lunes, 10 de julio de 2017

Hewlett Packard Enterprise presenta poderoso servidor estándar

hpe.jpg

Hewlett Packard Enterprise (HPE) presentó su portafolio de nueva generación ProLiant, anunciados como los servidores estándar más seguros de la industria al presentar su portafolio de nueva generación ProLiant.
HPE es el primer fabricante en incorporar una sólida protección en servidores estándar contra los ataques de firmware, que son una de las mayores amenazas que enfrentan las empresas y los gobiernos de hoy. A partir de esta nueva base segura, HPE también anunció avances en infraestructura definida por software que ofrecen nuevos niveles de agilidad y flexibilidad económica.
Los ataques cibernéticos aumentan significativamente a medida que los hackers se vuelven más sofisticados. Una investigación de la Asociación de Auditoría y Control de Sistemas de Información (ISACA) revela que más del 50 por ciento de los profesionales de la seguridad informó de al menos un incidente de firmware infectado con malware en el 2016.
HPE es la primera compañía en responder desarrollando "Silicon root of trust", una huella digital inmutable entre el HPE silicon y el firmware HPE Integrated Lights Out (iLO), proporcionando la máxima protección contra posibles ataques, así como la capacidad de recuperar el firmware del servidor esencial automáticamente.
Esta nueva solución de HPE diseña la seguridad directamente en el chip iLO, creando una huella digital inmutable y evitando que los servidores se inicien a menos que el firmware coincida con la huella digital. Debido a que HPE tiene control total de su propio chip personalizado y el servidor de firmware esencial, es el único proveedor en la industria que puede ofrecer esta ventaja.
"Una violación de seguridad en el firmware es uno de los más difíciles de detectar, pero puede ser uno de los más perjudiciales. Desafortunadamente, el firmware es muchas veces analizado superficialmente en lo que respecta a seguridad en el Datacenter, y los criminales cibernéticos están dirigiéndose hasta este nuevo punto de ataque", dijo Patrick Moorhead, presidente y analista principal de Moor Insights & Strategy.
"Mientras que muchos servidores tienen algún nivel de seguridad de hardware ya incorporado, HPE está creando una seguridad de firmware ligada con su silicon personalizado, para ayudar a los clientes a protegerse contra estos ataques maliciosos".
Para conocer de cerca las últimas innovaciones mencionadas y vivir la experiencia, el próximo 15 de junio se realizará el Innovation Day 2017, uno de los eventos tecnológicos más importantes del país donde se presentarán las últimas tendencias del sector, con el objetivo de ayudar a las empresas a caminar hacia la transformación digital.

Si le preocupa la seguridad, mire hacia la nube



Hay una buena razón por lo que las PyMEs están acelerando la adopción de la nube para sus sistemas de seguridad. La ventaja vale para su empresa también.

La seguridad de nube esta logrando lo que otros de los servicios de cloud computing no habían logrado: seducir a las PyMEs.
¿Cómo? La necesidad de reforzar la seguridad de nuestros sistemas podrá ser cada vez más evidente pero no por ello es más barata.
Según el más reciente estudio de Gartner al respecto, tanto las tecnologías vinculadas a la gestión de incidentes (SIEM) como las que administran los accesos a la identidad (IAM) son vistos por las PyMEs como una oportunidad con mejor relación precio/valor que el desarrollo de sus propias herramientas o la adquisición de software a través de licencia.
“La seguridad del correo electrónico, la seguridad y la identidad web y el IAM siguen siendo las prioridades de las tres primeras prioridades de las organizaciones”, dijo el director de investigación de Gartner, Ruggero Contu.

Mucho más por menos

Según los análisis de Gartner, las pequeñas y medianas empresas están descubriendo lo que ya han visto la mayoría de las empresas de mayor tamaño: los despliegues en la nube ofrecen oportunidades para reducir costos, especialmente para alimentar equipos de seguridad basados ​​en hardware y para ganar espacio en el centro de datos. 
“El medio de la nube es un ajuste natural para las necesidades de las PYMES. Su facilidad de despliegue y administración, los precios de pago por consumo y las características simplificadas hacen que este modelo de entrega sea atractivo para las organizaciones que carecen de recursos de personal”, dijo Contu.
Esto pasa mientras, según Gartner, se extiende el crecimiento en el segmento enterprise: las compañías están constatando las ventajas del enfoque en este tipo de tecnología y están invirtiendo en consecuencia.
Los modelos de entrega basados ​​en la nube seguirán siendo una opción popular para las prácticas de seguridad, con el despliegue más allá de las herramientas de control como el sandboxing basado en la nube y los WAFs”, agregó el director de investigación de la firma.

Aplicaciones nativas

Las cifras de Gartner reflejan que los modelos de adopción avanzan rápidamente: una encuesta global conducida por la firma a principios de 2016 mostró que la nube pública será el principal modelo de entrega para más del 60% de las aplicaciones de seguridad a finales de 2017.
“La capacidad de aprovechar los controles de seguridad que se entregan, actualizan y administran a través de la nube – y por lo tanto requieren menos tiempo y costosas implementaciones y actividades de mantenimiento – es de gran valor para las empresas”, dijo Contu.
Para el ejecutivo, la adopción de las PyMEs se ha constituido en un elemento fundamental en el crecimiento del sector.
Por supuesto, la nueva dinámica competitiva y las prácticas alternativas de precios amenazan a los modelos comerciales tradicionales.

Buenas prácticas para gestionar las TI de pymes en crecimiento

HPE Proliant ML350 g9

El objetivo para las pequeñas y medianas empresas es mejorar el rendimiento empresarial con tecnologías que faciliten la ventaja competitiva y la flexibilidad de TI. El servidor HPE ProLiant ML350 está diseñado pensando en ellas, proporcionando una capacidad de expansión simplificada, facilidad de manejo y fiabilidad probada, todo a un precio asequible.


La capacidad de operar rápida y eficientemente es un desafío constante para las organizaciones de hoy en día. La racionalización de las operaciones requiere maneras nuevas y efectivas de automatizar los procesos diarios y acelerar las aplicaciones y cargas de trabajo complejas. Las empresas de diversos tamaños e industrias se esfuerzan por implementar las mejores prácticas para mejorar la productividad de los empleados, la administración de TI y, en última instancia, su rentabilidad.

El objetivo para las pequeñas y medianas empresas (es mejorar el rendimiento empresarial con tecnologías que faciliten la ventaja competitiva y la flexibilidad de TI. La adopción de soluciones de TI para pequeñas empresas que ofrecen una infraestructura robusta con una administración sencilla es una práctica recomendada para las pymes que se enfrentan a presupuestos estrictos y recursos de TI limitados. Para impulsar la productividad y la innovación futura, otra buena práctica para las pymes es seleccionar una plataforma de tamaño adecuado que ofrezca mayor capacidad de computación a un bajo coste total de propiedad (TCO).
El servidor HPE ProLiant ML350 Gen9 con procesadores Intel® Xeon® aprovecha una poderosa combinación de capacidades, desde el manejo eficaz de cargas de trabajo centralizadas hasta la convergencia de la gestión de TI para mejorar la conectividad de red, la computación, el almacenamiento, el backup y la replicación para uso remoto e in-situ. Esta plataforma optimizada está diseñada para oficinas pequeñas y medianas y sucursales, lo que permite a los usuarios remotos una capacidad de ampliación simplificada, facilidad de manejo y fiabilidad probada, todo a un precio asequible.
Las pymes están utilizando el ML350 con confianza, respaldadas por servicios de soporte expertos que permiten una instalación más rápida y fiable y una entrega de TI sin problemas. Por ejemplo, servicios tales como HPE Pointnext aceleran la entrega de nuevos productos y servicios y optimizan las operaciones de negocio principales, lo que permite a las pymes escalar instantáneamente para manejar las necesidades de crecimiento de múltiples sitios sin el proceso habitual de adquisición. Además, para una compra rápida y fácil, pueden aprovechar las promociones Just Right IT.
Descubre más opciones para tu empresa
La digitalización de las empresas es un proceso imparable e inevitable en muchos casos si las empresas no quieren perder oportunidades en el mercado. En este documento encontrarás 15 ideas para la transformación digital de tu negocio que te permitirán alcanzar nuevos logros y estrategias.
Entre las tecnologías con las que construir la plataforma digital de tu renovada compañía se encuentran el almacenamiento y las TI híbridas. En este documento podrás leer la experiencia que han tenido los usuarios con soluciones de almacenamiento flash, y en este otro, los beneficios de tener unas TI híbridas.

Nuevo brote de ransomware New Petya / NotPetya / ExPetr



Pocas horas han sido suficientes para que varias grandes compañías de diferentes países reportaran la infección, y es probable que la magnitud de la epidemia se expanda aún más.
Aún no está claro qué es lo que debemos esperar de este nuevo ransomware. Algunos creen que puede ser una variación de Petya (sea Pteya.A, Petya.D, o PetrWrap), o que podría ser WannaCry (que no lo es). Los expertos de Kaspersky Lab han concluido que este nuevo malware es significativamente diferente de todas las versiones anteriores de Petya, y es por ello que lo encuadramos dentro de una familia de malware separada. Lo hemos denominado ExPetr (o NotPetya – de forma no oficial).
Parece ser un ataque complejo que involucra diversos vectores de ataque. Lo que sí podemos confirmar es que un exploit modificado de EternalBlue está siendo utilizado para su propagación, por lo menos dentro de redes corporativas. Más información técnica sobre el ataque.

De momento, debes saber que los productos de Kaspersky Lab detectan esta amenaza como:
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (detectado por Kaspersky Security Network)
  • PDM:Trojan.Win32.Generic (detectado por la funcionalidad System Watcher)
  • PDM:Exploit.Win32.Generic (detectado por la funcionalidad System Watcher)

Recomendaciones para nuestros clientes corporativos

  1. Asegúrate de que Kaspersky Security Network y los componentes de System Watcher se encuentran activados.
  2. Actualiza ahora de forma manual las bases de datos del antivirus
  3. Instala todas las actualizaciones de seguridad para Windows. La que soluciona los bugs explotados por EternalBlue es especialmente importante. Aquí te explicamos cómo hacerlo.
  4. Como una medida adicional de protección puedes usar el Control de Actividad de Aplicaciones, que es un componente de Kaspersky Endpoint Security, para denegar el acceso(y así, la posibilidad de interacción o ejecución) a todos los grupos de aplicaciones al archivo con el nombre perfc.dat y prevenir la ejecución de la utilidad PSExec (que es una parte de Sysinternals Suite)
  5. Alternativamente, usa el Control de Inicio de Aplicaciones, que es un componente de Kaspersky Endpoint Security, para bloquear la ejecución de la utilidad PSExec. Pero, por favor, utiliza el Control de Actividad de Aplicaciones para bloquear perfc.dat.
  6. Configura y activa el modo de modo de Denegación por defecto en el Control de Inicio de Aplicaciones, para asegurar y reforzar una defensa proactiva contra éste y otros ataques.
  7. También puedes utilizar la función de AppLocker para desactivar la ejecución del mencionado archivo perfc.dat y la utilidad PSExec.

Consejos para usuarios domésticos

Parece que los usuarios particulares han sido menos afectados por esta amenaza, ya que los cibercriminales que están detrás se han dirigido principalmente a grandes empresas. Sin embargo, una protección efectiva nunca sobra. Esto es lo que puedes hacer:
  1. Haz una copia de seguridad de tus datos. Siempre es una buena idea hacerlo y más en tiempos turbulentos.
  2. Si estás usando una de nuestras soluciones de seguridad, asegúrate de que Kaspersky Security Network y System Watcher están activados.
  3. Actualiza manualmente la base de datos del antivirus. Hazlo ahora, no te llevará mucho tiempo.
  4. Instala todas las actualizaciones de seguridad de Windows. La que arregla la vulnerabilidad explotada por EternalBlue es especialmente importante. Aquí tienes como hacerlo.

No pagues el rescate

De acuerdo con la actualización de Motherboard, el proveedor alemán de correo electrónico, Posteo, ha cerrado la dirección de correo electrónico que se suponía que iba a ser utilizada por las víctimas para contactar a los extorsionadores, confirmar las transacciones de bitcoins y recibir las claves de descifrado. Lo que esto significa es que las víctimas que pretendían pagar a los criminales ya no podrán recuperar sus archivos. En Kaspersky Lab, no abogamos por pagar el rescate, y en este caso parece ser inútil de todos modos.
Actualización: Mucho más que eso, el análisis de nuestros expertos indica que nunca hubo mucha esperanza para las víctimas de recuperar sus archivos.
Los investigadores de Kaspersky Lab han analizado el alto nivel de código de la rutina de cifrado y han determinado que, tras el cifrado del disco, los responsables de esta amenaza no podrían descifrar los discos de las víctimas.  Para descifrarlo, el autor de esta amenaza necesita el ID de la instalación. En versiones anteriores de ransomware supuestamente parecidos a Petya/Mischa/GoldenEye, el ID de la instalación contenía la información necesaria para recuperar las claves.
ExPetr (también conocido como NotPetya) no tiene ese ID de la instalación, lo que significa que el autor de las amenazas no podría extraer la información necesaria para el descifrado. En pocas palabras, las víctimas nunca podrían recuperar sus datos.
No pagues el rescate. No servirá.

Nuevo ransomware sigue las explotaciones de WannaCry

Petya ransomworm

Nueva variante de ransomware conocida como Petya está afectando una amplia gama de industrias y organizaciones, incluyendo infraestructura crítica como energía, banca y sistemas de transporte.

“El nuevo ataque, conocido como Petya, es algo a lo que nos referimos como un ransomworm. Esta variante, en lugar de dirigirse a una sola organización, utiliza un enfoque amplio que se dirige a cualquier dispositivo que su gusano pueda encontrar y sea capaz de explotar”, comenta Lakhani.
Según el experto, hay razones para suponer que este ataque se inició con la distribución de un documento de Excel que explota una conocida vulnerabilidad de Microsoft Office. Una vez que un dispositivo se infecta a través de este vector, Petya comienza a aprovechar la misma vulnerabilidad utilizada por WannaCry para propagarse a otros dispositivos. El comportamiento semejante a un gusano que exhibe este malware se debe a su detección activa para un servidor SMB. Parece que se está extendiendo a través de EternalBlue y WMIC.
Una vez que un dispositivo vulnerable ha sido intervenido, Petya parece afectar el registro de arranque principal (MBR, por sus siglas en inglés) durante el ciclo de infección. Luego proporciona al usuario una nota de rescate que dice: “Sus archivos ya no son accesibles porque han sido encriptados”, a la vez que exige un pago aproximado de USD300 de rescate en la moneda digital Bitcoin. Después especifica que apagar la computadora dará lugar a la pérdida completa del sistema.
“Esta es una táctica distinta a la que se ve en otras versiones de ransomware, como la de un reloj de cuenta atrás o el borrador gradual de archivos de datos. Con la mayoría de los ataques de ransomware, la única pérdida potencial son los datos. Debido a que Petya altera el registro de arranque principal, el riesgo es la pérdida de todo el sistema. Además, hace el reinicio del sistema en un ciclo de una hora, agregando un elemento adicional de denegación de servicio al ataque”, explica el representante de Fortinet.
Además de las vulnerabilidades de Microsoft Office, Petya usa el mismo vector de ataque que WannaCry, explotando las mismas vulnerabilidades de Microsoft que fueron descubiertas por los Shadow Brokers a principios de este año. Sin embargo, debido a que se utilizaron vectores de ataque adicionales en este exploit, el parche por si solo habría sido inadecuado para detenerlo completamente, lo que significa que el parche debe combinarse con buenas herramientas y prácticas de seguridad. “Los clientes de Fortinet, por ejemplo, estaban protegidos de todos los vectores de ataque, ya que fueron detectados y bloqueados por nuestras soluciones ATP, IPS y NGFW. Además, nuestro equipo AV emitió una nueva firma antivirus a las pocas horas del descubrimiento para mejorar la primera línea de defensa”, indica Lakhani.
Llama la atención que a pesar de la divulgación de las vulnerabilidades y parches de Microsoft, y la naturaleza mundial del ataque de WannaCry, aparentemente hay miles de organizaciones, incluyendo aquellas que manejan infraestructura crítica, que han fallado en parchear sus dispositivos. Esto también puede ser simplemente una prueba para entregar futuros ataques dirigidos a vulnerabilidades recientemente reveladas.
Lakhani pone de relieve que WannaCry no tuvo mucho éxito desde una perspectiva financiera ya que generó pocos ingresos para sus desarrolladores. Esto se debió, en parte, porque los investigadores fueron capaces de encontrar un interruptor que desactivó el ataque. La carga útil de Petya, sin embargo, es mucho más sofisticada aunque queda por ver si tendrá más éxito económico que su predecesor.
El experto de Fortinet indica que hasta el momento, hay dos cosas claras: 1) demasiadas organizaciones practican una mala higiene en la seguridad. Cuando un exploit apunta a una vulnerabilidad conocida para la cual un parche ha estado disponible durante meses o años, las víctimas sólo pueden culparse a ellas mismas. Los elementos claves de este ataque apuntaban a las vulnerabilidades para las cuales los parches estaban disponibles durante algún tiempo. Y 2) estas mismas organizaciones tampoco disponen de herramientas adecuadas para detectar este tipo de explotaciones.

Las grandes empresas reciben 50% de correos maliciosos



Las empresas multinacionales reciben millones de correos electrónicos al día, pero en el último año se ha observado una mayor incidencia de email basura o malware, al grado que ya representan alrededor del 50% del total, advirtió Alejandro Canela, CIO de Siemens México y Centroamérica.
“México es el segundo país con mayor cantidad de ataques cibernéticos en América Latina, lo que representa un punto de inflexión sobre la necesidad de que las empresas cuenten con sistemas de protección de red robustas, y mayores inversiones en ciberseguridad”, informó.
El encargado de la seguridad cibernética de Siemens precisó que, ante los últimos ciberataques a nivel mundial, las medidas de seguridad se han vuelto una prioridad para todo tipo de empresas.
Sin embargo, la inversión en infraestructura y sistemas protección resultan inútiles si no se tiene una cultura de seguridad en la compañía. “Es importante invertir también en entrenamiento y comunicación para que todos los colaboradores integren en su día a día una cultura de seguridad”.
Alejandro Canela mencionó que es necesario que los colaboradores de una empresa tomen conciencia antes de abrir un correo sospechoso, insertar una memoria externa, descargar un archivo, visitar una página o incluso intercambiar información informalmente con personas.
Por su parte, Nicolás Rodríguez Guevara, Information Security Officer para México y Centroamérica, explicó que es importante hacer énfasis en entrenar al personal sobre las posibilidades de un robo de identidad o de información financiera a través de su correo electrónico.

El 60% de limeños consideran que teletrabajo reducirá el problema del tráfico

Medida impactaría en reducir el tiempo de traslado de las personashacia oficinas.

Teletrabajo es una propuesta atractiva para los jóvenes

El tráfico urbano es uno de los mayores problemas que hoy más de 9 millones de limeños atraviesan. Frente a esta realidad diversos especialistas plantearon algunas soluciones que ya fueron implementadas en otros países como: “Pico y Placa; “Hoy No Circula”; construcción de peajes y prohibición de vehículospesados por horas, entre otros. Propuestas que apuntarían a reducir la circulación de vehículos y aligerar el tránsito. 
Según una encuesta realizada por Marketwin a 821  residentes en Lima Metropolitana y Callao, solo el 40% aceptarían medidas como la de “Pico y placa”, “Hoy no circula” y pagar peajes correspondientes; mientras que el 27% considera que estas iniciativas no funcionarían para reducir el tráfico.
Asimismo, el 70% de los encuestados están dispuestos aceptar otras medidas como el uso del carril preferencial, beneficios fiscales por vivir cerca del trabajo y el incremento del teletrabajo. Estas soluciones sí son respaldadas por el 60% de limeños, pues consideran que estas propuestas sí funcionarían en nuestra ciudad.
De acuerdo a Willard Manrique, especialista en laindustria automotriz y movilidad urbana, la población limeña si está dispuesta a aportar en la mejora del tráfico de Lima; sin embargo, las medidas que más les interesan son las que reducen su tiempo de transporte del hogar hacia su centro de trabajo por ello mudarse cerca de sus oficinas viene siendo la primera opción de los trabajadores.
Asimismo, Manrique señala que el teletrabajo es unapropuesta atractiva para los jóvenes y  empresas que desean reducir  gastos, además agrega que por la falta de cultura vial que existe en nuestro país, las medidas que impliquen invertir más dinero, tiempo o comodidad (como pagar peajes o dejar sus vehículos), serían las más difíciles de  adaptar. 
Cabe mencionar que según el estudio, la población considera que la medida de restringir la circulación devehículos pesados en horas pico, sería la principal solución  para reducir el tráfico en zonas estratégicas.

domingo, 9 de julio de 2017

La importancia de invertir en prevención digital

De acuerdo con Siemens, México es el segundo país con mayor cantidad de ataques cibernéticos en América Latina.



El Instituto Nacional de Ciberseguridad (INCIBE) en España alertó hace algunos días a las empresas sobre una campaña de envío de correos fraudulentos. entre las distintas amenazas, los ciberdelincuentes indicaban que lanzarían un ataque de denegación de servicio distribuido contra la empresa, cifrarían toda la información a través de ransomware, secuestrarían la página web y destruirían su reputación online. para evitar el ataque, pedían un ingreso en bitcoins.
Pero esto no es ajeno a México. Apenas la semana pasada se discutía el tema de las intrusiones maliciosas a periodistas y ciudadanos comunes a partir del caso que el New York Times sacó a la luz hablando del software Pegasus, pero ¿qué sucede cuando se trata de empresas?, ¿nuestro país se encuentra en amenaza?
“México es el segundo país con mayor cantidad de ataques cibernéticos en América Latina, lo que representa un punto de inflexión sobre la necesidad de que las empresas cuenten con sistemas de protección de red robustas y mayores inversiones en ciberseguridad”, aseguró Alejandro Canela, encargado de la seguridad cibernética de Siemens.
Explicó que las empresas multinacionales reciben millones de correos electrónicos al día, pero en el último año se ha observado una mayor incidencia de e-mail basura o malware, al grado que ya representan alrededor de 50 por ciento del total.
El también CIO de Siemens 
México y Centroamérica precisó que, ante los últimos ciberataques a nivel mundial, las medidas de seguridad se han vuelto una prioridad para todo tipo de empresas. “Más en países donde la ciberseguridad y la cultura de la protección aún son un tema pendiente como en nuestro caso”, explicaba Rafael Pazarán, especialista en Seguridad Cibernética, al hablar del caso 
Pegasus la semana pasada.

¿Qué acciones toma una empresa como Siemens 
en nuestro país?

Canela dijo que esta empresa cuenta con centros de defensa dedicados al monitoreo y reacción ante incidentes, procesos para la administración de vulnerabilidades, actualización de software y aislamiento de la información crítica de la compañía.
Sin embargo, aseguró que la inversión en infraestructura y sistemas de protección resulta inútil, si no se tiene una cultura de seguridad en la compañía. “Es importante invertir también en entrenamiento y comunicación para que todos los colaboradores integren en su día a día una cultura de seguridad”.
Agregó que es necesario que los colaboradores de una empresa tomen conciencia antes de abrir un correo sospechoso, insertar una memoria externa, descargar un archivo, visitar una página o incluso intercambiar información informal con personas.
Por su parte, Nicolás Rodríguez 
Guevara, Information Security Officer para México y Centroamérica, explicó que es importante hacer énfasis en entrenar al personal sobre las posibilidades de un robo de identidad o de información financiera a través de su correo electrónico.
Señaló que también es importante solicitar que los proveedores o socios de negocio tengan sistemas de seguridad robustos 
porque forman parte de la cadena de valor de la compañía. “La seguridad hoy en día no es un lujo, debe estar inserta en el capital humano, en su tecnología y forma parte de sus procesos”, concluyó Canela.

Todo lo que quieres saber sobre Petya, pero no te atreves a preguntar

¿Recuperaré mis datos si pago el rescate? ¿Cómo se propaga PetyaWrap a través de una red? ¿Por qué el nombre PetyaWrap?

 Todo lo que quieres saber sobre Petya, pero no te atreves a preguntar

SophosLabs, la unidad de análisis de datos y amenazas de la firma especializada en ciberseguridad Sophos, reportó una nueva cepa de ransomware el 27 de junio. Este malware ha sido distinta y confusamente, llamado como Petya, GoldenEye, WannaCry2, NotPetya, PetrWrap y PetyaWrap. Sophos identifica el archivo principal de este malware por el nombre Troj/Ransom-EOB, pero en la siguiente información se utilizará el nombre PetyaWrap para mayor facilidad.
De acuerdo a Por Paul Ducklin, redactor en Naked Security de Sophos, “cada vez que rompe una nueva historia de malware, surgen muchas preguntas  que a veces son difíciles de preguntar:
¿Qué pasa si la pregunta parece tan obvia que te sientes avergonzado de no saber la respuesta?
¿Qué pasa si algo realmente te molesta pero la pregunta se siente demasiado trivial?
¿Qué pasa si hay detalles interesantes, incluso importantes, que ni siquiera se te ocurrió preguntar?”
Así es que Ducklin preparó esta guía para entender este nuevo ataque de ransomware:
1. ¿Por qué el nombre PetyaWrap?
El corazón de este nuevo ransomware es casi idéntico a una cepa ransomware existente desde el 2016 conocido como Petya. A diferencia de la mayoría de ransomware, que revuelve archivos de datos, pero deja un ordenador capaz de arrancar en Windows y ejecutar sus aplicaciones habituales, Petya revuelve el disco en el nivel del sector, de modo que no se puede iniciar normalmente en absoluto.
Pero la variante PetyaWrap hace mucho más que el original Petya ransomware.
PetyaWrap incluye un número de otros conceptos y componentes saqueados de otras cepas de malware, incluyendo GoldenEye y WannaCry, envuelto en una nueva variante de ransomware que hace mucho más que la cepa original Petya. Por eso Sophos lo llama PetyaWrap en este artículo, para aclarar.
2. ¿Qué técnicas de malware combina PetyaWrap?
Al igual que WannaCry, PetyaWrap es un gusano informático, lo que significa que puede propagarse por sí mismo. PetyaWrap puede copiarse alrededor de una red y luego lanzar automáticamente esas nuevas copias sin esperar a que los usuarios lean los correos electrónicos, abran archivos adjuntos o descarguen ficheros a través de enlaces web.
Al igual que el ransomware GoldenEye, PetyaWrap encripta los archivos de datos de manera que sólo los atacantes conocen la clave de desencriptación, por lo que no se puede descifrar los archivos sin su ayuda.
Como si eso no fuera suficiente, después de difundir y revolver los datos, PetyaWrap hace lo mismo que el malware original Petya, que revuelve su disco hacia abajo en el nivel del sector, por lo que no  se puede acceder a la unidad C: en absoluto, incluso si se conecta el disco en otro equipo.
3. ¿Cómo se propaga PetyaWrap a través de una red?
Primero, como WannaCry, trata de explotar un par de agujeros críticos de seguridad de Windows que fueron robados de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y filtrados por un equipo de hackers llamado Shadow Brokers. (La principal vulnerabilidad utilizada es comúnmente conocida por su nombre NSA original: ETERNALBLUE.)
Si se tienen los parches contra WannaCry – Microsoft publicó parches que impidieron el ataque antes de que WannaCry saliera – entonces se está protegido contra esta parte de PetyaWrap.
En segundo lugar, trata de propagarse utilizando una herramienta popular de ejecución remota de Windows llamada PsExec – PetyaWrap tiene una copia del software PsExec incrustado en su interior, por lo que no es necesario descargarlo en primer lugar.
PsExec es parte de la propia suite Sysinternals de Microsoft, comúnmente aprovechada por los ciberdelincuentes como una forma conveniente de moverse dentro de una red después de haber entrado desde el exterior.
Hay que tener en cuenta que el truco PsExec no funcionará si el equipo infectado no tiene suficiente privilegio de cuenta para ejecutar comandos en el destino que está atacando, es una buena razón para no utilizar las cuentas de administrador todo el tiempo, no importa lo conveniente que podría ser para el personal de TI.
En tercer lugar, PetyaWrap husmea en la memoria buscando contraseñas que aumenten sus privilegios de acceso y le den acceso administrativo a otros equipos de la red.
Este espionaje de contraseña se realiza utilizando una copia modificada de una herramienta de captura de contraseñas llamada LSADUMP de Mimikatz Toolkit. Como con PsExec, esta herramienta de hacking se incrusta en el programa PetyaWrap, por lo que no es necesario descargarla primero.
4. ¿El parche contra WannaCry es suficiente para estar seguro?
No. Como se explica anteriormente, PetyaWrap tiene tres trucos de propagación, de los cuales, la técnica de WannaCry es la primera que prueba. Si el agujero de WannaCry está cerrado, PetyaWrap intenta PsExec; si eso no funciona, intenta LSADUMP y la interfaz de administración de Windows para “administrar” tu red.
Los parches para WannaCry son necesarios pero no suficientes.
5. ¿Pueden los productos de Sophos bloquear los componentes utilizados por PetyaWrap para difundir?
Sí. El principal programa PetyaWrap, que contiene el código “worming” de estilo WannaCry, se bloquea como malware: Troj/Ransom-EOB.
El programa de PsExec para el segundo truco se bloquea como uso potencialmente indeseado (PUA): PsExec del tipo Hacktool. La herramienta de husmeo de LSADUMP para el tercer truco se bloquea como malware: Troj/Mimikatz-a.
6.  ¿Pueden los productos de Sophos bloquear los componentes ransomware si intentan codificar los archivos y el disco?
Sí. Sophos Intercept X y Sophos Home Premium beta incluyen herramientas proactivas de bloqueo de malware que detectan, bloquean y reparan la actividad de ransomware. La parte que recorre archivos de PetyaWrap es detectada y bloqueada por cryptoguard. La sección que revuelve PetyaWrap es detectada y bloqueada por WipeGuard.
7. ¿Recuperaré mis datos si pago el rescate?
Es dudoso. De hecho, la dirección de correo electrónico por la que se supone se puede ponerse en contacto con los delincuentes está suspendida, por lo que es poco probable que se pueda hacer un trato con ellos.
8. ¿Puede PetyaWrap difundirse a través de internet, como WannaCry?
No y sí. WannaCry tenía dos funciones de propagación que corrían en paralelo: uno recorrió su LAN tratando de difundir localmente; el otro salió al azar buscando nuevas víctimas en internet.
PetyaWrap no intenta explícitamente encontrar nuevas víctimas en internet, pero se adhiere al LAN, tal vez con la esperanza de llamar menos la atención. Desafortunadamente, las LANs (abreviaturas de redes de área local) a menudo no son realmente locales, a menudo incluyen oficinas periféricas y trabajadores remotos, además de contratistas.
Por supuesto, algunos de esos ordenadores remotos pueden ser parte de más de una LAN, lo que significa que pueden actuar como un “puente” entre dos redes, incluso si pertenecen a organizaciones completamente diferentes.
En otras palabras, con todo y que PetyaWrap no está programado para difundirse a propósito a través de internet, tampoco está programado para evitar saltar sobre la red de otra persona si hay una interconexión.
Es importante destacar que PetyaWrap utiliza las herramientas de red integradas en Windows para sus señalizaciones sobre dónde probar a continuación, así que si se puede navegar a los servidores de una empresa asociada desde un ordenador, o hacer clic a través de sus ordenadores domésticos desde el trabajo, entonces PetyaWrap puede hacer lo mismo.
9. ¿Cómo se inició el brote de PetyaWrap?
Aún no se sabe con seguridad. Muy temprano, el día del ataque muchos señalaron a una compañía ucraniana de software que produce programas de la contabilidad de impuesto, sugiriendo que un hacker de los servidores de la actualización de la compañía pudo haber dado a los ladrones una ventana de oportunidad para lanzar una onda inicial de infecciones.
Microsoft ahora afirma tener pruebas de que una versión hackeada del programa de AutoUpdate de la compañía podría haber estado conectada a un brote PetyaWrap.
10. ¿Ha aparecido PetyaWrap en correos electrónico de phishing?
En Sophos no se ha visto ninguna evidencia de los correos electrónicos de phishing que propagan este ransomware. Pero no hay que bajar la gurdia. Los correos electrónicos de phishing son uno de los conductos más comunes para el malware, especialmente ransomware, para hacer su primera aparición dentro de una organización.
¿Qué debo hacer ahora?
El ransomware como PetyaWrap puede hacer mucho daño, incluso si se limita a una cuenta de usuario regular, porque la mayoría de los usuarios tienen el derecho de leer, escribir y modificar sus propios archivos a voluntad. Pero cualquier malware, especialmente un gusano de red como PetyaWrap, es mucho más peligroso si puede obtener privilegios de nivel de administrador en su lugar.
Por lo tanto, incluso si no se sufrió el brote de PetyaWrap, es un buen pretexto para mirar a quién en la red se le permite hacer qué y dónde se les permite hacerlo.
Aquí hay algunos pasos útiles:
  • Revisa todas las cuentas de dominio y administrador local para deshacerse de las contraseñas que pueden ser fácilmente agrietadas. Si no pruebas las fortalezas de tu contraseña, los ladrones lo harán por ti.
  • Revisa qué personal tiene, o puede adquirir, privilegios de administrador en los equipos de otros usuarios o en el dominio. Si te das cuenta de que tienes privilegios que ya no necesitas, díselo y haz que te lo quiten – por tu propia seguridad, así como la de todos los demás.
  • No permitas que el personal de TI inicie sesión o ejecute ningún software con privilegios de Administrador excepto cuando lo necesiten explícitamente. Una vez que hayan completado una tarea administrativa, deben volver a degradarse a los privilegios de usuario habituales, aunque sea menos conveniente.
  • Comprueba si tienes alguna acción de red que se supone que se limita a su LAN, pero que aparecen en internet. Si no revisas tu propia red, los ladrones lo harán por ti.
Nunca se debe asumir que las opciones de seguridad que se aplicaron el año pasado, o los ajustes que se reforzaron el mes pasado, todavía funcionan hoy.

En la lucha contra el hackeo, las empresas son su propio enemigo

Ahora que los sistemas globales de tecnología de la información se ven bajo ataque de extorsionadores por segunda vez en otros tantos meses, cualquier rumor debería ser bueno para quienes combaten los ciberataques.

(Foto: Difusión).

 En las negociaciones de los mercados financieros suele haber mucho mal gusto. Cuando estalla una guerra, las acciones del sector de defensa suelen subir, y lo mismo sucede con la ciberguerra, que beneficia a las empresas que colocan barreras contra los hackers.
Ahora que los sistemas globales de tecnología de la información se ven bajo ataque de extorsionadores por segunda vez en otros tantos meses, cualquier rumor debería ser bueno para quienes combaten los ciberataques.
Sin embargo, el fervor parece estar enfriándose. El índice ISE de Seguridad Cibernética subió 1.6% en tres días, por debajo del desempeño del S&P 500, y un fondo cotizado en Europa que sigue el rendimiento de esas acciones bajó 3.7% en el mismo periodo.
Tan solo el miércoles, la firma británica especialista en software Sophos Group Plc cayó 5%. Si el mes pasado el ataque del “Wanna Cry” fue un “despertador” para la ciberseguridad, el “Petya” de esta semana parece estar poniendo a todos a dormir.
En un nivel, esto es parte de una corriente vendedora sana y más general en las acciones de tecnología después de un semestre grandioso. Las acciones de Sophos han subido un asombroso 73% en lo que va del año, comprendida la caída del miércoles.
Están valuadas en una relación precio-beneficio proyectada de 107.3, según datos de Bloomberg, lo que duplica aproximadamente la mediana de su grupo de pares.
Se trata de una empresa de rápido crecimiento con un aumento de dos dígitos de la facturación a clientes y probablemente ha alcanzado el valor razonable, estima el analista de Cenkos Martin O’Sullivan.
Pero el principal interrogante es si una creciente ola de piratería realmente hará subir todos los barcos de la seguridad cibernética. Es un mercado que crece, sin duda: las estimaciones sugieren que las empresas habrán incrementado 38% el gasto en seguridad de TI para el 2020.
Pero el presupuesto medio de TI todavía asigna solo cerca de 10% a la seguridad, de acuerdo con el director financiero de Belden Inc., Henk Derksen, y es poco probable que los titulares sobre ataques con pedido de rescate, aun cuando contribuyen a que todos hablen, modifiquen eso.
La tercera parte de las empresas gasta más en marketing que en seguridad informática, según una encuesta realizada por NTT.
También hay una profunda desconexión entre la mejorada tecnología de seguridad existente y los ataques con rescate que hoy generan titulares. Wanna Cry y Petya parecen tener la eficacia de poner al descubierto agujeros básicos en las ciberdefensas corporativas que son tanto humanos como tecnológicos.
La lista de controles defensivos de Sophos comienza con la actualización de Microsoft Windows, lo cual tiene más que ver con la higiene básica del software y la eficiencia de la organización que con los cortafuegos.
También es significativo que 44% de los empleados del Reino Unido piense que abrir cualquier correo electrónico en su computadora es seguro, según una encuesta. No necesariamente se trata de alta ciencia.
Empresas que gastan mucho en tecnología pueden quedar atrapadas en una falsa sensación de seguridad porque –a causa de otros errores- todavía pueden terminar siendo hackeadas.
Basta con imaginar a un presidente ejecutivo contento con la actual implementación y el gasto, convencido de que tanto los proveedores externos como los directores internos tienen todo bajo control, y que se topa con un ataque.
Una empresa de seguridad, SecureWorks, dijo a principios de este mes que alrededor de “una docena” de clientes de su lista se vieron afectados por Wanna Cry, que es atribuido a las debilidades de otras redes que no están bajo su control y a errores humanos tales como “un consultor que trae algo en su dispositivo”. Más gasto no parece ser aquí la solución.
La reacción del mercado de hoy a la piratería global sugiere que hay rendimientos decrecientes en el poder de los titulares de realmente sacudir el pensamiento de las empresas… y el gasto.
Sin duda es bueno para el marketing, la construcción de marca y el gasto a largo plazo, calcula Ben McSkelly, analista de Shore Capital. Pero a corto plazo el verdadero despertador tiene que ver con la ineptitud humana más que con la magia tecnológica.