Blog

Consulta el blog de EasyVista para estar al día de las últimas noticias, tendencias y mejores prácticas en transformación digital. Deja que EasyVista te mantenga al día y a la vanguardia de un sector en constante cambio.

Centro de Recursos

Nos comprometemos a poner a tu disposición recursos que te ayuden en tus metas de software ITSM.

Seminarios Web y Eventos

Manténgase actualizado sobre nuestros últimos seminarios web y eventos de ITSM, ITOM o ESM ahora

Lo último en EV

Manténgase actualizado sobre las últimas noticias y eventos de EasyVista.

EasyVista | 06 junio 2024

Protección contra las ciberamenazas actuales: Cómo puede EV Reach minimizar los riesgos que plantean los ataques de ingeniería social

En un panorama de ciberseguridad en constante evolución, los responsables de las amenazas adaptan continuamente sus métodos para sacar partido de las vulnerabilidades y atacar a víctimas desprevenidas. Un caso reciente es el de un grupo de ciberdelincuentes rastreado como Storm-1811 por el equipo de Microsoft Threat Intelligence. Se ha observado que este grupo con motivaciones económicas abusa de la herramienta Microsoft Quick Assist en ataques de ingeniería social, lo que supone un riesgo significativo para organizaciones de diversos sectores (The Hacker News, 2024).

La amenaza: La instrumentalización de Quick Assist por parte de Storm-1811

Storm-1811, conocido por desplegar el ransomware Black Basta, aprovecha Quick Assist -una aplicación legítima de Microsoft diseñada para facilitar la asistencia técnica a distancia- como vector de sus ataques. Estos ataques comienzan con phishing de voz, en el que los atacantes se hacen pasar por contactos de confianza como el soporte técnico de Microsoft o profesionales de TI internos. A través de esta suplantación, engañan a las víctimas para que instalen herramientas de monitorización y gestión técnica a distancia (RMM), que sirven como canales para instalar paquetes más peligrosos, como QakBot, Cobalt Strike y, en última instancia, el ransomware Black Basta.

Una vez obtenido el acceso inicial a través de Quick Assist, Storm-1811 ejecuta comandos cURL para descargar archivos maliciosos por lotes o archivos ZIP. Estos archivos permiten otras actividades maliciosas, como la enumeración de dominios, el movimiento lateral dentro de la red y el despliegue de ransomware a través de herramientas como PsExec.

Este método de ataque es especialmente dañino porque se aprovecha de la confianza en las herramientas legítimas y de la falta de concienciación de los usuarios. Quick Assist es una aplicación integrada en los dispositivos Windows, a menudo percibida como un medio seguro de recibir asistencia técnica. Sin embargo, esta misma confianza es lo que la convierte en una poderosa herramienta en manos de los ciberdelincuentes. Al convencer a los usuarios para que permitan el acceso a distancia, las amenazas pueden eludir muchas medidas de seguridad, ya que la víctima les abre la puerta.

Para comprender plenamente la gravedad de estos ataques, es esencial profundizar en el funcionamiento detallado de Storm-1811 y en las implicaciones más amplias de sus tácticas.

La anatomía del ataque

La secuencia de ataque de Storm-1811 consta de varias fases, cada una de ellas meticulosamente diseñada para garantizar el éxito del despliegue del ransomware:

  1. Primer contacto y suplantación de identidad: Los atacantes inician el contacto con la víctima mediante phishing de voz. Se hacen pasar por figuras de confianza, como el soporte técnico de Microsoft o profesionales informáticos de la misma organización de la víctima. Esta táctica de ingeniería social es eficaz porque aprovecha la confianza de la víctima y su falta de conocimientos técnicos.

  2. La instalación de herramientas RMM: Tras la suplantación, se guía a la víctima para que instale herramientas de monitorización y gestión técnica a distancia (RMM). Estas herramientas son legítimas y ampliamente utilizadas en el soporte de TI, pero pueden ser manipuladas con fines maliciosos. Los atacantes utilizan estas herramientas para hacerse un hueco en el sistema de la víctima.

  3. La entrega de cargas maliciosas: Con las herramientas RMM instaladas, los atacantes entregan una serie de cargas útiles (payloads). Esto implica la descarga y ejecución de scripts que instalan QakBot, un conocido troyano bancario, y Cobalt Strike, una herramienta de pruebas de intrusión reconvertida para actividades maliciosas. Estas herramientas proporcionan a los atacantes acceso continuo y la capacidad de realizar diversas operaciones maliciosas en el sistema comprometido.

  4. La instalación del ransomware: La etapa final consiste en instalar el ransomware Black Basta. Utilizando herramientas como PsExec, los atacantes propagan el ransomware por la red de la víctima, cifrando los archivos y exigiendo un rescate por su descifrado.

Este ataque en múltiples escalas pone de manifiesto la sofisticación de las ciberamenazas actuales. Subraya la importancia de una estrategia de seguridad integral que vaya más allá de las defensas convencionales y aborde las causas profundas de las vulnerabilidades.

La Solución: una defensa proactive con EV Reach

Ante estas sofisticadas amenazas, las organizaciones deben adoptar medidas proactivas para proteger su infraestructura de TI. EV Reach ofrece una solución integral que aborda las vulnerabilidades explotadas por los actores de amenazas como Storm-1811. He aquí cómo EV Reach puede reforzar tus defensas en materia de ciberseguridad:

  1. Control de acceso a distancia: EV Reach ofrece funciones de control a distancia seguras y conformes con la normativa, que permiten a los equipos de asistencia de TI gestionar equipos de sobremesa, servidores, conmutadores y cortafuegos sin exponer los sistemas a la vista del público. Esto minimiza el riesgo asociado a herramientas de acceso a distancia como Quick Assist.
    El control del acceso a distancia es un componente esencial de la asistencia informática actual. Permite a los técnicos solucionar y resolver problemas rápidamente, independientemente de la ubicación del usuario. Sin embargo, la comodidad del acceso a distancia también introduce importantes riesgos de seguridad. El acceso no autorizado puede provocar filtraciones de datos, comprometer el sistema y otras actividades maliciosas. EV Reach mitiga estos riesgos implantando sólidas medidas de seguridad, como la autenticación multifactor (MFA), el cifrado y el registro de actividad. Estas características garantizan que sólo el personal autorizado pueda acceder a los sistemas sensibles y que todas las acciones sean rastreadas con fines de rendición de cuentas y auditoría.
  2. Monitorización en tiempo real y automatización de procesos: EV Reach permite la supervisión, la elaboración de informes y la automatización de los procesos, lo que garantiza que las amenazas potenciales se detecten y mitiguen antes de que puedan causar daños. Las tareas automatizadas pueden gestionar procesos informáticos rutinarios, reduciendo la posibilidad de errores humanos y mejorando los tiempos de respuesta ante amenazas emergentes.
    La supervisión en tiempo real es esencial para mantener la seguridad e integridad de los sistemas informáticos. Permite a las organizaciones detectar anomalías, como patrones de inicio de sesión inusuales o cambios inesperados en las configuraciones del sistema, que pueden indicar una violación de la seguridad. Las capacidades de supervisión de EV Reach proporcionan a los equipos de TI información procesable, lo que les permite responder rápidamente a las amenazas potenciales. Además, la automatización de procesos agiliza las tareas rutinarias, como las actualizaciones de software y la gestión de parches, garantizando que los sistemas permanezcan seguros sin necesidad de una intervención manual constante.

  3. La gestión segura de los terminales: con EV Reach, las organizaciones pueden desarrollar una gestión de terminales desatendida, lo que permite ofrecer asistencia interna sin interrumpir a los usuarios. Esto incluye motores de consulta en tiempo real y back-ends de bases de datos de conmutación por error para garantizar la prestación continua de servicios.
    La gestión de los terminales es crucial para mantener la seguridad y el rendimiento de la infraestructura informática de una organización. Las funciones de gestión desatendida permiten a los equipos de TI realizar las tareas de mantenimiento y seguridad necesarias sin interrumpir la experiencia del usuario. Esto es especialmente importante en grandes organizaciones con personal descentralizado, donde el tiempo de inactividad puede afectar significativamente a la productividad. Las funciones de gestión de terminales de EV Reach incluyen la implementación de software, la gestión de parches y la monitorización del rendimiento, todo esto permite un entorno de TI seguro y eficiente.

  4. Un mayor cumplimiento y auditoria: EV Reach incluye funciones para realizar auditorías de las acciones de los técnicos y evaluar el cumplimiento, lo que proporciona transparencia y responsabilidad en las operaciones de TI. Esto es crucial para detectar y responder rápidamente a accesos no autorizados o actividades sospechosas.
    El cumplimiento de las normativas y estándares del sector es una prioridad máxima para muchas organizaciones, especialmente las de sectores muy regulados, como el financiero y el sanitario. Las funciones de auditoría de EV Reach ayudan a las organizaciones a cumplir estos requisitos proporcionando registros detallados de todas las actividades de TI. Esto incluye el seguimiento de las acciones de los técnicos, los cambios en el sistema y los eventos de acceso. Estos registros pueden utilizarse para demostrar el cumplimiento durante las auditorías y para investigar posibles incidentes de seguridad. Al mantener un registro de auditoría completo, las organizaciones pueden mejorar su nivel de seguridad y reducir el riesgo de sanciones reglamentarias.

  5. Una asistencia técnica integral: desde el restablecimiento de contraseñas y el desbloqueo de cuentas hasta la instalación de software y la supervisión del rendimiento, EV Reach ofrece una amplia gama de herramientas para prestar un servicio de asistencia eficaz a la infraestructura de TI. Este enfoque global garantiza que se cubran todos los aspectos de la gestión de TI, lo que reduce la probabilidad de que se produzcan brechas en la seguridad.
    Una asistencia informática eficaz es esencial para mantener la productividad y la satisfacción de los usuarios finales. EV Reach proporciona una amplia gama de herramientas de asistencia técnica que permiten a los equipos de TI resolver los problemas más comunes de forma rápida y eficaz. Esto incluye el restablecimiento automático de contraseñas, el desbloqueo de cuentas y la instalación de software. Al automatizar estas tareas rutinarias, EV Reach reduce la carga de trabajo del personal de TI, permitiéndole centrarse en problemas más complejos. Además, las herramientas de monitorización del rendimiento ayudan a identificar posibles problemas antes de que afecten a los usuarios, garantizando una experiencia de TI fluida y sin interrupciones.

  6. Soluciones escalables y asequibles: Los precios escalables y los requisitos mínimos de la infraestructura de EV Reach la convierten en una solución accesible para empresas de todos los tamaños. Su capacidad para integrarse con los sistemas existentes aumenta aún más su valor, proporcionando una seguridad sólida sin grandes gastos adicionales.
    La escalabilidad es un factor clave para las organizaciones que desean invertir en soluciones informáticas. El modelo de precios flexible de EV Reach permite a las organizaciones escalar su uso en función de sus necesidades, garantizando que sólo pagan por las funciones que utilizan. Esto convierte a EV Reach en una opción asequible tanto para pequeñas y medianas empresas (PYME) como para grandes empresas. Los requisitos mínimos de infraestructura permiten a las organizaciones implantar EV Reach de forma rápida y sencilla, sin necesidad de realizar inversiones significativas en hardware. Esta sencilla instalación, combinada con unas sólidas funciones de seguridad, convierte a EV Reach en una opción atractiva para las organizaciones que buscan mejorar sus capacidades de soporte de TI.

El contexto más amplio: Cómo entender los ataques de ramsonware y de ingeniería social

Para comprender plenamente el valor de EV Reach, es importante entender el contexto más amplio del ransomware y los ataques de ingeniería social. El ransomware es un tipo de malware que cifra los archivos de la víctima y exige el pago de un rescate para restaurar el acceso. Se ha convertido en una de las formas más frecuentes y dañinas de ciberdelincuencia, afectando a organizaciones de todos los tamaños y sectores.

Los ataques de ingeniería social, como los empleados por Storm-1811, están diseñados para manipular a las personas para que divulguen información confidencial o realicen acciones que comprometan la seguridad. Estos ataques explotan la psicología humana, basándose en tácticas como la suplantación de identidad, el engaño y la urgencia para engañar a las víctimas para que actúen en contra de sus intereses.

La combinación de ransomware e ingeniería social crea un poderoso panorama de amenazas. Los atacantes pueden eludir las defensas técnicas centrándose en el elemento humano, obteniendo acceso a los sistemas a través de medios aparentemente legítimos. Esto pone de relieve la importancia de contar con estrategias de ciberseguridad integrales que aborden tanto los factores tecnológicos como los humanos.

El impacto de los ataques de ransomware

Los ataques de ransomware pueden tener consecuencias devastadoras para las organizaciones. Los costes financieros incluyen el pago de los rescates, los gastos de recuperación y la pérdida de ingresos debido al tiempo de inactividad. Sin embargo, el impacto se extiende más allá de las pérdidas financieras:

  1. La interrupción de las operaciones: el ransomware puede paralizar las operaciones empresariales, interrumpiendo los servicios y causando un tiempo de inactividad significativo. Esto puede ser especialmente perjudicial para sectores de infraestructuras críticas como la sanidad, el transporte y los servicios públicos.

  2. La pérdida y alteración de los datos: incluso aunque se pague el rescate, no hay garantía de que los atacantes proporcionen la clave de descifrado o de que los datos sean recuperables. Las organizaciones pueden sufrir pérdida o alteración permanente de datos, afectando a su capacidad para operar y servir a los clientes.

  3. El daño reputacional: Los ataques de ransomware pueden dañar la reputación de una organización, erosionando la confianza de los clientes. La publicidad negativa asociada con una violación de datos o un tiempo de inactividad prolongado puede tener efectos a largo plazo en la lealtad a la marca y las relaciones con los clientes.

  4. Las sanciones reglamentarias: No proteger los datos sensibles puede acarrear a las empresas sanciones normativas y responsabilidades legales. Las organizaciones pueden enfrentarse a multas y sanciones de los organismos reguladores, sobre todo si no cumplen las leyes de protección de datos y privacidad.

El papel de la formación y la concienciación de los empleados

Aunque las soluciones tecnológicas como EV Reach son fundamentales para defenderse de las ciberamenazas, la formación y la concienciación de los empleados son igualmente importantes. Las organizaciones deben educar a su personal sobre los peligros de los ataques de ingeniería social y la importancia de las recomendaciones de ciberseguridad. Esto incluye:

  1. Reconocer los intentos de phishing: los empleados deben recibir formación para reconocer los correos electrónicos de phishing y las llamadas telefónicas sospechosas. Esto incluye ser cauteloso con las solicitudes no solicitadas de información sensible y verificar la identidad de la persona que llama o del remitente.

  2. Proteger el acceso a distancia: los empleados deben conocer los riesgos asociados a las herramientas de acceso a distancia y seguir las recomendaciones para proteger las conexiones remotas. Esto incluye utilizar contraseñas fuertes y únicas, habilitar la autenticación multifactor y ser cauteloso a la hora de conceder acceso a distancia.

  3. Informar de actividades sospechosas: las organizaciones deben establecer protocolos claros para informar de actividades sospechosas. Los empleados deben sentirse autorizados a informar de posibles incidentes de seguridad sin temor a represalias. La notificación inmediata puede ayudar a los equipos de TI a responder rápidamente para mitigar las amenazas.

  4. Formación periódica y simulacros: La formación continua y los ejercicios de phishing simulados pueden ayudar a reforzar la concienciación sobre la ciberseguridad. Al poner a prueba con regularidad la capacidad de los empleados para reconocer y responder a las amenazas, las organizaciones pueden identificar áreas de mejora y fortalecer su postura general de seguridad.

Conclusión

Los recientes ataques de Storm-1811 subrayan la importancia de contar con medidas de ciberseguridad sólidas. Aprovechando herramientas legítimas como Quick Assist, los ciberdelincuentes pueden eludir las defensas convencionales y causar estragos en los sistemas informáticos. Sin embargo, con soluciones como EV Reach, las organizaciones pueden adelantarse a estas amenazas mediante una monitorización proactiva, un acceso a distancia seguro y una gestión integral de los terminales. Invertir en este tipo de tecnologías no sólo mitiga los riesgos actuales, sino que también prepara a las organizaciones para futuros retos en un panorama de ciberamenazas en constante evolución.

Al adoptar EV Reach, las organizaciones pueden mejorar su postura de ciberseguridad, asegurándose de que están bien equipadas para prevenir, detectar y responder a las amenazas, protegiendo así sus operaciones y manteniendo la continuidad del negocio. La integración del control de acceso a distancia avanzado, la monitorización en tiempo real, la automatización de procesos y la asistencia informática integral convierten a EV Reach en un valioso activo en la lucha contra la ciberdelincuencia.

En conclusión, la clave de una ciberseguridad eficaz reside en una combinación de soluciones tecnológicas avanzadas y una formación y concienciación continuas de los empleados. Al abordar tanto los elementos técnicos como humanos de la seguridad, las organizaciones pueden construir una defensa sólida contra las sofisticadas tácticas empleadas por los ciberdelincuentes actuales. A medida que el panorama de las amenazas siga evolucionando, las medidas de seguridad proactivas y exhaustivas serán esenciales para proteger los datos confidenciales, mantener la integridad operativa y garantizar el éxito a largo plazo de la organización.

Fuente: The Hacker News, 2024

EasyVista

EasyVista is a global software provider of intelligent solutions for enterprise service management, remote support, and self-healing technologies. Leveraging the power of ITSM, Self-Help, AI, background systems management, and IT process automation, EasyVista makes it easy for companies to embrace a customer-focused, proactive, and predictive approach to their service and support delivery. Today, EasyVista helps over 3,000+ enterprises around the world to accelerate digital transformation, empowering leaders to improve employee productivity, reduce operating costs, and increase employee and customer satisfaction across financial services, healthcare, education, manufacturing, and other industries.