger el activo informático de empresas y personas, por lo que emitimos un comunicado de seguridad informando sobre esta nueva amenaza, cómo opera y las recomendaciones para hacerle frente. 

 


COMUNICADO DE SEGURIDAD

Estimados
Nos dirigimos a ustedes para ponerlos al corriente de las últimas variantes de Emotet, relacionadas al comunicado del CSIRT del 22 de marzo de 2019, que ha afectado a algunas compañías en Chile. La información es reciente y aún está bajo análisis.

 

¿Qué es Emotet?
Emotet es un malware troyano polimórfico (cambia automáticamente su código cada
cierto tiempo o con acciones determinadas del dispositivo), haciendo que sea mas
difícil para los antivirus detectar su firma, las primeras detecciones fueron en Europa
en el 2014.

 

¿Cómo opera?
La variante que hoy afecta, realiza ataques de fuerza bruta para obtener credenciales y
acceso, una vez comprometido el host, extrae credenciales y realiza movimientos
laterales para propagarse.

 

¿Cómo puede infectarse?
Se está propagando a través de archivos .txt y .rar Se ha detectado que la URL de
origen es http://www[.]triosalud.cl donde pueden existir diversos archivos
maliciosos.

 

Acciones tomadas con nuestros clientes:
 Se han analizado 32 muestras de hash diferentes asociados a las amenazas del
ransomware Emotet y Locked en las últimas 24 horas. Entre las muestras se
incluyen archivos .txt y .rar
 Se han realizado los bloqueos en todas las herramientas de antivirus y filtro de
correo de nuestros clientes administrados.

 

Antes de nuestras acciones:
 Mcafee bloqueaba el 88% de los hash
 Kaspersky  un 90%
 Cylance protege el 100% en modo prevención, conteniendo la ejecución de los archivos contaminados

 

Nuestra recomendación para quienes no son clientes:
 Bloquee temporalmente todos los archivos .rar y .txt
 Restrinja el tráfico desde y hacia el webhosting en cuestión (IP 190.107.177.246)

 

 

Si desea saber más sobre Emotet, qué es y cómo protegerse, converse con un especialista en ciberseguridad aquí: www.widefense.com/contacto

Yatron ransomware

Yatron: nuevo ransomware inspirado en Wannacry ataca computadoras sin actualizar

Este martes 12 de marzo, se reportó a través a diferentes portales la existencia de un nuevo ransomware que se aprovecha de las vulnerabilidades de EternalBlue y DoublePulsar para cifrar archivos y propagarse a través de la web.

 

Especialistas informan que este nuevo ransomware, bautizado como Yatron, podría clasificarse como una amenaza grave dadas sus características. Se trata de un programa malicioso que cifra los archivos de sus víctimas por medio de avanzados algoritmos de cifrado. Una vez que se completa el proceso, las personas son incapaces de acceder a sus documentos.

 

Yatron persigue el mismo objetivo que otros ransomware. Después de que cifra todos los archivos de su víctima, da un plazo de 72 horas para que pague por liberarlos. En caso de que pasen tres días y los atacantes no hayan recibido el dinero, se eliminan los archivos.

 

Usuarios reportan que este nuevo ransomware afecta principalmente a equipos con Windows. Asimismo, mediante un código que utiliza las vulnerabilidades de EternalBlue y DoublePulsar, Yatron se propaga a otros dispositivos que estén conectados a la red.

Yatron

El sitio BleepingComputer informa que este ransomware agrega la extensión .Yatron al cifrar los archivos de sus víctimas.

 

Especialistas también informan que este ransomware es capaz propagarse a través de P2P, USB y LAN.

¿Cómo protegerse?

Yatron se aprovecha de los equipos con Windows que no han sido parcheados, por lo que la mejor defensa contra este nuevo ransomware es mantener sus dispositivos actualizados con la última versión de su sistema operativo.

 

Desde Widefense proponemos igualmente el uso de programas orientados a prevenir estas amenazas con varios meses de anticipación. Cylance, por ejemplo, basándose en Inteligencia Artificial, es conocida por detectar y detener la pre ejecución de este ransomware con algoritmos del 2016.

Yatron

Una vez que Yatron infecta el sistema, aparece un mensaje de rescate en el dispositivo de la víctima

 

En caso de que haya sido afectado por Yatron, recomendamos fuertemente no pagar el rescate. No existen garantías de que los cibercriminales le devolverán el acceso a sus archivos y realizar el pago solo contribuiría a financiar futuras amenazas de este calibre.

 

Converse con un especialista en ciberseguridad aquí: www.widefense.com/contacto

O lea también Ransomware: ¿pagar o no pagar? en nuestro blog.

 

Artículo con imágenes de BleepingComputer

Widefense crea un Observatorio de Amenazas

Widefense crea Observatorio de Amenazas para prevenir ataques de Día 0

«Analytics may take intelligence as an input and give you more valuable intelligence as an output», Brian Jack (KnowBe4)

 

En el 2019 Widefense renueva su oferta de servicios con el lanzamiento de un Observatorio de Amenazas para alertar sobre ataques de día 0 y facilitar a las empresas, instituciones y público en general, el acceso a información relevante que les permita mantener sus datos seguros.

 

Tras el ataque de Wannacry que sacudió al mundo entero en 2017, y en el que Widefense lideró como fuente de información confiable, hoy la empresa busca implementar un sistema de comunicación continua, en tiempo real e inteligente, que tenga la capacidad de consolidar las alertas y datos que generan los centros de monitoreo y análisis distribuidos a nivel global.

 

A solo días del lanzamiento oficial del Observatorio de Amenazas, Cristián Bravo Fritz, subgerente del área de Optimización y Marcela Henríquez, ingeniera de Mejora Continua responsable de soluciones de Inteligencia en Widefense, ahondan en los factores de cambio que impulsan la iniciativa, su objetivo, los hitos más importantes y cómo pueden beneficiarse las empresas y otros organismos de todo ello.

 

¿Cómo describirían esta iniciativa?

Es una iniciativa que nace para cubrir la necesidad de los clientes de estar informados en tiempo real de lo que ocurre en ciberseguridad en el mundo, empleando  inteligencia en amenazas para interconectar y filtrar la información.

 

La inteligencia en amenazas  responde a una metodología de gestión de ciberseguridad que logra capturar de forma automatizada noticias que están ocurriendo a lo largo del mundo y evidencias de nuevas amenazas que están atacando a gobiernos o a una industria en particular. El Observatorio de Amenazas busca ser una herramienta capaz de correlacionar estos datos con las plataformas que tenemos para darle tranquilidad a los clientes.

 

¿Qué factores de cambio impulsan el Observatorio de Amenazas?

El primer factor son los cambios tecnológicos. Cuando una tecnología es descontinuada, pierde soporte o las marcas deciden priorizar nuevas oportunidades de negocio, debemos buscar soluciones alternativas que permitan reemplazar funcionalidades y mantener el servicio dado a los clientes. Esta área está cubierta por los product manager de Widefense y su relación con marcas de clase mundial como Logrhythm, Cylance y Darktrace entre otras.

 

El segundo factor son los cambios en el modelo de negocio de los clientes. Todas las industrias están expuestas a cambios en la forma de hacer negocio, pongamos como ejemplo la relación Walmart-Cornershop, donde la empresa retail debe complementar su foco en las tiendas con seguridad de la información de los datos bancarios de sus clientes. Este tipo de cambios son identificados por  el equipo comercial de Widefense, el cual trabaja de forma activa y cercana con nuestros clientes.

 

El tercer factor son los cambios en las amenazas. Para nadie es un secreto que los programas maliciosos y las técnicas empleadas por los hackers mutan constantemente para evadir las medidas de seguridad implementadas por las organizaciones. En consecuencia, es necesario mantenerse alerta y realizar un seguimiento constante sobre las tendencias en ciberseguridad a nivel mundial, informando oportunamente a las industrias la cobertura o riesgo que están experimentando. De allí -precisamente- nace la idea de crear el Observatorio de Amenazas administrado por el área de Optimización de Widefense.

 

¿Cuál es el objetivo del Observatorio de Amenazas?

Lo que buscamos es entregar información, ser un motor para consolidar información del mundo y exponerla ante el cliente. Esto se traduce en tranquilidad, porque el cliente que recibe una noticia por parte del Observatorio va a decir “ok, Widefense está viendo nuevas amenazas, está validándolas contra mis plataformas y las de otros clientes, entonces debiera estar protegido”.

 

También busca ser más proactividad, porque no estamos siendo reactivos, sino que nos anticipamos y vemos qué productos logran cubrir mejor las amenazas. Y por último, da visibilidad al trabajo conjunto que se hace.

 

¿Cuál es el hito más importante que tienen previsto para este año?

Ese hito parte con lo que estamos haciendo hoy, que es la integración de un nuevo cerebro capaz de correlacionar eventos a eThalamus, la plataforma de monitoreo y control que tenemos en Widefense.

 

Mediante la conexión de este nuevo cerebro, podremos correlacionar eventos y efectivamente gatillar alertas tempranas ante amenazas en ciberseguridad, de manera inteligente. Este es el puntapié inicial del Observatorio de Amenazas.

 

¿Cómo pueden informarse empresas y personas sobre lo que hace el Observatorio de Amenazas?

Nuestro objetivo es vincular las alertas o las noticias que genere el Observatorio de Amenazas a través de Twitter. Este va a ser el primer canal de comunicación de las noticias y allí los clientes podrán enterarse de lo que está pasando en el mundo. Más adelante, informaremos de otros canales.

 

Finalmente, ¿existen iniciativas similares?

Hay iniciativas parecidas, pero ninguna en la región que correlacione fuentes o noticias, de manera dinámica e inteligente. Nuestro valor agregado será correlacionar toda esta información, sumado a que todo será más rápido al no requerir la intervención de personas.

El Observatorio de Amenazas de Widefense va a funcionar como cerebro de noticias y en la medida en que podamos estar mejor informados, nuestras acciones podrán ser más pertinentes y precisas para la prevención o el manejo de amenazas de día 0.