Gestión de Incidencias
Gestión de Problemas
Gestión de Cambios
Cumplimiento de Solicitudes
Gestión de Niveles de Servicio
Gestión de conocimiento
Gestión de Activos y Configuración
Autoservicio
Gestión Financiera de TI
Soporte Remoto
Gestíon de Sistemas
Automatización de Procesos de TI
Automatización de la gestión de incidencias
Implantación de Software
Cloud Service
Precios
Consulta el blog de EasyVista para estar al día de las últimas noticias, tendencias y mejores prácticas en transformación digital. Deja que EasyVista te mantenga al día y a la vanguardia de un sector en constante cambio.
Nos comprometemos a poner a tu disposición recursos que te ayuden en tus metas de software ITSM.
Manténgase actualizado sobre nuestros últimos seminarios web y eventos de ITSM, ITOM o ESM ahora
EasyVista | 06 junio 2024
En un panorama de ciberseguridad en constante evolución, los responsables de las amenazas adaptan continuamente sus métodos para sacar partido de las vulnerabilidades y atacar a víctimas desprevenidas. Un caso reciente es el de un grupo de ciberdelincuentes rastreado como Storm-1811 por el equipo de Microsoft Threat Intelligence. Se ha observado que este grupo con motivaciones económicas abusa de la herramienta Microsoft Quick Assist en ataques de ingeniería social, lo que supone un riesgo significativo para organizaciones de diversos sectores (The Hacker News, 2024).
Storm-1811, conocido por desplegar el ransomware Black Basta, aprovecha Quick Assist -una aplicación legítima de Microsoft diseñada para facilitar la asistencia técnica a distancia- como vector de sus ataques. Estos ataques comienzan con phishing de voz, en el que los atacantes se hacen pasar por contactos de confianza como el soporte técnico de Microsoft o profesionales de TI internos. A través de esta suplantación, engañan a las víctimas para que instalen herramientas de monitorización y gestión técnica a distancia (RMM), que sirven como canales para instalar paquetes más peligrosos, como QakBot, Cobalt Strike y, en última instancia, el ransomware Black Basta.
Una vez obtenido el acceso inicial a través de Quick Assist, Storm-1811 ejecuta comandos cURL para descargar archivos maliciosos por lotes o archivos ZIP. Estos archivos permiten otras actividades maliciosas, como la enumeración de dominios, el movimiento lateral dentro de la red y el despliegue de ransomware a través de herramientas como PsExec.
Este método de ataque es especialmente dañino porque se aprovecha de la confianza en las herramientas legítimas y de la falta de concienciación de los usuarios. Quick Assist es una aplicación integrada en los dispositivos Windows, a menudo percibida como un medio seguro de recibir asistencia técnica. Sin embargo, esta misma confianza es lo que la convierte en una poderosa herramienta en manos de los ciberdelincuentes. Al convencer a los usuarios para que permitan el acceso a distancia, las amenazas pueden eludir muchas medidas de seguridad, ya que la víctima les abre la puerta.
Para comprender plenamente la gravedad de estos ataques, es esencial profundizar en el funcionamiento detallado de Storm-1811 y en las implicaciones más amplias de sus tácticas.
La secuencia de ataque de Storm-1811 consta de varias fases, cada una de ellas meticulosamente diseñada para garantizar el éxito del despliegue del ransomware:
Primer contacto y suplantación de identidad: Los atacantes inician el contacto con la víctima mediante phishing de voz. Se hacen pasar por figuras de confianza, como el soporte técnico de Microsoft o profesionales informáticos de la misma organización de la víctima. Esta táctica de ingeniería social es eficaz porque aprovecha la confianza de la víctima y su falta de conocimientos técnicos.
La instalación de herramientas RMM: Tras la suplantación, se guía a la víctima para que instale herramientas de monitorización y gestión técnica a distancia (RMM). Estas herramientas son legítimas y ampliamente utilizadas en el soporte de TI, pero pueden ser manipuladas con fines maliciosos. Los atacantes utilizan estas herramientas para hacerse un hueco en el sistema de la víctima.
La entrega de cargas maliciosas: Con las herramientas RMM instaladas, los atacantes entregan una serie de cargas útiles (payloads). Esto implica la descarga y ejecución de scripts que instalan QakBot, un conocido troyano bancario, y Cobalt Strike, una herramienta de pruebas de intrusión reconvertida para actividades maliciosas. Estas herramientas proporcionan a los atacantes acceso continuo y la capacidad de realizar diversas operaciones maliciosas en el sistema comprometido.
La instalación del ransomware: La etapa final consiste en instalar el ransomware Black Basta. Utilizando herramientas como PsExec, los atacantes propagan el ransomware por la red de la víctima, cifrando los archivos y exigiendo un rescate por su descifrado.
Este ataque en múltiples escalas pone de manifiesto la sofisticación de las ciberamenazas actuales. Subraya la importancia de una estrategia de seguridad integral que vaya más allá de las defensas convencionales y aborde las causas profundas de las vulnerabilidades.
Ante estas sofisticadas amenazas, las organizaciones deben adoptar medidas proactivas para proteger su infraestructura de TI. EV Reach ofrece una solución integral que aborda las vulnerabilidades explotadas por los actores de amenazas como Storm-1811. He aquí cómo EV Reach puede reforzar tus defensas en materia de ciberseguridad:
Para comprender plenamente el valor de EV Reach, es importante entender el contexto más amplio del ransomware y los ataques de ingeniería social. El ransomware es un tipo de malware que cifra los archivos de la víctima y exige el pago de un rescate para restaurar el acceso. Se ha convertido en una de las formas más frecuentes y dañinas de ciberdelincuencia, afectando a organizaciones de todos los tamaños y sectores.
Los ataques de ingeniería social, como los empleados por Storm-1811, están diseñados para manipular a las personas para que divulguen información confidencial o realicen acciones que comprometan la seguridad. Estos ataques explotan la psicología humana, basándose en tácticas como la suplantación de identidad, el engaño y la urgencia para engañar a las víctimas para que actúen en contra de sus intereses.
La combinación de ransomware e ingeniería social crea un poderoso panorama de amenazas. Los atacantes pueden eludir las defensas técnicas centrándose en el elemento humano, obteniendo acceso a los sistemas a través de medios aparentemente legítimos. Esto pone de relieve la importancia de contar con estrategias de ciberseguridad integrales que aborden tanto los factores tecnológicos como los humanos.
Los ataques de ransomware pueden tener consecuencias devastadoras para las organizaciones. Los costes financieros incluyen el pago de los rescates, los gastos de recuperación y la pérdida de ingresos debido al tiempo de inactividad. Sin embargo, el impacto se extiende más allá de las pérdidas financieras:
La interrupción de las operaciones: el ransomware puede paralizar las operaciones empresariales, interrumpiendo los servicios y causando un tiempo de inactividad significativo. Esto puede ser especialmente perjudicial para sectores de infraestructuras críticas como la sanidad, el transporte y los servicios públicos.
La pérdida y alteración de los datos: incluso aunque se pague el rescate, no hay garantía de que los atacantes proporcionen la clave de descifrado o de que los datos sean recuperables. Las organizaciones pueden sufrir pérdida o alteración permanente de datos, afectando a su capacidad para operar y servir a los clientes.
El daño reputacional: Los ataques de ransomware pueden dañar la reputación de una organización, erosionando la confianza de los clientes. La publicidad negativa asociada con una violación de datos o un tiempo de inactividad prolongado puede tener efectos a largo plazo en la lealtad a la marca y las relaciones con los clientes.
Las sanciones reglamentarias: No proteger los datos sensibles puede acarrear a las empresas sanciones normativas y responsabilidades legales. Las organizaciones pueden enfrentarse a multas y sanciones de los organismos reguladores, sobre todo si no cumplen las leyes de protección de datos y privacidad.
Aunque las soluciones tecnológicas como EV Reach son fundamentales para defenderse de las ciberamenazas, la formación y la concienciación de los empleados son igualmente importantes. Las organizaciones deben educar a su personal sobre los peligros de los ataques de ingeniería social y la importancia de las recomendaciones de ciberseguridad. Esto incluye:
Reconocer los intentos de phishing: los empleados deben recibir formación para reconocer los correos electrónicos de phishing y las llamadas telefónicas sospechosas. Esto incluye ser cauteloso con las solicitudes no solicitadas de información sensible y verificar la identidad de la persona que llama o del remitente.
Proteger el acceso a distancia: los empleados deben conocer los riesgos asociados a las herramientas de acceso a distancia y seguir las recomendaciones para proteger las conexiones remotas. Esto incluye utilizar contraseñas fuertes y únicas, habilitar la autenticación multifactor y ser cauteloso a la hora de conceder acceso a distancia.
Informar de actividades sospechosas: las organizaciones deben establecer protocolos claros para informar de actividades sospechosas. Los empleados deben sentirse autorizados a informar de posibles incidentes de seguridad sin temor a represalias. La notificación inmediata puede ayudar a los equipos de TI a responder rápidamente para mitigar las amenazas.
Formación periódica y simulacros: La formación continua y los ejercicios de phishing simulados pueden ayudar a reforzar la concienciación sobre la ciberseguridad. Al poner a prueba con regularidad la capacidad de los empleados para reconocer y responder a las amenazas, las organizaciones pueden identificar áreas de mejora y fortalecer su postura general de seguridad.
Los recientes ataques de Storm-1811 subrayan la importancia de contar con medidas de ciberseguridad sólidas. Aprovechando herramientas legítimas como Quick Assist, los ciberdelincuentes pueden eludir las defensas convencionales y causar estragos en los sistemas informáticos. Sin embargo, con soluciones como EV Reach, las organizaciones pueden adelantarse a estas amenazas mediante una monitorización proactiva, un acceso a distancia seguro y una gestión integral de los terminales. Invertir en este tipo de tecnologías no sólo mitiga los riesgos actuales, sino que también prepara a las organizaciones para futuros retos en un panorama de ciberamenazas en constante evolución.
Al adoptar EV Reach, las organizaciones pueden mejorar su postura de ciberseguridad, asegurándose de que están bien equipadas para prevenir, detectar y responder a las amenazas, protegiendo así sus operaciones y manteniendo la continuidad del negocio. La integración del control de acceso a distancia avanzado, la monitorización en tiempo real, la automatización de procesos y la asistencia informática integral convierten a EV Reach en un valioso activo en la lucha contra la ciberdelincuencia.
En conclusión, la clave de una ciberseguridad eficaz reside en una combinación de soluciones tecnológicas avanzadas y una formación y concienciación continuas de los empleados. Al abordar tanto los elementos técnicos como humanos de la seguridad, las organizaciones pueden construir una defensa sólida contra las sofisticadas tácticas empleadas por los ciberdelincuentes actuales. A medida que el panorama de las amenazas siga evolucionando, las medidas de seguridad proactivas y exhaustivas serán esenciales para proteger los datos confidenciales, mantener la integridad operativa y garantizar el éxito a largo plazo de la organización.
Fuente: The Hacker News, 2024
EasyVista is a global software provider of intelligent solutions for enterprise service management, remote support, and self-healing technologies. Leveraging the power of ITSM, Self-Help, AI, background systems management, and IT process automation, EasyVista makes it easy for companies to embrace a customer-focused, proactive, and predictive approach to their service and support delivery. Today, EasyVista helps over 3,000+ enterprises around the world to accelerate digital transformation, empowering leaders to improve employee productivity, reduce operating costs, and increase employee and customer satisfaction across financial services, healthcare, education, manufacturing, and other industries.
© EasyVista 2024. TODOS LOS DERECHOS RESERVADOS