Agenda una reunión o demostración en vivo con un representante Widefense

Agendar

Observatorio de amenazas

Emotet qué es

AHORA | Emotet: qué es y por qué tiene al sector bancario en estado de alerta

Este viernes 22 de marzo, la Asociación de Bancos e Instituciones Financieras de Chile (Abif)) informó que  el sector bancario suspendió el acceso remoto a los clientes del segmento empresas como medida preventiva ante una nueva alerta de ciberseguridad producida por el malware Emotet. 

 

Desde el equipo de Widefense y nuestro Observatorio de Amenazas compartimos la necesidad de proteger el activo informático de empresas y personas, por lo que emitimos un comunicado de seguridad informando sobre esta nueva amenaza, cómo opera y las recomendaciones para hacerle frente. 

 


COMUNICADO DE SEGURIDAD

Estimados
Nos dirigimos a ustedes para ponerlos al corriente de las últimas variantes de Emotet, relacionadas al comunicado del CSIRT del 22 de marzo de 2019, que ha afectado a algunas compañías en Chile. La información es reciente y aún está bajo análisis.

 

¿Qué es Emotet?
Emotet es un malware troyano polimórfico (cambia automáticamente su código cada
cierto tiempo o con acciones determinadas del dispositivo), haciendo que sea mas
difícil para los antivirus detectar su firma, las primeras detecciones fueron en Europa
en el 2014.

 

¿Cómo opera?
La variante que hoy afecta, realiza ataques de fuerza bruta para obtener credenciales y
acceso, una vez comprometido el host, extrae credenciales y realiza movimientos
laterales para propagarse.

 

¿Cómo puede infectarse?
Se está propagando a través de archivos .txt y .rar Se ha detectado que la URL de
origen es http://www[.]triosalud.cl donde pueden existir diversos archivos
maliciosos.

 

Acciones tomadas con nuestros clientes:
 Se han analizado 32 muestras de hash diferentes asociados a las amenazas del
ransomware Emotet y Locked en las últimas 24 horas. Entre las muestras se
incluyen archivos .txt y .rar
 Se han realizado los bloqueos en todas las herramientas de antivirus y filtro de
correo de nuestros clientes administrados.

 

Antes de nuestras acciones:
 Mcafee bloqueaba el 88% de los hash
 Kaspersky  un 90%
 Cylance protege el 100% en modo prevención, conteniendo la ejecución de los archivos contaminados

 

Nuestra recomendación para quienes no son clientes:
 Bloquee temporalmente todos los archivos .rar y .txt
 Restrinja el tráfico desde y hacia el webhosting en cuestión (IP 190.107.177.246)

 

 

Si desea saber más sobre Emotet, qué es y cómo protegerse, converse con un especialista en ciberseguridad aquí: www.widefense.com/contacto

Yatron ransomware

Yatron: nuevo ransomware inspirado en Wannacry ataca computadoras sin actualizar

Este martes 12 de marzo, se reportó a través a diferentes portales la existencia de un nuevo ransomware que se aprovecha de las vulnerabilidades de EternalBlue y DoublePulsar para cifrar archivos y propagarse a través de la web.

 

Especialistas informan que este nuevo ransomware, bautizado como Yatron, podría clasificarse como una amenaza grave dadas sus características. Se trata de un programa malicioso que cifra los archivos de sus víctimas por medio de avanzados algoritmos de cifrado. Una vez que se completa el proceso, las personas son incapaces de acceder a sus documentos.

 

Yatron persigue el mismo objetivo que otros ransomware. Después de que cifra todos los archivos de su víctima, da un plazo de 72 horas para que pague por liberarlos. En caso de que pasen tres días y los atacantes no hayan recibido el dinero, se eliminan los archivos.

 

Usuarios reportan que este nuevo ransomware afecta principalmente a equipos con Windows. Asimismo, mediante un código que utiliza las vulnerabilidades de EternalBlue y DoublePulsar, Yatron se propaga a otros dispositivos que estén conectados a la red.

Yatron

El sitio BleepingComputer informa que este ransomware agrega la extensión .Yatron al cifrar los archivos de sus víctimas.

 

Especialistas también informan que este ransomware es capaz propagarse a través de P2P, USB y LAN.

¿Cómo protegerse?

Yatron se aprovecha de los equipos con Windows que no han sido parcheados, por lo que la mejor defensa contra este nuevo ransomware es mantener sus dispositivos actualizados con la última versión de su sistema operativo.

 

Desde Widefense proponemos igualmente el uso de programas orientados a prevenir estas amenazas con varios meses de anticipación. Cylance, por ejemplo, basándose en Inteligencia Artificial, es conocida por detectar y detener la pre ejecución de este ransomware con algoritmos del 2016.

Yatron

Una vez que Yatron infecta el sistema, aparece un mensaje de rescate en el dispositivo de la víctima

 

En caso de que haya sido afectado por Yatron, recomendamos fuertemente no pagar el rescate. No existen garantías de que los cibercriminales le devolverán el acceso a sus archivos y realizar el pago solo contribuiría a financiar futuras amenazas de este calibre.

 

Converse con un especialista en ciberseguridad aquí: www.widefense.com/contacto

O lea también Ransomware: ¿pagar o no pagar? en nuestro blog.

 

Artículo con imágenes de BleepingComputer

Widefense crea un Observatorio de Amenazas

Widefense crea Observatorio de Amenazas para prevenir ataques de Día 0

“Analytics may take intelligence as an input and give you more valuable intelligence as an output”, Brian Jack (KnowBe4)

 

En el 2019 Widefense renueva su oferta de servicios con el lanzamiento de un Observatorio de Amenazas para alertar sobre ataques de día 0 y facilitar a las empresas, instituciones y público en general, el acceso a información relevante que les permita mantener sus datos seguros.

 

Tras el ataque de Wannacry que sacudió al mundo entero en 2017, y en el que Widefense lideró como fuente de información confiable, hoy la empresa busca implementar un sistema de comunicación continua, en tiempo real e inteligente, que tenga la capacidad de consolidar las alertas y datos que generan los centros de monitoreo y análisis distribuidos a nivel global.

 

A solo días del lanzamiento oficial del Observatorio de Amenazas, Cristián Bravo Fritz, subgerente del área de Optimización y Marcela Henríquez, ingeniera de Mejora Continua responsable de soluciones de Inteligencia en Widefense, ahondan en los factores de cambio que impulsan la iniciativa, su objetivo, los hitos más importantes y cómo pueden beneficiarse las empresas y otros organismos de todo ello.

 

¿Cómo describirían esta iniciativa?

Es una iniciativa que nace para cubrir la necesidad de los clientes de estar informados en tiempo real de lo que ocurre en ciberseguridad en el mundo, empleando  inteligencia en amenazas para interconectar y filtrar la información.

 

La inteligencia en amenazas  responde a una metodología de gestión de ciberseguridad que logra capturar de forma automatizada noticias que están ocurriendo a lo largo del mundo y evidencias de nuevas amenazas que están atacando a gobiernos o a una industria en particular. El Observatorio de Amenazas busca ser una herramienta capaz de correlacionar estos datos con las plataformas que tenemos para darle tranquilidad a los clientes.

 

¿Qué factores de cambio impulsan el Observatorio de Amenazas?

El primer factor son los cambios tecnológicos. Cuando una tecnología es descontinuada, pierde soporte o las marcas deciden priorizar nuevas oportunidades de negocio, debemos buscar soluciones alternativas que permitan reemplazar funcionalidades y mantener el servicio dado a los clientes. Esta área está cubierta por los product manager de Widefense y su relación con marcas de clase mundial como Logrhythm, Cylance y Darktrace entre otras.

 

El segundo factor son los cambios en el modelo de negocio de los clientes. Todas las industrias están expuestas a cambios en la forma de hacer negocio, pongamos como ejemplo la relación Walmart-Cornershop, donde la empresa retail debe complementar su foco en las tiendas con seguridad de la información de los datos bancarios de sus clientes. Este tipo de cambios son identificados por  el equipo comercial de Widefense, el cual trabaja de forma activa y cercana con nuestros clientes.

 

El tercer factor son los cambios en las amenazas. Para nadie es un secreto que los programas maliciosos y las técnicas empleadas por los hackers mutan constantemente para evadir las medidas de seguridad implementadas por las organizaciones. En consecuencia, es necesario mantenerse alerta y realizar un seguimiento constante sobre las tendencias en ciberseguridad a nivel mundial, informando oportunamente a las industrias la cobertura o riesgo que están experimentando. De allí -precisamente- nace la idea de crear el Observatorio de Amenazas administrado por el área de Optimización de Widefense.

 

¿Cuál es el objetivo del Observatorio de Amenazas?

Lo que buscamos es entregar información, ser un motor para consolidar información del mundo y exponerla ante el cliente. Esto se traduce en tranquilidad, porque el cliente que recibe una noticia por parte del Observatorio va a decir “ok, Widefense está viendo nuevas amenazas, está validándolas contra mis plataformas y las de otros clientes, entonces debiera estar protegido”.

 

También busca ser más proactividad, porque no estamos siendo reactivos, sino que nos anticipamos y vemos qué productos logran cubrir mejor las amenazas. Y por último, da visibilidad al trabajo conjunto que se hace.

 

¿Cuál es el hito más importante que tienen previsto para este año?

Ese hito parte con lo que estamos haciendo hoy, que es la integración de un nuevo cerebro capaz de correlacionar eventos a eThalamus, la plataforma de monitoreo y control que tenemos en Widefense.

 

Mediante la conexión de este nuevo cerebro, podremos correlacionar eventos y efectivamente gatillar alertas tempranas ante amenazas en ciberseguridad, de manera inteligente. Este es el puntapié inicial del Observatorio de Amenazas.

 

¿Cómo pueden informarse empresas y personas sobre lo que hace el Observatorio de Amenazas?

Nuestro objetivo es vincular las alertas o las noticias que genere el Observatorio de Amenazas a través de Twitter. Este va a ser el primer canal de comunicación de las noticias y allí los clientes podrán enterarse de lo que está pasando en el mundo. Más adelante, informaremos de otros canales.

 

Finalmente, ¿existen iniciativas similares?

Hay iniciativas parecidas, pero ninguna en la región que correlacione fuentes o noticias, de manera dinámica e inteligente. Nuestro valor agregado será correlacionar toda esta información, sumado a que todo será más rápido al no requerir la intervención de personas.

El Observatorio de Amenazas de Widefense va a funcionar como cerebro de noticias y en la medida en que podamos estar mejor informados, nuestras acciones podrán ser más pertinentes y precisas para la prevención o el manejo de amenazas de día 0.