De Ursnift a Emotet: colaboraciones peligrosas que crean malware más potente

En estos últimos meses hablar de troyano bancario es hablar de Emotet. No es sorpresa que esto sea así, ya que la campaña utilizada por este malware es muy agresiva y la mayoría de los bancos, por no decir todos, han recibido un correo malicioso con un documento Office adjunto.

Pero hay otro troyano bancario que inició sus actividades en el año 2009 llamado Ursnif, también conocido como Gozi, que comparte el método de propagación con Emotet, es decir, ambos utilizan documentos de Office o el correo electrónico, y ejecutan un payload que descarga otras amenazas (Emotet: Dridex – GootKit – ZeuzPanda – IceID – TrickBot – BitPaymer y Ursnif-Gozi: GandCrab – Dridex).


Las técnicas de propagación e infección utilizadas por Ursnif han evolucionado hasta llegar a las utilizadas hoy en día por Emotet; hablamos de técnicas Fileless, conocidas como LoL (Living of the Land), en las que el atacante se mueve de manera sigilosa utilizando herramientas que ya tenemos en el equipo y por lo tanto no levantan sospechas, como documentos de Word, Excel, cmd, powershell y msiexec, con los que intentan infectar nuestros equipos.

Similitudes y Diferencias

Un análisis más profundo de ambas amenazas nos muestra que las dos comparten el mismo payload, llevándonos a la conclusión de que quizás hay un grupo común detrás de estas amenazas. Esta teoría toma más fuerza debido a que los responsables de Ursnif fueron apresados en el año 2015, y la primera muestra de Emotet ha sido vista en el año 2014, ya utilizando las llamadas técnicas fileless y mostrando una evolución del malware.

Estas colaboraciones son peligrosas porque se crea malware más potente, persistente, y nos demuestra que los grupos criminales trabajan activamente, ya sea colaborando o distribuyendo las mismas herramientas propicias para el desarrollo de amenazas a diferentes actores.

Hay pequeñas diferencias. Por ejemplo, Ursnif no deja rastros en el sistema, sin embargo, Emotet  deja un archivo .lnk en el equipo para ejecutarse cada vez que inicia Windows, además de algún rastro de información en el registro, lugar que no es revisado habitualmente por ningún usuario.

Otra diferencia es que el método de ofuscación no es igual, señal de que el grupo desarrollador no es el mismo en sí.

Cómo protegerse. 

Vemos entonces cómo ambas amenazas comparten un mismo vector de infección: el correo electrónico. Una protección para el mail trabajando en conjunto con un sandbox, nos ayudaría en principio a mitigar estas amenazas, ya que tendríamos un lugar en dónde explotar los adjuntos maliciosos para que muestren su carga y así poder extraerlos de los correos electrónicos. Esta solución también requiere trabajar sobre los links embebidos en el cuerpo del mensaje, abriendo sitios en modo seguro.

Recordemos que además la protección de los equipos es muy importante. Por ello debemos contar con un software que nos permita realizar un análisis de comportamiento y configurar políticas de restricciones sobre carpetas, archivos y procesos.

También a nivel corporativo hay que revisar la posibilidad de contar con un sandbox en la nube, inteligencia artificial avanzada y listas negras, todo esto administrado desde un mismo entorno para poder contener, investigar y remediar todas las amenazas en los diferentes dispositivos con la mayor rapidez posible.

Conocé todas las recomendaciones haciendo clic acá.

Porque ante la mutación, colaboración e incremento de las ciberamenazas, debemos estar preparados para prevenir, actuar y remediar. En NextVision contamos con soluciones para proteger y acompañar a tu empresa en estas fases. Contactanos!

Nuevo Informe de Amenazas de Symantec 2019

El Informe de amenazas a la seguridad de Internet 2019 de nuestro partner Symantec profundiza en las perspectivas de la red de inteligencia mundial civil más grande del mundo, revelando:

  • Los ataques de Formjacking se dispararon, con un promedio de 4,800 sitios web comprometidos cada mes.
  • El ransomware cambió los objetivos de los consumidores a las empresas, donde las infecciones aumentaron un 12 por ciento.
  • Como una consecuencia de la rápida adopción de infraestructuras cloud, más de 70 millones de registros fueron ilegalmente sustraídos de buckets S3 (containers de almacenamiento para objetos, alojados por AWS) , cuyos parámetros de seguridad estaban mal configurados
  • Las cadenas de suministro siguieron siendo un blanco suave con ataques que se dispararon en un 78 por ciento.
  • IoT fue un punto de entrada clave para ataques dirigidos; la mayoría de los dispositivos IoT son vulnerables

Este reporte está basada en 123 millones de sensores que registran miles de eventos de amenazas cada segundo desde 157 países y territorios.

Descargá el Informe de amenazas de seguridad de Internet 2019.

Desde NextVision, trabajamos sobre estas amenazas junto a Symantec, manteniendo una alianza de más de 20 años.

Podemos ayudarte a elegir tus riesgos de manera inteligente. No dudes en contactarte con nuestro equipo de expertos.

Consultor/a de Preventa

Nos encontramos en búsqueda de un/a Consultor/a de Preventa para nuestras oficinas en Buenos Aires.

Responsabilidades:

Estará a cargo de todo el proceso de preventa para proyectos de integración de tecnología, incluyendo el relevamiento de requerimientos de negocios, la definición de las soluciones a implementar, la estimación de esfuerzos y costos de las mismas, la generación y presentación del material y el análisis de pliegos.

Trabajará junto con el área comercial dentro del proceso de ventas y colaborará con el área de marketing en elaboración de reportes de investigación y conducción de webinars.

Sus principales tareas serán:

  • Investigación de nuevos productos y tecnologías
  • Diseño de soluciones técnicas adecuadas a la necesidad del cliente.
  • Análisis técnico/económico de las soluciones.
  • Soporte al desarrollo de propuestas, negociaciones y cierre de negocios.
  • Generación de demos y presentaciones
  • Análisis de pliegos y licitaciones

Perfil:

Buscamos profesionales con habilidades en ventas consultivas, capacidad de análisis y construcción de soluciones con marcada orientación al cliente.

Preferentemente, con conocimientos en seguridad, redes, comunicaciones, marcos normativos y mejores prácticas de los fabricantes líderes del mercado.

La posición está orientada a profesionales graduados en carreras de Sistemas, Ingeniería o afines que cuenten con experiencia no menor a 3 años en áreas de Venta de Servicios y Diseño de Soluciones en la industria TI.

Conocimientos generales en: (no excluyente)

  • Seguridad perimetral, servidores y puestos de trabajo
  • Ambientes virtuales y nube
  • Redes y comunicaciones
  • Plataformas operativas
  • Almacenamiento y redes SAN

Se valorarán conocimientos en las siguientes tecnologías: DLP, SIEM, AV, Firewalls, WAF, Storage, SAN, Switches, Router, VoIP,  Encripción,

Se valorarán certificaciones en ciberseguridad y/o comunicaciones.

Se ofrecen muy buenas condiciones de contratación, capacitación permanente y gran clima laboral en una empresa referente de ciberseguridad.

Zona de Trabajo: Distrito Tecnológico-Parque Patricios

Modalidad: full time

Enviar cv y remuneración pretendida a cv@nextvision.com

Consultor/a en Ciberseguridad

Tareas:

  • Definición de la solución apropiada a cada necesidad
  • Implementación de Tecnologías
  • Servicio post venta
  • Investigación de nuevas versiones
  • Atención de incidentes y visitas inhouse en clientes vip de la empresa.
  • Diseño de soluciones técnicas adecuadas a la necesidad del cliente
  • Generación de demos y presentaciones

Requisitos:

  • Conocimientos en seguridad, marcos normativos y mejores prácticas de los fabricantes líderes del mercado.
  • Experiencia en diseño de soluciones IT
  • 2 o 3 años de experiencia
  • Experiencia en Soporte Técnico
  • Orientación al cliente interno y externo
  • Graduados o estudiante de carrera de sistemas o afines.

Se valorará certificaciones y/o conocimientos en:
Prevención de fuga de Datos (DLP), SIEM, AV, Firewalls, WAF, Storage, SAN, Switches, Router, VoIP,  Encripción, antimalware, antispam, backup.A

Se valorarán certificaciones en seguridad y/o comunicaciones.

Beneficios:

  • Prepaga médica
  • Reconocimientos por desempeño
  • Capacitación permanente
  • Snacks, frutas, festejo de cumpleaños

Zona de Trabajo: Distrito Tecnológico-Parque Patricios

Modalidad: full time

Enviar CV y remuneración pretendida a cv@nextvision.com

El troyano Emotet evoluciona

Última actualización | 22 de abril de 2019

Emotet, reconocido originalmente como el gran “troyano bancario” viene evolucionando en los últimos años y hasta convirtiéndose en un distribuidor de amenazas.

Se han detectado numerosas campañas de phishing que entregan variantes de Emotet y también se lo ha relacionado con infecciones de ransomware Ryuk dirigidas a gran escala.

Emotet se distribuye de dos maneras: a través de correos electrónicos que han adjuntado documentos de Microsoft Word con macros maliciosos y a través de correos electrónicos con enlaces maliciosos. Si un usuario abre el archivo adjunto y habilita macros, o sigue el enlace, puede resultar en la descarga y ejecución de la carga útil de Emotet en su sistema.

Ahora ha ganado también la capacidad de verificar si la IP infectada desde donde se envía el correo electrónico malicioso ya se encuentra en una lista de correo no deseado, lo que les permite enviar más correos electrónicos a las bandejas de entrada sin ser rechazados.

Ejemplos:

A) Durante la tercera semana de enero de 2019, muchos usuarios en Latinoamérica recibieron un correo electrónico como el que figura a continuación.

Este es un comportamiento muy conocido de Emotet. El malware utiliza técnicas de ingeniería social estándar e incluye el nombre de la persona cuya cuenta de correo electrónico se ha comprometido para que no parezca un mail no deseado.

El adjunto infectado:

B) Mail Malicioso usando a Amazon como remitente

Conclusión y Recomendaciones:

El troyano Emotet es una amenaza altamente automatizada, que está en pleno desarrollo y tiene blancos en determinados territorios. Su pequeño tamaño, los mecanismos de autopropagación usados y su arquitectura modular hacen que Emotet sea un arma muy efectiva en manos de los ciberdelincuentes.

Sin embargo, este troyano originariamente bancario no usa tecnologías que sean fundamentalmente nuevas y por lo tanto, siguiendo adecuadas recomendaciones, podemos proteger nuestra empresa. Qué te sugerimos:

  • Bloquear macros en documentos de Office.
  • Considerar bloquear el intercambio de archivos a través de la red.
  • Mantener la suite de MS Office al día con los parches de seguridad.
  • Si aún no fue realizada, crear una política para los correos sospechosos y notificarlos al depto de ciberseguridad/TI.
  • Mantener al día la actualización de los sistemas operativos, antimalware y aplicaciones.
  • Actualizar contraseñas: Nadie de tu red LAN debería tener como password algunas de las siguientes passwords utilizados por la botnet de #Emotet para desplegarse en otros equipos a través de SMB.
  • Restringir permisos de los usuarios para instalar y ejecutar aplicaciones de malware. No agregar usuarios al grupo de administradores locales a menos que sea necesario.
  • Contar con un software que nos permita realizar un análisis de comportamiento y configurar políticas de restricciones sobre carpetas, archivos y procesos.
  • Contar con un sandbox en la nube, inteligencia artificial avanzada y listas negras, todo esto administrado desde un mismo entorno para poder contener, investigar y remediar todas las amenazas en los diferentes dispositivos con la mayor rapidez posible.
  • Concientizar y capacitar de manera continua a los colaboradores de la empresa para crear una cultura cibersegura.

Si en tu empresa necesitás asesoramiento o consultoría para prevenir y detectar este tipo de ataques, no dudes en contactarte con nuestro equipo de expertos. Contamos con soluciones tecnológicas para prevenir, actuar y remediar amenazas. Además, disponemos de servicios de awareness para concientizar a los usuarios de tu organización. Escribinos a info@nextvision.com para más información.

Fuentes Consultadas:

    • Equipo de consultores de tecnología de NextVision

Servicio de Ciberseguridad Administrada

Un servicio modular y competitivo para prevenir, detectar y mitigar amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes y un equipo de expertos de NextVision.

¿A quiénes está dirigido?

A organizaciones que necesiten delegar el monitoreo y administración de su infraestructura de seguridad para optimizar costos y hacer un uso más eficiente de sus recursos humanos y tecnológicos.

Te interesa conocer más de nuestro servicio? Contactanos!

Te invitamos a leer nuestra nota de blog sobre los Servicios de Seguridad Administrada.

Acerca de NV

Ayudamos a gestionar los riesgos de ciberataques de manera inteligente.

Trabajamos en la predicción, prevención, detección y respuesta, aportando innovación en cada una de nuestras soluciones.

Conocé nuestra oferta completa de soluciones y servicios

 

Nueva alianza | NextVision + Forescout

Con la misión de ayudar a nuestros clientes a gestionar los riesgos de ciberataques de manera inteligente, continuamos ampliando nuestras alianzas con los partners de ciberseguridad más importantes del mercado.

ForeScout se une a NextVision para afrontar los desafíos actuales de las empresas: control de acceso a la red, crecimiento de IoT, seguridad de la red de invitados , BYOD y cumplimiento de normativas. ¿Cómo lo hace? Con una solución que ofrece visibilidad de todos los dispositivos conectados a la red, brindando detección, clasificación, evaluación y supervisión en tiempo real.

Esta solución corporativa automatiza la implementación y el control de accesos basado en políticas, lo que le permite limitar el acceso a los recursos adecuados, automatizar la incorporación de invitados, encontrar y reparar brechas de seguridad de extremos, y ayudar a mantener y mejorar el cumplimiento de normativas del sector.

Si te interesa conocer más o querés solicitar una demo, no dudes en contactarte con nuestros expertos para asesorarte.

Conocé nuestra oferta completa de soluciones y servicios

Doble factor de autenticación para el control de accesos ¿Por qué es más seguro?

Los ciberdelincuentes están todo el tiempo buscando cómo lograr acceder a nuestra información: baches de seguridad en nuestros servidores, errores humanos en la custodia de la información, infectan con malware nuestros sistemas y hasta ejecutan estrategias de ingeniería social -como el phishing- para obtener los accesos a los aplicativos más sensibles y así consumar el ataque que les permitirá poner en riesgo a la empresa objetivo.

Sabemos que existen diferentes formas de proteger nuestra información en los entornos digitales, pero tal vez aún no está tan claro qué es el doble factor de autenticación, cuándo usarlo y cómo contribuye a mantener a los cibercriminales alejados de tus datos. Lo veremos en esta nota.

El Doble Factor de Autenticación, también llamado Autenticación en Dos Factores o 2FA (por sus siglas en inglés), es una herramienta que agrega una capa adicional de seguridad al inicio de sesión en aplicativos y cuentas de servicios online. Así, el atacante tendría que obtener dos combinaciones correctas para poder acceder.

Y esto ya no es tan fácil, pues se trata de algo que conocés (una contraseña, primer factor), y algo que tenés (una tarjeta de coordenadas, un token, una clave OTP, etc).

Si bien este proceso puede generar alguna resistencia por parte de los usuarios en primera instancia, es de fácil adopción y en la cotidianidad ya convivimos con él: cuando retiramos dinero del cajero tenemos una tarjeta y sabemos una clave, cuando nos logueamos en Facebook y nos solicita, además de la clave habitual, un código de un solo uso (OTP, one time password) que nos arroja la app en nuestro móvil, o cuando entramos al online banking a realizar alguna transacción, tenemos una tarjeta de coordenadas, un token o una clave dinámica en la app con la que le confirmamos al banco que efectivamente somos nosotros y que es seguro mover el dinero.

Algo que conocés + algo que tenés = doble factor de autenticación. Quien quiera acceder tendría que conocer ambos factores simultáneamente, lo cual reduce la probabilidad de éxito de los ataques.

Existe también un tercer factor de autenticación a partir de la biometría: algo único de cada persona; es decir, las huellas dactilares, el iris, la voz y hasta los latidos ahora se usan para confirmar la identidad del usuario que intenta ingresar al sistema o aplicativo. Por ejemplo, algunos bancos han comenzado a implementarlo en sus apps móviles aprovechando el sensor dactilar de los teléfonos inteligentes.

Si bien pueden existir formas de quebrantar estas alternativas, definitivamente el doble y triple factor de autenticación ponen fuertes barreras a aquellos que quieran acceder a las cuentas y a la información de tu empresa, más si tenemos en cuenta que el 50% de los ciberataques están relacionados con amenazas internas.

Además, según el informe de la encuesta realizada por VU Security a más de 600 organizaciones de 18 países de América Latina, el 41% de las encuestadas considera que la modalidad de fraude más frecuente es el phishing: suplantación de identidad tras adquirir información confidencial (como usuario y contraseña).

Metodología de fraude más frecuente

Metodología de fraude más frecuente.
Fuente: VU Labs. Ciberseguridad en América Latina y el Caribe. 2017.

Por esto, aunque la doble autenticación no sea infalible, es recomendable usar el doble y triple factor en los servicios críticos que puedan poner en riesgo la seguridad y sostenibilidad de la empresa, como la administración de sistemas de información sensible, accesos al correo corporativo o Intranet a través de teléfonos móviles, la gestión del e-commerce y pagos virtuales, entre otros.

Recordemos que así como las empresas invierten cada vez más esfuerzos en ciberseguridad, también los delincuentes buscan ir un paso adelante. Por eso, además de implementar el doble factor de autenticidad es importante sensibilizar y capacitar a tus empleados para que estén al tanto de las amenazas existentes en esta materia y cómo sus actos pueden proteger o arriesgar a toda la compañía.

Si en tu empresa existen aplicativos o servicios que manejen datos sensibles y aún no están integrados con la autenticación de doble o triple factor, estás más propenso a ser objetivo de los ciberatacantes y debe ser prioridad contactar a una empresa de seguridad que se enfoque en la prevención del fraude a partir de la protección de la identidad.

En NextVision contamos con el acompañamiento de VU Security, especialistas en ciberseguridad que a partir de las necesidades particulares de cada compañía y del conocimiento del comportamiento de los usuarios, encuentra la solución más indicada para prevenir ataques dirigidos, pharming, phishing, man in the middle, vishing, botnets y otras ciberamenazas que basan su ataque en el robo de identidad a través de diferentes métodos. Tokens móviles para generar contraseñas OTP en cualquier dispositivo, o reconocimiento de voz para confirmar la identificación, son algunas de las herramientas de doble y triple factor que ofrecemos.

También contamos con Symantec VIP (Validation and ID Protection), una herramienta que facilita la autenticación de doble o múltiples factores para que los usuarios finales puedan validar su identidad en cualquier dispositivo, de forma intuitiva. Provee cientos de integraciones y sitios web admitidos -lo que permite que la configuración sea muy simple-, y ofrece solicitudes de autenticación push, billetera de credenciales y códigos de seguridad para proteger las claves de los sitios web favoritos.

Si querés conocer más sobre estas soluciones que previenen el fraude por robo de identidad y cómo pueden robustecer tu estrategia de seguridad, comunicate con nosotros.

Desayuno sobre la Dark Web junto a IntSights

El miércoles 28 de noviembre realizamos un desayuno exclusivo junto a nuestro nuevo partner IntSights para entender las nuevas estrategias que usa el cibercrimen en la Dark, Clear y Deep Web.

La presentación estuvo a cargo de Claudio Pasik, director de NextVision y Luis Nuñez, director de ventas para LATAM y Manuela Jaramillo, gerente comercial de IntSights, quienes viajaron especialmente a Buenos Aires para este encuentro.

Además, aprovechamos para hacer el lanzamiento oficial de la nueva imagen de NextVision. Una renovación total que refleja nuestra evolución y nuestro foco de trabajar para ayudar a nuestros clientes a gestionar los riesgos de ciberataques de manera inteligente.

Más de 30 clientes entre CISOs y gerentes de seguridad y tecnología, pudieron interactuar y conversar acerca de las principales problemáticas que tienen las empresas hoy en términos de protección de marca, prevención de phishing, monitoreo de lo que se dice de ellas en la dark web y cómo  predecir posibles ataques.

NextVision es partner oficial de IntSights en Argentina y ya cuenta con importantes proyectos implementados en el sector de Salud y Banca. Si te interesa conocer más acerca de la solución y nuestros servicios, contactanos!

Nuevo programa de Concientización

LOGRAR UNA CULTURA CIBERSEGURA, LA CLAVE PARA PROTEGER NUESTRA INFORMACIÓN Y EL NEGOCIO

Que el usuari@ es el eslabón más débil de la ciberseguridad de una organización no es una novedad. Los ataques de phishing y ransomware siguen siendo las vías de entrada más exitosas para los ciberdelincuentes.

Más allá de las diferentes soluciones tecnológicas que adopten las organizaciones (y que son más que necesarias), esta problemática solo va a  ser resuelta si se busca cambiar los HÁBITOS de las personas que manejan la información dentro de una organización.

Desde NextVision, creamos un programa ÚNICO, INTEGRAL y CONTINUO con foco en las personas. Que busca enraizar en los empleados los fundamentos de una cultura cibersegura, a través de dinámicas participativas, simulacros de ataques y formación, para tod@s los colaboradores de la organización.

CON EL PROGRAMA NV AWARENESS SU EMPRESA PODRÁ:

  • Proteger al negocio y su información crítica de ciberataques, como consecuencia del uso tecnológico ingenuo o negligente de los empleados.
  • Evaluar la situación existente en materia de cultura cibersegura. Conocer cómo responden los colaboradores de la organización a correos electrónicos no confiables y a posibles ataques de phishing o ransomware, entre otras amenazas.
  • Realizar simulacros de ataques de Phishing y Ransomware en tiempo real para poder tener indicadores claros de potenciales ataques y entender el grado de exposición de información sensible.
  • Implementar un programa de formación y concientización continua para las diferentes áreas y niveles jerárquicos, que incluye charlas presenciales,. capacitaciones virtuales con módulos interactivos , exámenes y encuestas.
  • Colaborar con las áreas de comunicación interna/RRHH con material didáctico.
  • Centralizar toda la gestión del programa de capacitación y concientización, con métricas de correlación que permiten conocer de forma objetiva la efectividad de las acciones.
  • Cumplir con normativas y auditorías, a partir de un único registro de reporting de las acciones.
  • Lograr cambios de hábito permanentes en los colaboradores, a través del soporte de un equipo interdisciplinario de profesionales: expertos en seguridad, facilitación de equipos y comunicación interna con foco en ciberseguridad.

¿Querés que te asesoremos sobre este tema o conocer más sobre nuestra propuesta? ¡Contactanos ahora!