Campañas de Ingeniería social y ataques de Ransomware en aumento

Escrito por Javiera González | 16-05-24

Actores de amenazas están llevando a cabo dos tipos de campañas principales que las organizaciones deben conocer para estar protegidas. Se trata de las campañas de Ingeniería Social y de Ransomware.

Campaña de ingeniería Social

Los actores de amenazas están llevando a cabo una campaña de Ingeniería Social sofisticada con el objetivo de obtener acceso inicial a las redes corporativas y luego explotarlas.

Tácticas:

Inundación de correo electrónico: Los actores envían grandes cantidades de correos electrónicos de spam a las organizaciones, diseñados para abrumar las soluciones de protección de correo electrónico. Estos correos electrónicos a menudo se disfrazan como mensajes de suscripción legítimos de organizaciones conocidas.
Suplantación de identidad: Una vez que los usuarios están abrumados por el correo electrónico no deseado, los actores de amenazas los llaman, haciéndose pasar por el equipo de TI de la empresa. Engañan a los usuarios para que instalen software de escritorio remoto (como AnyDesk o Microsoft Quick Assist) bajo la apariencia de solucionar problemas de correo electrónico.
Acceso remoto malicioso: Una vez que obtienen acceso remoto, los actores instalan malware adicional, recopilan credenciales y mantienen la persistencia en los hosts comprometidos.
Escalada de privilegios: Los actores intentan implementar Cobalt Strike y otras herramientas de acceso remoto para obtener un mayor control sobre la red comprometida.

Indicadores de Compromiso:

Gran volumen de correos electrónicos de spam de organizaciones aparentemente legítimas.
Llamadas telefónicas no solicitadas del supuesto equipo de TI.
Software de escritorio remoto no autorizado instalado en los equipos.
Actividad inusual en los sistemas.

Mitigaciones:

Capacitación sobre ingeniería social: Educar a los empleados sobre las tácticas comunes de ingeniería social y cómo identificar correos electrónicos y llamadas telefónicas sospechosas.
Soluciones de filtrado de correo electrónico robustas: Implementar soluciones de filtrado de correo electrónico más robustas que puedan detectar y bloquear correos electrónicos maliciosos.
Autenticación multifactor (MFA): Habilitar MFA para todos los accesos a la red y las cuentas en la nube.
Prohibición de software remoto no autorizado: Prohibir el uso de software de escritorio remoto no autorizado en los dispositivos de la empresa.
Monitoreo de sistemas: Monitorear los sistemas para detectar actividades inusuales que puedan indicar una intrusión.

Campañas de Ransomware

LockBit Black:

Este ransomware se está distribuyendo a través de la botnet Phorpiex, una red global de dispositivos infectados.
Los actores envían millones de correos electrónicos que contienen la carga útil del ransomware LockBit Black (también conocido como LockBit 3.0).
La campaña comenzó el 24 de abril de 2024 y aún está en curso.

Mallox:

Este ransomware ataca específicamente a los servidores SQL de Microsoft.
Utiliza el malware de cifrado de archivos Mallox para cifrar los datos de las víctimas.
Mallox ha estado activo desde al menos junio de 2021 y se ha dirigido a organizaciones en las industrias de fabricación, comercio minorista y tecnología.

Mitigaciones:

Parches de seguridad: Aplicar parches de seguridad de manera regular para corregir las vulnerabilidades conocidas.
Copias de seguridad de datos: Realizar copias de seguridad de datos de forma regular y segura para que puedan restaurarse en caso de un ataque.
Soluciones EDR: Implementar soluciones de detección y respuesta a endpoints (EDR) para detectar y detener ataques de ransomware en tiempo real.
Capacitación sobre phishing: Educar a los empleados sobre las tácticas de phishing y cómo evitar hacer clic en enlaces o abrir archivos adjuntos sospechosos en correos electrónicos.
No pagar rescates: No pagar rescates a los actores de amenazas, ya que esto los incentiva a continuar con sus actividades maliciosas.

Adicionalmente se recomienda:

Mantenerse informado: Manténgase informado sobre las últimas amenazas cibernéticas y siga las recomendaciones de las agencias de seguridad cibernética.
Implementar un servicio de ethical hacking: Contrate un servicio de ethical hacking para mitigar el riesgo de este tipo de ataques, esto le permitirá identificar y evaluar las vulnerabilidades antes de que sean explotadas, mejorar la postura de seguridad general y desarrollar un plan de respuesta a incidentes efectivo.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa .

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!

Fuentes

https://thehackernews.com/2024/05/ongoing-campaign-bombarded-enterprises.html

https://hackdojo.io/articles/EWEMAB6K7/ongoing-campaign-bombarded-enterprises-with-spam-emails-and-phone-calls

https://blog.netmanageit.com/ongoing-campaign-bombarded-enterprises-with-spam-emails-and-phone-calls/

Ver post completo