Actores de amenazas están llevando a cabo dos tipos de campañas principales que las organizaciones deben conocer para estar protegidas. Se trata de las campañas de Ingeniería Social y de Ransomware.
Campaña de ingeniería Social
Los actores de amenazas están llevando a cabo una campaña de Ingeniería Social sofisticada con el objetivo de obtener acceso inicial a las redes corporativas y luego explotarlas.
Tácticas:
- Inundación de correo electrónico: Los actores envían grandes cantidades de correos electrónicos de spam a las organizaciones, diseñados para abrumar las soluciones de protección de correo electrónico. Estos correos electrónicos a menudo se disfrazan como mensajes de suscripción legítimos de organizaciones conocidas.
- Suplantación de identidad: Una vez que los usuarios están abrumados por el correo electrónico no deseado, los actores de amenazas los llaman, haciéndose pasar por el equipo de TI de la empresa. Engañan a los usuarios para que instalen software de escritorio remoto (como AnyDesk o Microsoft Quick Assist) bajo la apariencia de solucionar problemas de correo electrónico.
- Acceso remoto malicioso: Una vez que obtienen acceso remoto, los actores instalan malware adicional, recopilan credenciales y mantienen la persistencia en los hosts comprometidos.
- Escalada de privilegios: Los actores intentan implementar Cobalt Strike y otras herramientas de acceso remoto para obtener un mayor control sobre la red comprometida.
Indicadores de Compromiso:
- Gran volumen de correos electrónicos de spam de organizaciones aparentemente legítimas.
- Llamadas telefónicas no solicitadas del supuesto equipo de TI.
- Software de escritorio remoto no autorizado instalado en los equipos.
- Actividad inusual en los sistemas.
Mitigaciones:
- Capacitación sobre ingeniería social: Educar a los empleados sobre las tácticas comunes de ingeniería social y cómo identificar correos electrónicos y llamadas telefónicas sospechosas.
- Soluciones de filtrado de correo electrónico robustas: Implementar soluciones de filtrado de correo electrónico más robustas que puedan detectar y bloquear correos electrónicos maliciosos.
- Autenticación multifactor (MFA): Habilitar MFA para todos los accesos a la red y las cuentas en la nube.
- Prohibición de software remoto no autorizado: Prohibir el uso de software de escritorio remoto no autorizado en los dispositivos de la empresa.
- Monitoreo de sistemas: Monitorear los sistemas para detectar actividades inusuales que puedan indicar una intrusión.
Campañas de Ransomware
LockBit Black:
- Este ransomware se está distribuyendo a través de la botnet Phorpiex, una red global de dispositivos infectados.
- Los actores envían millones de correos electrónicos que contienen la carga útil del ransomware LockBit Black (también conocido como LockBit 3.0).
- La campaña comenzó el 24 de abril de 2024 y aún está en curso.
Mallox:
- Este ransomware ataca específicamente a los servidores SQL de Microsoft.
- Utiliza el malware de cifrado de archivos Mallox para cifrar los datos de las víctimas.
- Mallox ha estado activo desde al menos junio de 2021 y se ha dirigido a organizaciones en las industrias de fabricación, comercio minorista y tecnología.
Mitigaciones:
- Parches de seguridad: Aplicar parches de seguridad de manera regular para corregir las vulnerabilidades conocidas.
- Copias de seguridad de datos: Realizar copias de seguridad de datos de forma regular y segura para que puedan restaurarse en caso de un ataque.
- Soluciones EDR: Implementar soluciones de detección y respuesta a endpoints (EDR) para detectar y detener ataques de ransomware en tiempo real.
- Capacitación sobre phishing: Educar a los empleados sobre las tácticas de phishing y cómo evitar hacer clic en enlaces o abrir archivos adjuntos sospechosos en correos electrónicos.
- No pagar rescates: No pagar rescates a los actores de amenazas, ya que esto los incentiva a continuar con sus actividades maliciosas.
Adicionalmente se recomienda:
- Mantenerse informado: Manténgase informado sobre las últimas amenazas cibernéticas y siga las recomendaciones de las agencias de seguridad cibernética.
- Implementar un servicio de ethical hacking: Contrate un servicio de ethical hacking para mitigar el riesgo de este tipo de ataques, esto le permitirá identificar y evaluar las vulnerabilidades antes de que sean explotadas, mejorar la postura de seguridad general y desarrollar un plan de respuesta a incidentes efectivo.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!
Fuentes
https://thehackernews.com/2024/05/ongoing-campaign-bombarded-enterprises.html