Superficie de ataque, las vulnerabilidades aumentan a medida que las organizaciones …



De manera típica, los atacantes se están preparando para aprovechar el aumento del teletrabajo provocado por la pandemia.

La velocidad a la que las organizaciones se ven obligadas a responder a la disaster de salud que se está desarrollando en COVID-19 podría estar dejando a muchas de ellas vulnerables al ataque de actores de amenazas que se apresuran a explotar la situación.

En las últimas semanas, los vendedores e investigadores de seguridad han informado de un número creciente de actividades maliciosas vinculadas a COVID-19 que, según dicen, están elevando los riesgos para las organizaciones en todos los sectores, especialmente la atención médica y la aplicación de la ley.

Como period de esperar, gran parte de la actividad ha involucrado campañas de phishing y de ingeniería social donde COVID-19 se ha utilizado como un reclamo temático para hacer que las personas hagan clic en archivos adjuntos y enlaces maliciosos en correos electrónicos o para descargar malware en dispositivos móviles y otros dispositivos. También se han recibido informes sobre la adquisición de cuentas y la actividad de compromiso del correo electrónico comercial, un crecimiento en los dominios que sirven malware travel-by e intentos de explotar redes privadas virtuales (VPN) y otras herramientas de acceso remoto.

El peligro que representan estas amenazas se ha exacerbado por los nuevos requisitos para el «distanciamiento social» y el empuje resultante de muchas organizaciones para ampliar o implementar capacidades de teletrabajo para su fuerza laboral. El repentino aumento relacionado con COVID-19 en el uso de videoconferencia, acceso remoto y servicios VPN, especialmente en organizaciones que no los han usado antes, está dando a los atacantes más objetivos para perseguir y a los defensores mucho más terreno para proteger.

«Muchas compañías no tenían la infraestructura para este tipo de trabajo y tuvieron que implementarla rápidamente», dice Omri Herscovici, líder del equipo de investigación de seguridad en Look at Place.

Esto incluye la externalización de los servicios world-wide-web internos y el acceso al correo electrónico, el escritorio y otros recursos internos. En algunos casos, los servicios internos a los que antes no se podía acceder desde fuera del perímetro ahora se están abriendo rápidamente para permitir que los empleados trabajen desde sus hogares.

Muchos están implementando nuevas tecnologías para acceso remoto sin suficientes pruebas o sin garantizar primero configuraciones seguras, dice Herscovici. Es possible que las compañías también tengan dificultades para administrar y proteger un aumento repentino en las cargas de servidores y con problemas como implementar mecanismos de autenticación adecuados y capacidades de auditoría de seguridad para sus nuevos trabajadores de teletrabajo, señala.

«La superficie de ataque para los actores maliciosos ha aumentado desde que algunas partes de la infraestructura de una organización que solo se usaban internamente ahora están expuestas a Web», dice Herscovici.

Riesgos de VPN y teletrabajo
Los ataques que buscan aprovechar la inexperiencia del usuario con respecto al trabajo remoto son una de las principales preocupaciones. «Decenas de miles de empresas están convirtiendo su fuerza de trabajo en un ejército remoto, e instan al own a usar VPN por primera vez», dice Lior Rochberger, analista de seguridad del equipo Nocturnus de Cyberason y coautor de un reciente COVID- 19 Informe de investigación.

«Las víctimas desprevenidas en todo el mundo son víctimas porque están siendo engañadas para descargar e instalar malware disfrazado de clientes VPN legítimos», dice Rochberger.

Un sitio website malicioso que el equipo de Cybereason descubrió afirmaba proporcionar una variedad de instaladores e instaladores de VPN legítimos para aplicaciones como Instagram y Facebook. Sin embargo, aquellos que intentan descargar el instalador de VPN solo son dirigidos a un sitio de alojamiento de malware. «Existe un gran peligro porque, a medida que surge la ansiedad, las mentes de las personas están en otro lado y confían en estos sitios internet sin verificar que sea legítimo y confiable», dice Rochberger.

Las preocupaciones sobre la seguridad VPN empresarial eran altas incluso antes de la disaster de COVID-19. Los investigadores de seguridad han informado sobre numerosas vulnerabilidades críticas ejecutables de forma remota en productos VPN ampliamente utilizados en los últimos meses que han provocado alertas del Departamento de Seguridad Nacional (DHS) de EE. UU. Y otros. Las organizaciones que podrían haber estado cerca de abordar esos problemas probablemente se retrasarán una vez más en la nueva carrera para permitir el teletrabajo en muchas organizaciones, dice Pascal Geenens, evangelista de seguridad en Radware.

«Las VPN han sido objeto de acceso selectivo durante 2019», dice. «(Ahora) la oportunidad y la superficie de ataque (han crecido) con más organizaciones que implementan el acceso remoto».

En un 13 de marzo alerta, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS instó a las organizaciones que están implementando capacidades de acceso remoto para los trabajadores en respuesta a COVID-19 a instalar los últimos parches de seguridad y configuraciones en sus VPN. También aconsejó el uso de autenticación multifactor en todas las conexiones VPN para aumentar la seguridad. «Si no se implementa MFA, se requiere que los teletrabajadores utilicen contraseñas seguras», dijo el CISA.

Explotar una crisis
Mientras tanto, los actores de amenazas, que tienen una inclinación por explotar una situación de disaster, están lanzando un aluvión de spam, phishing y otras campañas maliciosas para que los usuarios se separen de las credenciales y otros datos confidenciales.

De acuerdo a KnowBe4, ha habido una epidemia virtual de correos electrónicos de phishing con el tema COVID-19 en las últimas semanas. Muchos de ellos pretenden ser de los Centros para el Handle de Enfermedades de los EE. UU. (CDC), la Organización Mundial de la Salud (OMS), el Departamento de Salud y Servicios Humanos de los EE. UU. (HHS) y los departamentos de recursos humanos de las empresas. Solo esta semana, por ejemplo, IBM informó sobre una nueva campaña donde un keylogger previamente conocido llamado HawkEye se distribuía en correos electrónicos falsificando al director standard de la OMS. Si bien la mayoría de los correos electrónicos de phishing han falsificado organizaciones gubernamentales, los atacantes también han estado falsificando las privadas. Una campaña que KnowBe4 rastreó, por ejemplo, involucró un correo electrónico de phishing con una factura falsa por la cobertura de seguro COVID-19 de Cigna

Un mapa interactivo de la Universidad Johns Hopkins que rastrea la propagación de COVID-19 a nivel mundial ha sido un objetivo de suplantación de identidad especialmente well known. Numerosos atacantes han comenzado a alojar rastreadores de aspecto casi idéntico en sitios cargados de malware y están utilizando correos electrónicos de phishing para atraer a las personas a estos sitios.

Algunos están utilizando una versión de aplicación del rastreador para que los usuarios carguen malware en dispositivos móviles. Kristin Del Rosso, ingeniera de inteligencia del personal senior de Estar atento, dice que los investigadores de la compañía descubrieron recientemente una versión troyanizada de una aplicación de seguimiento COVID-19 funcional que se utiliza para descargar computer software de vigilancia en teléfonos móviles.

«Hemos visto a otros actores usar la cobertura de medios COVID-19 para desplegar el ransomware móvil y los troyanos bancarios con temas de Coronavirus, así como rastrear la geolocalización de un dispositivo», dice Del Rosso. Con la orden de refugiarse, las organizaciones están implementando rápidamente políticas de trabajo desde el hogar que tienen el potencial de aumentar su riesgo móvil. «En definitiva, se trata de educar a los usuarios finales y seguir las mejores prácticas, incluso en tiempos de disaster», dice.

Rochberger dice que Cybereason también ha visto a atacantes creando aplicaciones móviles maliciosas que se hacen pasar por aplicaciones legítimas desarrolladas por la OMS supuestamente para ayudar a las personas a recuperarse de COVID-19. «En cambio, la aplicación descarga el troyano Cerberus para robar datos confidenciales», señala.

De acuerdo a Punto de command, más de 16,000 nuevos dominios relacionados con Coronavirus se han registrado desde enero. Más de 2.200 de ellos son sospechosos y otros 93 están siendo utilizados para servir malware. Muchos autores de malware parecen estar viendo la pandemia como una oportunidad para acelerar las ventas y están ofreciendo especiales y descuentos de Coronavirus a delincuentes y aspirantes a delincuentes en los mercados de Dim Net. Entre los especiales de COVID-19 hay un descuento del 15% en un servicio de pirateo de cuentas de Fb.

Si bien muchas de las nuevas y emergentes amenazas relacionadas con COVID-19 están dirigidas principalmente a individuos, impactan a las organizaciones por igual. Los investigadores dicen que las empresas deben prestar especial atención a los fundamentos de la seguridad.

Esto incluye mantener el application actualizado adecuadamente para evitar la exposición a nuevas amenazas, restablecer y aplicar contraseñas seguras para los trabajadores remotos, y garantizar que las contraseñas se cambien periódicamente, dice Geenens de Radware, que recientemente publicó un conjunto de recomendaciones en el tema.

Las VPN son otra forma de proteger los datos entre los trabajadores remotos y los sistemas centrales, dice Kevin Curran, miembro senior de IEEE y profesor de seguridad en la Universidad de Ulster. «En el mundo suitable, las organizaciones tendrían implementado un sistema de crimson de confianza cero», dice Curran. Pero puede ser difícil de implementar únicamente en respuesta a la crisis de salud que se desarrolla, admite.

Las capacidades de administración de dispositivos móviles son otro requisito fundamental para las organizaciones en este momento, señala Curran. «Incluso Windows 10 ahora permite que los dispositivos se conecten a un Azure Lively Listing basado en la nube, lo que refuerza el soporte existente en Home windows para la versión tradicional de Lively Listing», dice. Las organizaciones deben tener el manage de los dispositivos móviles que acceden a sus entornos y tienen capacidades tales como la eliminación remota y la configuración de las políticas de protección de datos empresariales.

«La contenedorización es otra opción para que las compañías separen datos corporativos y personales en el dispositivo de un empleado», dice Curran. «Esto implica separar las aplicaciones móviles corporativas y los datos asociados con estas en &#39contenedores&#39 en el dispositivo móvil, creando una división clara de lo que está sujeto a las políticas de seguridad corporativas, como la eliminación».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más tips





Enlace a la noticia original