Tag Archives: Cisco Talos

La nueva campaña de Horabot apunta a América Latina

Posted on

Por: Marco Martínez / Cisco Systems

Cisco Talos ha observado que un actor de amenazas está desplegando un programa de botnet previamente no identificado al que Talos ha llamado “Horabot“. Este programa entrega un conocido troyano bancario y una herramienta de correo no deseado en máquinas víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020.

Esta campaña utiliza técnicas sofisticadas de ingeniería social y una cadena de ataque en múltiples etapas para comprometer los sistemas y robar información confidencial.

Horabot permite al atacante tomar el control de las cuentas de correo electrónico de las víctimas, robar direcciones de contacto y enviar correos de phishing con archivos adjuntos maliciosos. El troyano bancario recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, poniendo en riesgo la seguridad de las cuentas en línea de los usuarios. Además, la herramienta de correo no deseado compromete cuentas de Yahoo, Gmail y Outlook, enviando spam desde las cuentas comprometidas.

Es importante destacar que primordialmente el país con más infecciones es México y otros países como Uruguay, Brazil, Venezuela, Argentina, Guatemala y Panamá, otros países deben estar alertas ante posibles correos electrónicos sospechosos y eviten abrir archivos adjuntos o hacer clic en enlaces desconocidos. Mantener los sistemas operativos y programas actualizados, utilizar soluciones de seguridad confiables y ser conscientes de las técnicas de phishing son medidas clave para protegerse de esta amenaza y salvaguardar la información personal y financiera.

La campaña de Horabot comienza envíando correos electrónicos de phishing que contienen archivos adjuntos maliciosos. Estos correos electrónicos se diseñan cuidadosamente para parecer legítimos y persuadir a los usuarios a abrir los archivos adjuntos. Una vez que el archivo adjunto es abierto, se ejecuta un script de PowerShell que descarga e instala el malware principal en el sistema de la víctima.

El malware principal utiliza una técnica conocida como “sideloading” de DLL para evadir la detección y ejecutar código malicioso en el sistema. Esta técnica permite a los atacantes ocultar su actividad maliciosa y evitar ser detectados por las soluciones de seguridad implementadas en la organización.

Una vez que el malware se instala en el sistema comprometido, Horabot realiza una serie de acciones maliciosas. Puede robar información confidencial, como contraseñas y credenciales de inicio de sesión, así como también realizar actividades de espionaje en la red infectada.

Además, Horabot tiene la capacidad de propagarse a través de la red y comprometer otros sistemas. Utiliza técnicas de movimiento lateral para moverse de un sistema comprometido a otro, lo que le permite expandir su alcance y causar más daño.

Recomendaciones

Para protegerse contra la campaña de Horabot y otros ataques similares, es importante seguir las mejores prácticas de seguridad. Esto incluye:

  • No abrir archivos adjuntos sospechosos o enlaces en correos electrónicos no solicitados
  • Mantener el software y los sistemas operativos actualizados
  • Utilizar soluciones de seguridad confiables
  • Educar a los usuarios sobre los riesgos de la ingeniería social.

Clientes Cisco están con alguna de las siguientes tecnologías, están protegidos

 

 

Clientes sin productos de seguridad de Cisco

Puede obtener una evaluación de forma gratuita de los productos de seguridad de Cisco  en el siguiente enlace o solicitando la versión de prueba a un Partner autorizado: https://www.cisco.com/c/es_mx/products/security/security-stepup.html

Organizaciones sin productos de Cisco

Descargue aquí los IoC (indicadores de compromiso)

https://github.com/Cisco-Talos/IOCs/tree/main/2023/05/new-horabot-targets-americas.txt

Puede obtener información más detallada así como el informe técnico en el blog de Cisco Talos: https://blog.talosintelligence.com/new-horabot-targets-americas

Cisco Talos: nuestra ventaja de inteligencia de amenazas – no tan secreta –

Posted on

Por: Juan Marino / Cisco Systems

Las herramientas de seguridad son tan buenas como la inteligencia y la experiencia que las alimentan. Somos muy afortunados de tener nuestras tecnologías de seguridad impulsadas por Cisco Talos, uno de los grupos de inteligencia de amenazas más grandes y confiables del mundo. Talos está compuesto por investigadores, analistas e ingenieros altamente calificados que brindan visibilidad líder en la industria, inteligencia procesable e investigación de vulnerabilidades para proteger tanto a nuestros clientes como a Internet en general, todo esto de manera continua ya que la ciberseguridad está en todos y en este mes de concientización sobre la ciberseguridad no podía dejar de mencionarlo, así que recuerden: #BeCyberSmart.

El equipo de Talos sirve como un pilar crucial de nuestra innovación: alerta a los clientes y al público sobre nuevas amenazas y tácticas de mitigación, lo que nos permite incorporar rápidamente la protección en nuestros productos e intervenir para ayudar a las organizaciones con respuesta a incidentes, búsqueda de amenazas, evaluaciones de compromiso y más.  También se puede encontrar a Talos asegurando eventos a gran escala como el Super Bowl, y trabajando con organizaciones gubernamentales y policiales en todo el mundo para compartir inteligencia.

Con la amplia base de clientes y amplia cartera de Cisco, desde enrutadores y conmutadores hasta correo electrónico y endpoints, Talos tiene visibilidad de la telemetría mundial. Una vez que se detecta una amenaza, ya sea una URL de phishing o una dirección IP que aloje malware, se crean detecciones y se clasifican y bloquean los indicadores de compromiso en toda nuestra cartera Cisco Secure.

Talos también aprovecha sus conocimientos únicos para ayudar a la sociedad a comprender y combatir mejor los ciberataques a los que nos enfrentamos a diario. Durante la guerra en Ucrania, el grupo asumió la tarea adicional de defender a más de 30 proveedores de infraestructura crítica en el país administrando y monitoreando directamente la seguridad de sus endpoints.

Cómo Talos fortalece a XDR

La realidad de la seguridad actual es que las organizaciones deben estar constantemente preparadas para detectar y contener amenazas conocidas y desconocidas, minimizar el impacto y mantener el negocio en marcha sin importar lo que suceda en el ámbito cibernético. A la luz del trabajo híbrido, las arquitecturas de red en evolución y los ataques cada vez más insidiosos, todas las organizaciones deben estar preparadas para recuperarse rápidamente si ocurre un desastre y luego emerger más fuertes. Nosotros a esto le llamamos ciberresiliencia y Talos desempeña un papel fundamental para ayudar a nuestros clientes a lograrlo.

Durante varios años, nuestra plataforma integrada Cisco SecureX nativa de la nube ha brindado capacidad extendidas de detección y respuesta (XDR) y más. SecureX permite agregar, analizar y actuar sobre la inteligencia de fuentes dispares para una respuesta coordinada a las amenazas cibernéticas.

A través de la plataforma SecureX, la inteligencia de Talos se combina con la telemetría de los entornos de nuestros clientes, incluidas muchas herramientas de terceros, para brindar una imagen más completa de lo que sucede en la red. Además, la funcionalidad de respuesta automatizada incorporada ayuda a acelerar y simplificar la mitigación. De esta manera, los ataques potenciales pueden identificarse, priorizarse y remediarse antes de que tengan un impacto importante.

Para que XDR tenga éxito, no solo debe agregar datos, sino también darles sentido. A través de los conocimientos combinados de varios recursos, los clientes de SecureX obtienen la visibilidad y el contexto unificado necesario para priorizar rápidamente las amenazas correctas en el momento adecuado. Con SecureX, los analistas de seguridad pasan hasta un 90% menos de tiempo por incidente.

Aceleración y detección de amenazas

Por ejemplo, una de las universidades más grandes de Australia, la Universidad Deakin, necesitaba mejorar su postura de seguridad obsoleta y hacer la transición de procesos ad hoc a un programa maduro. Su pequeño equipo de seguridad buscó una solución integrada para simplificar y fortalecer la defensa contra amenazas.

Con un conjunto de productos de seguridad de Cisco integrados a través de SecureX, Deakin University pudo reducir el tiempo típico de investigación y respuesta para una amenaza importante de más de una semana a solo una hora. La universidad también pudo reducir su tiempo de respuesta para correos electrónicos maliciosos de una hora a tan solo cinco minutos.

Impulsar la ciberresiliencia con Talos

La sofisticación de los atacantes y la gran cantidad de amenazas que existen hoy en día hacen que sea extremadamente difícil para la mayoría de los equipos de seguridad cibernética mantenerse al tanto de las alertas y reconocer cuándo algo requiere su atención inmediata. Según una encuesta de ESG, el 81% de las organizaciones dice que sus operaciones de seguridad se han visto afectadas por la escasez de habilidades en ciberseguridad.

Es por lo que Talos emplea a cientos de investigadores en todo el mundo, las 24 horas del día, para recopilar y analizar cantidades masivas de datos de amenazas. El grupo utiliza lo último en lógica de aprendizaje automático y algoritmos personalizados para destilar los datos en inteligencia procesable y manejable.

Maximización de la defensa contra amenazas futuras

A principios de este año, revelamos nuestra visión estratégica de Cisco Security Cloud para brindar seguridad de extremo a extremo en entornos híbridos y multinube. Talos seguirá desempeñando un papel fundamental en nuestra tecnología a medida que ejecutamos esta visión. Además de la protección de conducción en nuestros productos, Talos también ofrece una experiencia más personalizada y práctica a los clientes cuando es necesario.

Cisco Talos Incident Response proporciona un conjunto completo de servicios proactivos y de emergencia para ayudar a las organizaciones a prepararse, responder y recuperarse de una infracción, las 24 horas del día. Además, el servicio Talos Intel on Demand recientemente lanzado ofrece una investigación personalizada única para su organización, así como acceso directo a los analistas de seguridad de Talos para una mayor conciencia y confianza.

#BeCyberSmart

¿Cómo protegernos contra Ransomware?

Posted on

Por: Gustavo Medina / Cisco Systems

Si el cibercrimen se midiera como un país, entonces el delito cibernético ya sería la tercera economía más grande del mundo después de EE. UU. y China y el Ransomware definitivamente es una de sus practicas mas lucrativas. El ransomware es un software malicioso (malware) que se utiliza en un ciberataque para cifrar los datos de la víctima con una clave de cifrado que es conocida solo por el atacante, lo que hace que los datos sean inutilizables hasta que se realice el pago de un rescate (normalmente en criptomonedas, como Bitcoin); además los atacantes a menudo extorsionan y amenazan con vender o filtrar datos extraídos si no se paga el rescate.

En estos últimos días este tema ha estado en muchos titulares de noticias. Por ejemplo, el grupo cibercriminal Conti permanece muy activo y los ataques de ransomware de Conti reportados contra organizaciones estadounidenses e internacionales han aumentado a más de 1,000 según la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). Navegando al propio blog de este grupo en la dark web donde publican o venden archivos confidenciales robados a las víctimas que se niegan a negociar el pago del rescate podemos ver que publican información para ejercer presión.

En general, algunas organizaciones consideran que pagar el rescate es la forma más rentable de recuperar sus datos y desafortunadamente, esto puede ser cierto; el año pasado el grupo de ransomware conocido como DarkSide fue responsable de un ataque en Estados Unidos que provocó que Colonial Pipeline (un sistema de oleoducto) cerrara 5550 millas de tubería, dejando varados innumerables barriles de gasolina, diésel y combustible para aviones en la costa este y la compañía terminó pagando cerca de 5 millones de dólares a este grupo para retomar las operaciones.

Sin embargo, los organismos encargados de hacer cumplir la ley recomiendan no pagar debido a que hacerlo fomenta que esta actividad delictiva continue e incluso ya en algunos países pagar el rescate podría ser ilegal ya que proporciona financiación a actividades delictivas. Otro punto importante cuando se trata del sector público es que seguramente ningún contribuyente estaría contento si el dinero de sus impuestos se utilizara para pagar a cibercriminales.

Recientemente el FBI giró una alerta advirtiendo que las agencias gubernamentales locales son objetivos atractivos para que los cibercriminales ataquen con ransomware porque supervisan servicios críticos de los que depende el pueblo causando interrupciones en la atención médica, los servicios de emergencia y las operaciones de seguridad.

Muchas personas me han preguntado de este tema en estos días y una de las cosas que me llama la atención es la idea equivocada que se tiene de como operan estos grupos criminales, algunos creen que operan como en las películas en las que un hacker esta en su garaje o habitación tratando de vulnerar un objetivo. La realidad es que estos grupos funcionan como cualquier compañía de tecnología lícita con un departamento de recursos humanos, programas de empleado del mes e incluso revisiones de desempeño. Como en cualquier compañía también pueden existir empleados descontentos; justamente esto hizo que un empleado de Conti filtrara en la dark web un Manual de Ransomware utilizado por este grupo.

Nuestro equipo de investigación e inteligencia frente a amenazas Talos cuenta con un equipo de hablantes nativos dedicados que tradujeron estos documentos en su totalidad al inglés para entender mejor su operación.  Estos documentos traducidos de cirílico revelan que en estos grupos cibercriminales hasta personas no muy técnicas pueden llevar a cabo ataques de ransomware contra organizaciones siguiendo instrucciones detalladas.

¿Cómo protegernos?

Invertir en resiliencia de seguridad, también conocida como resiliencia cibernética, le permite a las organizaciones resistir las amenazas impredecibles de hoy y emerger más fuertes. La resiliencia cibernética se refiere a la capacidad de una organización para identificar, responder y recuperarse rápidamente de un incidente de seguridad de TI. Desarrollar resiliencia cibernética incluye hacer un plan centrado en el riesgo que asume que la empresa en algún momento enfrentará una brecha o un ataque. Ademas es fundamental prestar atención al panorama de amenazas actual y mantenerse al día, así como asegurarse que la inteligencia detrás de las inversiones en soluciones de ciberseguridad esta respaldada por un grupo reconocido en la industria.

Los métodos de seguridad no solo deben centrarse en la detección, sino que también deben incluir la capacidad de mitigar el impacto una vez que entra el atacante. Las organizaciones deben analizar su modelo de seguridad de manera holística y obtener visibilidad y control en todos los niveles: antes de que ocurra un ataque, durante el tiempo que está en progreso e incluso después de que comience a dañar los sistemas o robar información.

En Cisco contamos con una guía de diseño validada para la protección contra Ransomware que incluye los siguientes componentes:

Para obtener más detalles sobre esta guía de diseño pueden ir al siguiente enlace:

https://www.cisco.com/c/en/us/solutions/collateral/enterprise/design-zone-security/breach-defense-design-guide.html

Podemos ayudarlo a detectar y proteger su empresa de amenazas: De click aquí.