Informe de amenazas de CrowdStrike 2020: los spammers afinan el secuestro de hilos de correo electrónico


Los controles existentes a menudo no se configuran correctamente o no se implementan ampliamente, lo que permite a los malos actores robar datos.

Las 5 formas adicionales de defenderse del ransomware
En 2019, 23 gobiernos municipales en Texas experimentaron un ataque coordinado de ransomware. Tom Merritt explica cómo se defendieron y las formas en que puede proteger su propio negocio.

En su Informe de Amenazas Globales 2020, CrowdStrike descubrió que los malos actores están deshabilitando la protección de los puntos finales y comprometiendo los sitios de WordPress para robar datos y credenciales. Las empresas deben implementar la autenticación de dos factores y asegurarse de que los productos de seguridad existentes estén configurados correctamente para fortalecer las defensas.

Durante una entrevista en RSA 2020, Michael Sentonas, CTO de CrowdStrike, dijo que a menudo habla con CISO en pequeñas y medianas empresas que son escépticas de que los piratas informáticos apunten a sus compañías.

"Les pregunto: '¿Cuál es su diferenciador comercial único y qué sucedería si perdiera los datos de sus clientes?'", Dijo. "Eso les ayuda a comprender lo que está en juego".

Sentonas también dijo que las multas desencadenadas por la Regla General de Protección de Datos de Europa (GDPR) están cambiando la actitud comercial hacia la seguridad.

"Las personas que pueden haber despreciado la ciberseguridad anteriormente ahora están a bordo", dijo.

El eport de CrowdStrike incluye una descripción general del panorama de amenazas, evaluación de amenazas de ransomware, tendencias y actividades de delitos electrónicos, y una actualización sobre las intrusiones de Irán, Corea del Norte, China, Rusia y otros países.

VER: Ciberseguridad: pongámonos tácticos (PDF gratis)

"Como industria, tenemos que asegurarnos de que el ruido no se convierta en algo tan regular que la gente no empiece a desconectarse", dijo Sentonas.

Aquí hay un resumen de las tácticas más comunes que los malos actores usaron en 2019 para robar o rescatar datos, así como algunos consejos sobre cómo evitar estas infracciones.

Consejos, trucos y procesos favoritos de los hackers en 2019

Crowdstrike vio la mayor actividad en torno a estas estrategias en 2019.

Terminando productos de seguridad

Los perpetradores intentaron con frecuencia terminar los productos de protección de punto final o los reenviadores de alertas de información de seguridad y gestión de eventos (SIEM). Los operadores de ransomware a menudo usaban dos utilidades disponibles públicamente para hacer esto: PCHunter y ProcessHacker. Estas potentes utilidades no solo ven y finalizan procesos, sino que también interactúan directamente con el núcleo de Windows.

Túnel de DNS

Aunque esta no es una táctica nueva, varios actores malos la usaron en 2019, informó CrowdStrike Intelligence. El uso del protocolo DNS para las comunicaciones de comando y control (C2) es útil cuando otros protocolos comunes de Internet se desactivan o se inspeccionan de cerca.

Uso de sitios comprometidos que alojan WordPress

En el tercer trimestre de 2019, los malos actores comenzaron a usar sitios web comprometidos que alojaban instancias individuales de WordPress para entregar malware, incluidos REvil, Emoticón de MUMMY SPIDER y QakBot. Estos sitios también han sido vinculados a operaciones de recolección de credenciales. El 25 de septiembre de 2019, CrowdStrike Intelligence identificó varias páginas de phishing malintencionadas que se hacen pasar por una página de destino de Microsoft Office 365.

Secuestro de hilos de correo electrónico

En octubre de 2019, los delincuentes lanzaron múltiples campañas de spam de Emotet realizadas por MUMMY SPIDER para secuestrar hilos de correo electrónico. Después de que el contenido de correo electrónico de una víctima ha sido robado, MUMMY SPIDER identifica un hilo basado en el asunto y elabora una respuesta. Esta táctica aumenta la probabilidad de que un destinatario abra un archivo adjunto malicioso (o haga clic en un enlace) porque el remitente parece familiar y la línea de asunto coincide con un hilo de conversación anterior que tuvo con esa persona.

Cómo mejorar tu seguridad

Basado en conversaciones con clientes y observaciones de fallas de seguridad, CrowdStrike ofrece este consejo para cerrar agujeros de seguridad e implementar mejores prácticas.

Usa lo que tienes

CrowdStrike a menudo descubrió que los piratas informáticos tuvieron éxito cuando los controles de seguridad no se configuraron correctamente o no se implementaron por completo en el entorno. La proliferación de la "caza mayor" ha hecho más probable que los delincuentes aprovechen esta debilidad. Las organizaciones inteligentes dedicarán el tiempo necesario para maximizar la protección que obtienen de los controles de seguridad existentes.

Protege las identidades

CrowdStrike recomienda implementar la autenticación de dos factores (2FA) para todos los usuarios porque los atacantes son buenos para acceder y usar credenciales válidas. La autenticación de dos factores hace que sea mucho más difícil para los adversarios hacer esto. Además de 2FA, un proceso de gestión de acceso de privilegios robusto limitará el daño que los adversarios pueden hacer si entran, y reducirá la probabilidad de movimiento lateral.

Acepta el desafío de la regla del 1-10-60

Las empresas necesitan un proceso de seguridad maduro que pueda prevenir, detectar y responder a las amenazas rápidamente. CrowdStrike recomienda la "regla 1-10-60" para combatir las amenazas cibernéticas:
● Detectar intrusiones en menos de un minuto.
● Investigue y comprenda las amenazas en menos de 10 minutos.
● Contener y eliminar al adversario del medio ambiente en menos de 60 minutos.

Aliste a los usuarios en la lucha

El tema de RSA 2020 fue el elemento humano y muchos oradores dijeron que era hora de dejar de culpar al usuario final como el mayor riesgo de seguridad. CrowdStrike también reconoce que el usuario final sigue siendo un eslabón crítico en la cadena de seguridad. Las empresas deben desarrollar capacitación específica para el trabajo para ayudar a los empleados a comprender cómo identificar y evitar el phishing y la ingeniería social.

Ver también

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/03/02/9929178c-c192-49d8-9c38-1ab2db93805a/resize/770x/1b743fd5009c56c91af784648a15a288/screen-shot-2020-03 -02-at-2-48-37-pm.png "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

En 2018, todas las regiones mostraron entre un 25% y un 45% de ataques de malware sin archivos, pero 2019 mostraron un salto importante en los ataques de malware sin archivos dirigidos a América del Norte y una disminución similar en los ataques sin malware dirigidos a la región de América Latina. & Nbsp;

"data-credit =" Imagen: CrowdStrike "rel =" noopener noreferrer nofollow ">captura de pantalla-2020-03-02-at-2-48-37-pm.png

En 2018, todas las regiones mostraron entre un 25% y un 45% de ataques de malware sin archivos, pero 2019 mostró un salto importante en los ataques de malware sin archivos dirigidos a América del Norte y una disminución similar en los ataques sin malware dirigidos a la región de América Latina.

Imagen: CrowdStrike



Enlace a la noticia original