🦸‍♂️✨ ¡Ha nacido un nuevo superhéroe digital: Pildoritas!

👉Ciberconsejos para tod@s
💊Ciberataques BEC ( Business Email Compromise)
🚨 Estafas BEC: Así funcionan… y así puedes evitarlas

 

 

🕵️‍♂️ ¿Cómo funciona una estafa BEC?

✅El atacante estudia a la empresa Revisa la web, redes sociales, organigramas…
✅Suplanta una identidad. Compromete una cuenta real o usa una dirección de correo casi idéntica a la legítima.
✅Espera el momento perfecto( Fechas de pago, cierre de mes, emisión de facturas…)
✅Envía un email muy muy creíble ( Mismo estilo, diseño, firma… incluso puede haber llamada telefónica.)
✅Pide una acción urgente (Transferencias, cambio de número de cuenta, tarjetas, información confidencial…)

🛡️ ¿Cómo protegerse?
✅ Desconfía de lo urgente especialmente si implica dinero o datos sensibles.
✅ Verifica siempre por otro canal. Una llamada al canal oficial puede evitar el desastre.
✅ Informa si detectas algo sospechoso
No dudes en alertar a tus compañeros o equipo de seguridad.

El CCN-CERT Centro Criptológico Nacional publico a finales de Febrero nuevas infografías en español e inglés sobre el Catálogo de Productos y Servicios STIC: https://lnkd.in/dzZYHADQ

Con los nuevos marcos normativos de obligado cumplimiento a los que están sujetas las empresas (si alguien tiene fechas de cuando aterriza la NIST2 que levante por favor la mano:)), es interesante el conocer las diferentes areas de aplicación, y los productos que nos pueden ayudar a cumplir con los objetivos que se exigen.

Catalogo online: https://lnkd.in/d68AMVpU

PDF: https://lnkd.in/d9FQBFwh

Recordar que aquí ya no se libran ni las Pymes porque se va a exigir a las mismas que se centren de forma seria en temas de seguridad para poder seguir prestando servicios.

Algunas referencias generales que se indican y pueden ser interesantes sobre las que trabajar sino lo estamos haciendo ya.

Protección de las Equipos y Servicios: (Dispositivos móviles, protección de correo, sistemas operativos, copias de seguridad, Plataformas, Virtualización…

Monitorización de la seguridad (IDS, IPS y AntiDDoS, Captura monitorización y análisis de tráfico, HoneyPot/HoneyNet, SandBox..)

Control de Acceso (NAC, Biometría, MFA, Gestión Identidades(IM), Single Sign-on, Servidores autenticación y PAM)

Seguridad en la Explotación (Antivirus (EPP), Filtrado de navegación, EDR, Gestión eventos seguridad, herramientas gestión de red, Dispositivos para gestión claves criptográficas, actualización de sistemas, herramientas de gestión de dispositivos…)

Protección de las comunicaciones (Enrutadores, cortafuegos, pasarelas de intercambio de datos, VoIP, Dispositivos inalámbricos, Switches, Proxies, WAF, Redes privadas virtuales IPSEC + SSL, SDN, Videoconferencia, Mensajería instantánea (IM)…)

Protección de la información y los Soportes de la Información (Cifrado y compartición segura de la información, herramientas de firma electrónica, Sistemas de prevención de fugas de datos, Almacenamiento cifrado de datos, Herramientas de Borrado Seguro…

Como podemos ver, el mundo de la seguridad cada vez se parece a algo infinito de gestionar tanto en tiempo como en recursos.

😶Europa Reconoce su debilidad tecnológica😶

Esta vez no lo digo bajo la narrativa metafórica de mi última publicación, sino que es Ursula Von der Leyen en formato comisión Europea quien lo afirma.

Literalmente comenta:

1️⃣Europa se ve frenada por debilidades
2️⃣En los últimos 20-25 años el modelo de negocio se ha basado en mano de obra barata china, energía barata de rusia y externalizando la seguridad y la inversión en la misma.
3️⃣Europa permanece detrás de EEUU y China, y debemos de corregir nuestras de debilidades para ser competitivos

Soluciones que aporta:

1️⃣Cerrar el GAP en innovación
2️⃣Hoja de ruta para descarbonización y competitividad
3️⃣Reducir las dependencias, aumentar la resiliencia y seguridad económica con empleos de calidad

Sus Reflexiones/aportaciones 💡Hay pocas startups tecnologías con ideas disruptivas💡

Una vez llegados a esa profunda reflexión 🙌, parece que Europa tiene un papel regulador muy estricto y quizás sea necesario el buscar un equilibrio para no terminar de ahogar el espíritu innovador y emprendedor de las empresas.

No es sencillo desarrollar nuevas tecnologías o que estas lleguen a nuestros mercados, pareciendo un continente sin impulso tecnológico que se mueve rezagado frente a sus competidores.

Esa idea acuñada de globalización (dependencia) tecnológica parece hacerse dado mayormente en una dirección y ahora toca vivir las consecuencias derivadas.

Eso, ¿O quizás simplemente sea una estrategia muy orquestada y nos sorprenda con un deepseek Europeo?.

Podemos iniciar un proyecto de brainstorming para definir el nombre de esa nueva IA que nos espera…o mejor no, que se nos puede ir de las manos con los procedimientos derivando en meses simplemente decidiendo su identidad.

Yo voto por EUlexIA («EU» + «Lex» – Ley en latín, reflejando regulación ética + IA que no puede faltar) que además suena a nombre castizo de antaño.

 

¿Un mal sueño o simplemente una realidad?

Me levanto por la mañana con el sonido de la alarma de mi móvil (IOS, Android) y miro la pantalla de mi altavoz inteligente (Amazon, Google, Apple, Samsung..) a fin de confirmar la hora.

Aprovecho para preguntarle por el tiempo y le mando encender las luces (Alexa, Google Home, Apple Home..).

Mientras desayuno enciendo mi SmartTV para ver las noticias (Tizen OS, WebOS, Android TV, Fire TV..), y que el mundo me recuerde como es el planeta en el que vivimos.

Es hora de ir a la oficina. Arranco el coche, conecto mi móvil (Apple CarPlay, Android auto), y a escuchar música (Spotify, Apple Music, Amazon..) para disfrutar de camino al trabajo. En la pantalla se presenta Google Maps (GPS) y reviso si hay algún tipo de retención que me haga llegar tarde a esa primera reunión.

Cuando finalmente llego, enciendo mi portátil (Mac, Dell, HP, Lenovo..) adquirido recientemente (Intel, AMD), arrancamos el SO (Windows) y reviso el correo (Gmail,Office365..).

Me toca realizar algunas configuraciones en mis sistemas perimetrales (Palo Alto, Fortinet, Cisco, CheckPoint..) y comprobar alertas que se hayan podido generar en el SIEM (Splunk, QRadar, ArcSight, Sentinel, LogRhythm..).

Parece que la electrónica de red esta funcionando correctamente (Cisco, Juniper, Aruba..) y los sistemas Antivirus cumpliendo su cometido (Defender, SentinelOne, Crowdstrike, Sophos…). Simplemente algún bloqueo web (Zscaler, Cloudflare, Netskope…) sin importancia.

Me preocupa el rendimiento del ERP (SAP, Oracle, Dynamics, Sage..) porque los usuarios lo notan rápido.

Como siempre toca revisar la salud de los servicios desplegados en la nube (AWS, Azure, Google, IBM, Oracle..) pero parece que todo OK.

Tengo una oficina con poca cobertura, pero con la solución de Tesla Smarlink ahora estoy contento. Me viene a la cabeza el Tesla conducción autónoma que recientemente se ha comprado mi primo con su autopilot completamente conectado o esos viajes al espacio (SpaceX, Blue Origin Virgin..).

Como tengo la mañana algo tranquila reviso brevemente mis redes sociales (X, Facebook, Instagram, Whatsapp …) y navego un poco (google, bing…) justo antes de la comida.

Ya por la tarde tengo liada con unas reuniones virtuales (Teams, Zoom, Meet, Webex, skype…) que me tienen entretenido gran parte de la misma, y el resto del tiempo lo dedico a revisar el MDM y los endpoint (Intune, MobileIron, Airwatch..) y montar alguna pruebita de concepto para mejorar la seguridad.

Es hora de volver a casa, relajarme y tontear un poco con la IA (OpenIA, Microsoft Google DeepMind, IBM Watson, Amazon..)

Salgo un momento a correr (Suunto, Garmin), cenar viendo una serie ( NetFlix, Prime, Disney, HBO, Apple..) y para la cama que es tarde y toca madrugar.

Pero justo en ese momento previo a vencerme el sueño, es cuando reflexiono y pienso: virgencita, virgencita que los americanos no se enfaden mucho con Europa porque me da que íbamos a salir torcidos en la la foto

 

Tenia pendiente el escribir una pequeña crónica de lo que ha sido mi paso por el ISMS Forum Euskadi de este año.

Agradecer la invitación a Kerman Arcelay, a los organizadores por la excelente gestión del evento y a los ponentes por dedicar su tiempo en compartir tan preciado conocimiento.

Creo importantes este tipo de eventos que permiten interactuar y discutir ideas con compañeros que se enfrentan a los mismos retos de seguridad. La vorágine del día muchas veces nos hace permanecer atrincherados en nuestros zulos llegando a perder el contacto con esa realidad física que tanto siempre nos aporta.

Remarcar que toda la información viene derivada de mis notas por lo que disculparme todos los ponentes por los errores que pueda contener  el relato.

Abría el evento con una presentación y bienvenida Alberto Bernáldez , CISO, Liberty Seguros; Board Member, ISMS Forum Euskadi quien daba paso al primero de los ponentes:

---

CIBERSEGURIDAD INDUSTRIAL: ESTRATEGIA, RIESGO E INVERSIÓN,
Eduardo D., Managing Partner, EDAN Ventures

---

• Estrategia del miedo
• Gasto de X€ en auditorias que luego no se les da continuidad
• Proyectos de seguridad a 3 años. ¿tienen sentido?
• Zero trust / Desconocimiento / La gente lo confunde con un producto
• Empresas se alían con un fabricante que les promete el pack completo. ¿Es interesante esta postura?

NUEVA ESTRATEGIA

• • Tenemos mucha información que no podemos procesar.
  • Enviar solo lo necesario al SIEM y filtrar antes de enviar.
  • Tener un único punto de control (Dashboard)
  • Recursos limitados/negocio/vulnerabilidades. Priorizar y centrarse en lo importante
  • Los presupuestos para seguridad no son ilimitados
  • Disponer de KPI a alto nivel mas allá de eventos del SIEM y vulnerabilidades
  • Contar con el apoyo de la dirección
  • Con el 80% de esfuerzo conseguir el 20% necesario
  • CISO: Buscar balance entre empresas grandes y Startups
  • Las grandes empresas tienen productos que cubren necesidades actuales pero les cuesta innovar
  • Las Startups mas alineadas con el mercado

CONCLUSION

• • • La estrategia del miedo se acabo
    • Desafíos en la gestión del dato
    • Visión integral y global para CISO con KPI más allá de los técnicos
    • StartUps ayudan en el proceso de innovación

Leer más…

Parte 1

Mejores prácticas de preparación, prevención y mitigación

del Ransomware y la extorsión de datos

 

Me hago ECO de la actualización (Mayo 2023) de un documento muy interesante que publicó CISA (https://www.cisa.gov) en el 2020, en el que nos marcan una serie de pautas de como debiéramos prepáranos a fin de mitigar y responder ante un ataque de Ransomware.

Os dejo un resumen con los titulares y los puntos que me parecen más interesantes. Al final de la publicación esta el link al documento original y otro para descargar el documento traducido.

 Preparación para incidentes de Ransomware y extorsión de datos 

 

• Mantener copias de seguridad fuera de línea y cifradas de los datos críticos
  • Probar los procedimientos de forma regular
  • Mantener plantillas que permitan reconstruir el sistema.
  • Utilizar una solución multi-nube
  • Almacenamiento inmutable

• Crear, mantener y ejercitar regularmente un plan básico de respuesta a incidentes cibernéticos (IRP) y un plan de comunicaciones asociado que incluya procedimientos de respuesta y notificación para incidentes de ransomware y extorsión/violación de datos
  • Disponer una copia offline e impresa
  • Notificar en caso de robo de información personal
  • Tener desarrollado un plan de respuesta ante incidentes

• Implantar una arquitectura de confianza cero para impedir el acceso no autorizado a datos y servicios. Hacer que la aplicación del control de acceso sea lo más granular posible.

Prevención y mitigación de incidentes de Ransomware y extorsión de datos

 

• Llevar a cabo un escaneo regular de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet, para limitar la superficie de ataque

• Parchee y actualice periódicamente el software y los sistemas operativos a las últimas versiones disponibles.

• • Priorizar dispositivos con conexiones a Internet

• Asegúrese de que todos los dispositivos locales, de servicios en la nube, móviles y personales (es decir, traiga su propio dispositivo [BYOD]) estén configurados correctamente y que las funciones de seguridad estén activadas.

• Limite el uso de RDP y otros servicios de escritorio remoto.

• • Aplicar bloqueos de cuentas, auditar eventos e implementar 2FA
  • Hacer uso de VPN

• Deshabilite las versiones 1 y 2 del protocolo Server Message Block (SMB)
  • Implementar firma SMB
  • Bloquear cuando se pueda puerto tcp 445 / 137 / 138
  • Registrar y supervisar en busca de comportamiento anómalo 

Vector de acceso inicial: Credenciales comprometidas

 

•  Implantar una MFA resistente al phishing para todos los servicios, en particular para el correo electrónico, las VPN y las cuentas que acceden a sistemas críticos
  • Implementar sistema por 2 o mas factores de verificación (Pin, reconocimiento facial…)

• Considere la posibilidad de suscribirse a servicios de supervisión de credenciales que vigilan la Dark Web en busca de credenciales comprometidas.

• Implantar sistemas de gestión de identidades y accesos (IAM)

• Implantar un control de acceso de confianza cero creando políticas de acceso sólidas para restringir el acceso de usuario a recurso y de recurso a recurso.

• Cambiar los nombres de usuario y contraseñas de administrador por defecto.

• No utilices cuentas de acceso root para las operaciones cotidianas.

• Implemente políticas de contraseñas que requieran contraseñas únicas de al menos 15 caracteres.

• Implementar gestores de contraseñas.

• Aplicar políticas de bloqueo de cuentas después de un cierto número de intentos fallidos de inicio de sesión.

• Almacene las contraseñas en una base de datos segura y utilice algoritmos hash potentes.

• Desactivar el almacenamiento de contraseñas en el navegador en la consola de administración de directivas de grupo.

• Implemente la solución de contraseña de administrador local (LAPS)

• Protección contra el dumping del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS):

• • Implementar la regla de Reducción de Superficie de Ataque (ASR) para LSASS.
  • Implemente Credential Guard para Windows 10 y Server 2016.

• Eduque a todos los empleados sobre la seguridad adecuada de las contraseñas en su formación anual sobre seguridad, haciendo hincapié en no reutilizar las contraseñas y no guardarlas en archivos locales.

• Utilice Windows PowerShell Remoting, Remote Credential Guard o RDP con modo de administración restringido cuando establezca una conexión remota para evitar la exposición directa de las credenciales.

• Separar las cuentas de administrador de las cuentas de usuario
  • Solo utilizar cuantas de administrador con propósitos administrativos que las requeran.

 

Vector de acceso inicial: Phishing 

 

• Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios

• Marcar los correos electrónicos externos en los clientes de correo electrónico

• Implementar filtros en el gateway de correo electrónico para filtrar correos electrónicos con indicadores maliciosos conocidos

• Habilite los filtros de archivos adjuntos comunes para restringir los tipos de archivos que suelen contener malware y que no deben enviarse por correo electrónico

• Implantación de la política de autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) y verificación para reducir los costes.

• Asegúrese de que las secuencias de comandos de macros están desactivadas para los archivos de Microsoft Office transmitidos por correo electrónico.

• Desactivar el alojamiento de scripts de Windows (WSH).

 

Vector de acceso inicial: Infección de malware precursor 

 

• Utilice actualizaciones automáticas para su software antivirus y antimalware y sus firmas.
  • Utilizar solución antivirus gestionada de forma centralizada

• Utilice listas de aplicaciones permitidas y/o soluciones de detección y respuesta de puntos finales (EDR) en todos los activos
  • WDAC o AppLocker
  • Utilizar listas de aplicaciones permitidas

• Considere la posibilidad de implantar un sistema de detección de intrusiones (IDS)

• Supervise los indicadores de actividad y bloquee la creación de archivos maliciosos con la utilidad Sysmon de Windows.

 

Vector de acceso inicial: Formas avanzadas de ingeniería social

 

• Crear políticas que incluyan formación sobre ciberseguridad
  • Repetir periódicamente la formación

• Implantar un Sistema de Nombres de Dominio (DNS) protector.
  • Bloquear consultas DNS maliciosas

• Considere la posibilidad de implantar navegadores aislados

 

Vector de acceso inicial: Terceros y proveedores de servicios gestionados 

 

• Considerar las prácticas de gestión de riesgos e higiene cibernética de terceros o servicios gestionados.

• Garantice el uso del mínimo privilegio y la separación de funciones a la hora de configurar el acceso de terceros.

• Considere la posibilidad de crear políticas de control de servicios (SCP) para los recursos basados en la nube con el fin de impedir que los usuarios o las funciones, en toda la organización, puedan acceder a servicios específicos o tomar acciones específicas dentro de los servicios.

 

Buenas prácticas generales y orientaciones sobre refuerzo 

 

• Asegúrese de que su organización cuenta con un enfoque integral de gestión de activos
  • Inventariado de activos
  • Conocer cuales son los sistemas más críticos y sus dependencias

• Aplicar el principio de mínimo privilegio a todos los sistemas y servicios
  • Restringir permisos para instalar/ejecutar software
  • Auditar los Controladores de Dominio
  • Auditar de forma periódica en busca de cuentas inactivas o no autorizadas

• Asegúrese de que todas las máquinas virtuales e hipervisores están actualizados.

• Aproveche las mejores prácticas y active la configuración de seguridad en asociación con entornos en la nube, como Microsoft Office 365.

• Mitigar el uso malintencionado del software de acceso remoto y de supervisión y gestión remotas (RMM)

• Auditar herramientas de Acceso Remoto que se estén utilizando

• Emplear medios lógicos o físicos de segmentación de red implementando ZTA y separando varias unidades de negocio o recursos departamentales de TI dentro de su organización y mantener la separación entre TI y tecnología operativa

• Elabore y actualice periódicamente diagramas de red exhaustivos que describan los sistemas y flujos de datos dentro de la red o redes de su organización

• Restrinja el uso de PowerShell a usuarios específicos caso por caso mediante la directiva de grupo.

• • Permitir PS solo a usuarios administradores
  • Permitir solo últimas versiones
  • Activar auditorias sobre su uso (Ps Windows Event” “PS Operational”)
  • Monitorizar estos registros en busca de acciones maliciosas

• Asegurar los controladores de dominio (DC).
  • Realizar auditorias para comprobar la robusted de los mismos
  • Controlar grupos administradores y restringir acceso a los mismos
  • Impedir acceso a Internet.
  • Limitar autenticación NTLM y WDigest
  • Activar EPA (Extended Protection Authentication)
  • Rechazar respuesta LM y NTLM
  • Activar protecciones adicionales para Autenticación LSA para prevenir inyección de código

• Conserve y proteja adecuadamente los registros de dispositivos de red, hosts locales y servicios en la nube.
  • Gestión centralizada de eventos.

• Establezca una línea de base de seguridad del tráfico de red normal y ajuste los dispositivos de red para detectar comportamientos anómalos.

• Realizar evaluaciones periódicas para garantizar que los procesos y procedimientos están actualizados y pueden ser seguidos por el personal de seguridad y los usuarios finales.

 Parte 2

 

Lista de comprobación de la respuesta al Ransomware

 

y la extorsión de datos

Detección y análisis

 

1. Determinar qué sistemas se han visto afectados y aislarlos inmediatamente.
   1. Tener definido un plan para aislar sistemas críticos
   2. Los malos pueden estar monitorizando nuestras acciones para ver si han sido detectados(utilizar otros canales de comunicación)

2. Apague los dispositivos si no puede desconectarlos de la red para evitar una mayor propagación de la infección del ransomware
   1. Solo si no podemos desconectar los equipos de la red para evitar perder evidencias

3. Clasificación de los sistemas afectados para su restauración y recuperación
   1. Priorizar los sistemas críticos a restaurar en base a una lista definida.

4. Examinar los sistemas de detección o prevención existentes en la organización (por ejemplo, antivirus, EDR, IDS, sistema de prevención de intrusiones) y los registros.
   1. Buscar el vector de entrada y bloquearlo
   2. Estar seguridad de erradicar el malware antes de restaurar sistemas.

5. Reúnase con su equipo para desarrollar y documentar una comprensión inicial de lo ocurrido basada en el análisis inicial.

6. Iniciar actividades de caza de amenazas.

1. 1. Cuentas AD recién creadas privilegiadas
   2. Inicios sesión VPN sospechosos
   3. Uso indebido de herramientas de sistema
   4. Evidencias de herramientas C&C
   5. Uso de Powershell
   6. Enumeración de Credenciales
   7. Comunicaciones inesperadas
   8. Indicios de filtración de datos
   9. Servicios Recién creados, tareas programadas, software instalado…
   10. En la nube
       1. Detectar modificaciones en los recursos

 Informes y notificaciones

 

7. Siga los requisitos de notificación descritos en su plan de comunicación y respuesta a incidentes cibernéticos para involucrar a los equipos internos y externos y a las partes interesadas con una comprensión de lo que pueden proporcionar para ayudarle a mitigar, responder y recuperarse del incidente.
   1. Compartir información y mantener informadas a todas las partes de forma periódica
   2. Notificar el incidente a los organismos que competan.
   3. Recuperar todas la evidencias (archivos maliciosos, RAM,registros, IOC…)

8. Si el incidente ha dado lugar a una violación de datos, siga los requisitos de notificación establecidos en sus planes de comunicación y respuesta a incidentes cibernéticos.

 

Contención y erradicación

 

9. Tomar una imagen del sistema y una captura de memoria de una muestra de dispositivos afectados. (por ejemplo, estaciones de trabajo, servidores, servidores virtuales y servidores en la nube).

10. Consulte a las fuerzas de seguridad federales, incluso si es posible adoptar medidas paliativas, sobre los posibles descifradores disponibles,

 

Seguir tomando medidas para contener y mitigar el incidente

 

11. Busque orientaciones fiables para la variante concreta de ransomware y siga los pasos adicionales recomendados para identificar y contener los sistemas o redes que se haya confirmado que están afectados.

12. Identifique los sistemas y cuentas implicados en la violación inicial.

13. Sobre la base de los detalles de la violación o compromiso determinados anteriormente, contener los sistemas asociados que puedan utilizarse para un acceso no autorizado posterior o continuado.

1. 1. Desactivar redes virtuales, accesos remotos…

14. Si una estación de trabajo infectada está cifrando datos del lado del servidor, siga los pasos de identificación rápida del cifrado de datos del lado del servidor.
    1. Revisar las sesiones de quien esta accediendo
    2. Revisar los eventos

15. Realizar un análisis ampliado para identificar los mecanismos de persistencia «outside-in» y «inside-out»

16. Reconstruir los sistemas basándose en la priorización de los servicios críticos

17. Emitir restablecimientos de contraseñas para todos los sistemas afectados y abordar cualquier vulnerabilidad asociada y brecha en la seguridad o visibilidad una vez que el entorno haya sido completamente limpiado y reconstruido,

18. La autoridad de TI o de seguridad de TI designada declara el incidente de ransomware finalizado en función de los criterios establecidos, que pueden incluir la adopción de las medidas anteriores o la búsqueda de ayuda externa. 

 

Recuperación y actividad posterior al incidente

 

19. Reconectar los sistemas y restaurar los datos a partir de copias de seguridad encriptadas fuera de línea, basándose en una priorización de los servicios críticos.

20. Documentar las lecciones aprendidas del incidente y de las actividades de respuesta asociadas

21. Considere la posibilidad de compartir las lecciones aprendidas y los indicadores de compromiso relevantes

Fuente Original: https://www.cisa.gov/sites/default/files/2023-05/StopRansomware_Guide_508c%20%281%29.pdf

Documento traducido: StopRansomware_Guide_508c-ES

El año pasado Mapfre tuvo la mala fortuna de sufrir un incidente de Seguridad, pero al mismo tiempo supo gestionarlo de una forma diligente y transparente.

Después de leer la resolución de la Agencia española de protección de datos del ciberincidente que sufrió, me tomo la libertad de resumir en un pequeño cronograma la información que se refleja en el informe a fin de que todos nos podamos aprovechar del buen trabajo realizado.

Por razones obvias no es sencillo encontrar tanta transparencia en este tipo de incidentes.

Este ejercicio lo veo como una forma de tomar conciencia de lo «sencillo» que puede ser el sufrir un vector de entrada de este tipo y las consecuencias que vienen derivadas del mismo.

Creo que es inteligente el asumir que cualquier empresa puede sufrir un ataque de este tipo, y en la medida de las posibilidades de cada una, debemos intentar controlarlo, mitigarlo y resolverlo de la manera más eficiente.

Es importante al menos tener constancia de que este tipo de incidentes suceden en el mundo real más a menudo de lo que nos gustaría. La técnica del avestruz no funciona muy bien en estos casos, ni tampoco el pensar el que uno nunca va a ser blanco ante este tipo de ataques.

1 Agosto

• Se captura contraseña de una colaboradora (posiblemente equipo personal infectado por campaña phishing)
• Esa contraseña permite acceso al puesto virtual

1-7 Agosto

• Accesos desde distintos países a otros servidores para recoger credenciales de usuarios privilegiados
• Se obtiene credenciales de usuario privilegiado

1-11 Agosto

• Se analiza la red, servidores de ficheros y recursos compartidos
• Se intenta Exfiltración de datos (bloqueado por Mapfre)

14 Agosto

• Atacante distribuye ejecutable map.exe asociado al Ransomware Ragnar Locker a los servidores
• Se ejecuta de forma remota el archivo
• Se identifica con la monitorización y se activa el protocolo de alto impacto.
• Se abre el procedimiento de gestión de incidentes
• Se activa el comité de crisis
• Se activan los planes de continuidad de negocio
• Se activa call permanente con personal del área de seguridad y tecnología
• Se detecta ataque de Ransomware y se dan instrucciones para contener y evitar la propagación
• Apagar todos los servidores no imprescindibles
• Sacar de línea la copia de Backup y aislar segmentos de red
• Cortar conexiones desde Mafre hacia el resto de las empresas
• Limitar el número de conexiones remotas a un reducido número de usuarios
• Se informa de la situación a los responsables de seguridad de los principales socios

15 agosto

• Empezar a recuperar puestos de trabajo y se mantiene activo el comité de crisis para continuar con toma decisiones
• Se confirma la integridad y disponibilidad del Backup
• Se trabaja en la estrategia para recuperar los servicios
• Se busca apoyo en terceras empresas
• Resetear contraseñas de administradores y reducir usuarios admin
• Se aumentan las capacidad de monitorización, detección y respuesta
• Se consigue identificar y aislar el malware, se envía para análisis
• Se trabaja con el proveedor antivirus para que este garantice que se detecta el malware enviado
• Llega personal de refuerzo a los Contact Center para atender a los clientes
• Se contacta con Incibe (Instituto Nacional de CiberSeguridad) y CCN-CERT (Centro criptológico Nacional) para informar del ciberataque
• Se publica en la Web un comunicado del ciberataque

16 Agosto

• Se notifica el incidente a la AEPD (Agencia Española de Protección de Datos)
• Se levantan nuevos puestos de usuario y se abren las comunicaciones con terceros informándoles

17 agosto

• Se presenta denuncia ante las Fuerzas y cuerpos de seguridad del estado
• Se refuerzan las medidas de seguridad entre las que se encuentran el utilizar el 2FA (Doble factor de autenticación)

19 Agosto

• Se despliegan nuevas medidas de seguridad e instalar agentes en los equipos que avisen de afectación o persistencia del virus

20 Agosto

• Se empiezan a distribuir con terceros los IOC (Indicadores de compromiso)

23 agosto

• Se coordina la implantación de las acciones de refuerzo en el resto de los países

01 Septiembre

• Todos los puestos están operativos

13 Septiembre

• Estar prácticamente todos los elementos de la red restaurados

21 septiembre

• Nueva comunicación con la AEPD para informar

23 Septiembre

• Todos los equipos en toda la organización recuperados. Finalizan las investigaciones y se da la red como segura

12 Octubre

• Se da por cerrada la recuperación de los puestos de los proveedores

26 Octubre

• Se comprueba los últimos servidores y se concluye que los atacantes no tienen acceso a ninguno de estos

28 Octubre

• Comunicación AEPD de que se ha cerrado la brecha de seguridad tras análisis forense.

13 Noviembre

• Se confirma erradicación de cualquier credencial que los atacantes pudieran haber utilizado.

CAUSAS HICIERON POSIBLE LA BRECHA

• Los atacantes crearon una muestra indetectable para el software antivirus de la compañía
• Uso de herramientas sofisticadas de hacking
• Aumento de la superficie de exposición al trabajar desde casa con equipos personales lo que permitió comprometer una cuenta para acceder a la red

MEDIDAS MITIGACIÓN

• En primera instancia para evitar la propagación al resto de la red se aislaron varios segmentos de la misma.
• Se pagaron sistemas ( esto supuso una degradación y pérdida temporal del servicio)
• Se activó el plan de continuidad del negocio
• Convocar el comité de crisis
• Se abrió un línea de trabajo para restauración de los sistemas (participan proveedores)
• Restablecer los servicios más críticos
• Desde la primera noche se contactó con CCN-CERT e INCIBE y denunciar a la Guardia Civil
• Contactar con fabricantes de seguridad para establecer un plan de refuerzo
• Refuerzo en la detección de los ataques en política Antivirus
• Mejorar la protección AntiSpam
• El uso por todos de 2FA
• Incrementar las capacidad de monitorización y respuesta ante incidentes
• Aumentar las restricciones para navegar por internet
• Incluir los IOC en todas las plataformas y filtros de Seguridad
• Mejorar la prevención de ataques DDoS
• Incrementar el nivel de control de los usuarios administradores

DATOS AFECTADOS

• IdUsuario + contraseña (Datos básicos)

COMUNICADOS

• Comunicar públicamente la situación a las pocas horas de conocerla
• Comunicado en la Web
• Locución en el Contact Center
• Mensaje en Redes Sociales
• Comunicados a empleados
• Comunicados a la AEPD

MEDIDAS IMPLANTADAS CON ANTEIORIDAD A LA BRECHA

• Gestión de identificadores de los usuarios (Exponer al mínimos datos personales)
• Para posibilidad trabajar en remoto se realizó un plan de Reconfiguración de CiberSeguridad
• Se definió un plan de auditorías

MEDIDAS POSTERIORES

• Comprobar la creación de un Golden Ticket.
• Erradicar cualquier puerta trasera en ese sentido que se pudiera haber generado

AEPD

• Determina si se disponían de medidas de seguridad razonables
• Si existen auditorias para el cumplimiento de la RGPD
• La información que se ha Exfiltrado y si esta estaba protegida.
• El volumen de información Exfiltrada, y los mecanismos para evitar el mismo
• Valora rápida actuación, notificaciones y comunicaciones a clientes proveedores y empleados

Informe AEPD

Desde diversos medios se advierte de una campaña muy agresiva del Ransomware «BitPaymer» que esta afectando a importantes empresas Españolas.

Adjunto detalle de la incidencia publicada desde el Blog Segu-Info

Varias empresas españolas infectadas con Ransomware (Cadena SER, Everis y Prisa Radio)

Desde Hispasec nos advierten de la vulnerabilidades tanto de Microsoft Teams como de Google Chome

Tambien desde el mismo medio se advierte de un 0-day en Google Chrome que está siendo explotado

Vulnerabilidad en Microsoft Teams permite la descarga y ejecución de paquetes maliciosos

Desde el grupo de seguridad ITS se recomiendan una serie de medidas a fin de mitigar este tipo de riesgos.

MEDIDAS A TOMAR:

1. A NIVEL PERIMETRAL:
   • No disponer de ningún servidor RDP publicado a internet.
   • No disponer de ningún servicio SMB expuesto al exterior.
   • Si es necesario proporcionar este servicio, usar redes VPN para dar acceso a terceros a estos servicios y siempre limitando muy bien los orígenes y los destinos de las conexiones. El uso de equipos de salto o pasarelas pueden ayudar mucho en estas labores.
   • Dado que se expande mediante el mismo protocolo, se recomienda limitar este acceso entre las redes de la organización. Además, si se dispone de Firewall en los propios servidores, se recomienda cortar o, en su defecto, limitar las conexiones permitidas para estos servicio en los propios servidores.
2. MONITORIZACIÓN Y PROTECCIÓN DE SISTEMAS:
   • Se recomienda monitorizar tráfico RDP o SMB no autorizado.
   • Se recomienda deshabilitar los equipos de Microsoft Teams en los equipos corporativos.
   • Se recomienda tener todos los equipos, especialmente aquellos expuestos a internet, al último nivel de parcheado.
   • Se debería impedir la ejecución por directiva de dominio de comandos de POWERSHELL.
   • Para evitar afecciones en usuarios con privilegios, se recomienda restringir el acceso a usuarios administradores en equipos locales y el uso de administradores locales diferentes en cada equipo, por ejemplo mediante LAPS.
   • Por último, se recomienda realizar un comunicado interno indicando la situación actual y que todos los empleados tengas especial cuidado en la apertura de correos o mensajes de Skype o Teams.

Si normalmente debemos de estar atentos, en en este caso debemos de extremar nuestras precauciones.

 

Después de este periodo de inactividad cuyo único culpable ha sido el veranito, volvemos a la carga al igual que la moda en la temporada Otoño-Invierno, con ocasión de hablar sobre un programita llamado Tcpdump.

Hablar de Tcpdump, es hablar de uno de los analizadores de paquetes de red más conocidos e importantes en lo que a línea de comandos en entornos Unix se refiere. Su  principal función es la de analizar el tráfico que circula por la red. Este programita ya viene del lejano 1987, época en la que  sus autores Van Jacobson, Craig Leres y Steven McCanne trabajaban de la mano en el Lawrence Berkeley Laboratory Network Research Group, siendo este ampliado por Andrew Tridgel..

Seguro que rápidamente lo relacionáis con el término Sniffer. Hablar de  Sniffers,  analizadores de red o analizadores de paquetes es hablar de un tipo de software que  nos va a permitir  realizar capturas de tráfico en nuestra red para posteriormente poder realizar un análisis de la información recogida.  Se trata de configurar nuestra tarjeta de red en un modo denominado promiscuo, que nos permita no solo escuchar los paquetes que vienen destinados a nosotros, sino que se trata de escuchar todo el tráfico que se genera en la red. Vamos… lo que se viene a denominar un cotilla. Poner la oreja a ver si cae algo que nos interese.

¿ Para qué sirven entonces este tipo de programas ?. Ciertamente  no es una pregunta dirigida a los administradores de redes. Eso seguro!. Para ellos se trata de herramientas indispensable en su labor diaria.

Leer más…

Hablar de Nmap, es hablar de Gordon Lyon-Fyodor, y de una de las herramienta por excelencia en lo que a exploración de redes y puertos se refiere.

Vamos a empezar definiendo diferentes tipos de escaneos que podemos realizar:

1. Escaneos de redes :Este tipo de exploración nos va permitir conocer los dispositivos conectados en la red a estudiar.
2. Escaneos de puertos:  Una vez identificadas las máquinas, nos va a permitan descubrir puertos abiertos en las mismas. A partir de ese momento intentaremos descubrir los servicios que se están ejecutando y obtener datos que nos ayudarán a identificar el tipo de Sistema Operativo, las aplicaciones, versiones de las mismas…
3. Escaneos de vulnerabilidades: Encontrar servicios vulnerables que sirvan como punto de entrada en los sistemas.

Tratamos por lo tanto que buscar las máquinas, ver los servicios que hay corriendo en ellas, y encontrar algún punto vulnerable por el que poder colarnos.

Debemos tener cuidado, ser cautos y no fiarnos de los resultados. A explicarse se ha dicho… Podríamos encontrar una maquina con el puerto 80 abierto. Suponemos que sobre el mismo debería de haber corriendo un servidor web, pero en realidad podemos  tener cualquier tipo de servicio detrás de ese puerto (Anexo). Realizar varios chequeos y estudiar la información devuelta con lupa. Es aquí cuando empezamos a hablar de lo que se conoce como Fingerprinting. Algo así como determinar la versión y tipo de sistema operativo que se encuentra corriendo en el Host.

Nmap es una herramienta que a día de hoy nos va permitir realizar todo esto, pero donde verdaderamente ha venido centrando su potencial, es el escaneo de redes y puertos, aunque con las nuevas funcionalidades de Scripting (NSE) vamos a ver como sacarle todo su potencial.

Leer más…