Categoría: Cyberseguridad

Posted on by Ernesto Monge

La ciberseguridad tema crítico en la actualidad

La importancia de la ciberseguridad

La ciberseguridad es el conjunto de prácticas y tecnologías diseñadas para proteger los sistemas y dispositivos electrónicos de ataques, robo o daño. Con el aumento del uso de dispositivos digitales y la interconexión de redes, la ciberseguridad se ha vuelto más importante que nunca. Las empresas, en particular, son un objetivo frecuente de los ciberdelincuentes que buscan acceder a información confidencial o causar daño.

Los ataques cibernéticos pueden tomar muchas formas, desde malware que infecta una red y roba datos, hasta ransomware que cifra archivos y exige un rescate para desbloquearlos. Incluso los ataques de phishing, en los que los atacantes engañan a los usuarios para que revelen información confidencial, pueden tener graves consecuencias. Si bien es imposible prevenir todos los ataques, la ciberseguridad adecuada puede minimizar el riesgo y garantizar que, en caso de un ataque, se puedan tomar medidas para mitigar el daño.

Sophos: Protección integral contra amenazas cibernéticas

Sophos es una empresa líder en seguridad cibernética que ofrece una amplia gama de soluciones de protección. Con una variedad de productos diseñados para adaptarse a las necesidades específicas de las empresas, Sophos puede ayudar a proteger su red contra una amplia gama de amenazas.

Sophos Endpoint Protection es una solución todo en uno que ofrece protección contra malware, ransomware, exploit y phishing. Al utilizar tecnología de inteligencia artificial y aprendizaje automático, Sophos Endpoint Protection puede identificar y detener amenazas antes de que puedan causar daño.

Sophos Firewall es otra solución importante que puede ayudar a proteger su red. La firewall de Sophos utiliza una variedad de tecnologías de protección para bloquear amenazas y prevenir intrusiones no autorizadas.

Sophos Intercept X es una solución de protección de endpoints de próxima generación que utiliza una combinación de tecnología de prevención de amenazas avanzada, tecnología de detección y respuesta de endpoints (EDR) y análisis de comportamiento para proteger contra amenazas cibernéticas sofisticadas.

Sophos también ofrece soluciones de seguridad de correo electrónico y de nube que pueden ayudar a proteger su empresa contra amenazas cibernéticas en múltiples frentes.

Conclusión

La ciberseguridad es esencial para cualquier empresa que opere en un entorno digital. Sophos ofrece una amplia gama de soluciones de protección que pueden ayudar a garantizar que su empresa esté protegida contra amenazas cibernéticas. Desde Endpoint Protection hasta Firewall y Intercept X, Sophos tiene soluciones para adaptarse a las necesidades específicas de su empresa. Si está buscando protección contra amenazas cibernéticas, Sophos es una opción líder en el mercado.

SYSTEC Distrubuidor de Sophos para Costa Rica

Partner Autorizado para Costa Rica de Sophos

Posted on by Ernesto Monge

Debería tener un antivirus en mi empresa?

En la actualidad, las empresas tienen una gran cantidad de información digital almacenada en sus sistemas informáticos. Desde datos de clientes hasta información financiera confidencial, todo se encuentra en la red y puede ser vulnerable a ataques cibernéticos.

Es por eso que es crucial tener un antivirus en la empresa. Un antivirus es un programa diseñado para detectar y eliminar virus, malware y otras amenazas informáticas que pueden dañar los sistemas de una empresa. A continuación, se presentan algunas de las razones por las que es importante tener un antivirus en tu empresa:

  1. Protege los datos de la empresa: Los datos son uno de los activos más valiosos de una empresa. Un ataque de malware puede resultar en la pérdida de información valiosa o incluso el robo de datos confidenciales. Un antivirus ayuda a proteger los sistemas de la empresa y garantiza la seguridad de los datos.

  2. Evita el tiempo de inactividad: Una infección de malware puede hacer que los sistemas de la empresa se ralenticen o incluso se paralicen. Esto puede resultar en tiempo de inactividad y pérdida de productividad para la empresa. Un antivirus ayuda a mantener los sistemas en funcionamiento y a prevenir el tiempo de inactividad.

  3. Protege contra las amenazas emergentes: Los ataques cibernéticos están en constante evolución. Los delincuentes cibernéticos están siempre buscando nuevas formas de penetrar en los sistemas de las empresas. Un buen antivirus se mantiene actualizado para proteger contra las últimas amenazas emergentes.

  4. Protege contra el phishing: El phishing es una técnica utilizada por los delincuentes cibernéticos para robar información confidencial como contraseñas o números de tarjetas de crédito. Un antivirus ayuda a proteger contra el phishing al detectar y bloquear correos electrónicos maliciosos y sitios web falsos.

  5. Cumple con las regulaciones de seguridad: Dependiendo de la industria en la que opere tu empresa, es posible que debas cumplir con regulaciones específicas de seguridad. Un antivirus puede ayudar a cumplir con estas regulaciones al proporcionar una capa adicional de seguridad para los sistemas de la empresa.

En resumen, un antivirus es esencial para proteger los sistemas de tu empresa contra las amenazas cibernéticas y garantizar la seguridad de los datos. Asegúrate de elegir un antivirus confiable y manténlo actualizado para garantizar la mejor protección posible.

Más información…

SYSTEC Distrubuidor de Sophos para Costa Rica

Partner Autorizado para Costa Rica de Sophos

Posted on by Ernesto Monge

Qué es Sophos?

Sophos es una empresa de ciberseguridad líder en el mercado que se dedica a proteger las redes y los sistemas informáticos de empresas y organizaciones contra amenazas digitales como virus, malware, ransomware y otras formas de ataques cibernéticos. La empresa ofrece una amplia gama de soluciones de seguridad para proteger a las empresas y organizaciones de todos los tamaños contra las amenazas cibernéticas en constante evolución. Entre sus soluciones se encuentran firewalls, software antivirus, soluciones de encriptación y protección de datos, herramientas de análisis de vulnerabilidades, entre otros.

Sophos utiliza una combinación de tecnologías avanzadas de inteligencia artificial, machine learning y análisis de comportamiento para detectar y neutralizar amenazas de seguridad. También se enfoca en la educación y concientización de los empleados de las empresas y organizaciones, ya que considera que la educación y la formación son la primera línea de defensa contra los ciberataques. Entre las soluciones destacan:

  • Sophos Intercept X: una solución de seguridad avanzada que utiliza inteligencia artificial y machine learning para proteger contra ransomware, malware y otras amenazas avanzadas.

  • Sophos XG Firewall: una solución de firewall de próxima generación que proporciona una protección completa y flexible para las redes empresariales.

  • Sophos Endpoint Protection: una solución de seguridad para dispositivos finales que protege contra virus, malware, ransomware y otras amenazas.

  • Sophos Mobile: una solución de seguridad móvil que protege los dispositivos móviles de la empresa contra amenazas cibernéticas.

  • Sophos Email: una solución de seguridad de correo electrónico que protege contra spam, phishing y otros ataques de correo electrónico.

  • Sophos Encryption: una solución de encriptación de archivos y discos que protege los datos sensibles de la empresa contra el acceso no autorizado.

  • Sophos Server Protection: una solución de seguridad para servidores que protege contra amenazas cibernéticas en los servidores empresariales.

  • Sophos Phish Threat: una solución de entrenamiento y simulación de phishing que ayuda a educar a los empleados de la empresa sobre cómo detectar y evitar los ataques de phishing.

En resumen, Sophos ofrece una amplia gama de soluciones de seguridad que protegen los sistemas y redes empresariales contra las amenazas cibernéticas en constante evolución. Desde soluciones de seguridad avanzadas hasta soluciones de entrenamiento y simulación, Sophos tiene una solución para cada necesidad empresarial.

SYSTEC Distrubuidor de Sophos para Costa Rica

Partner Autorizado para Costa Rica de Sophos

Posted on by Ernesto Monge

Sophos identifica más de 500 herramientas únicas utilizadas por los ciberatacantes en 2022

Según el informe “Active Adversary Report for Business Leaders”, la causa más común del origen de los ataques fueron vulnerabilidades no parcheadas y credenciales comprometidas

Escrito por 

Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, publica el informe “Active Adversary Report for Business Leaders”, un análisis en profundidad sobre los comportamientos en constante evolución y las técnicas de ataque que los adversarios han utilizado durante el 2022. Los datos analizados por el equipo de Respuesta a Incidentes de Sophos (IR, por sus siglas en inglés) a partir de más de 150 casos, identificaron más de 500 herramientas y técnicas únicas, incluyendo 118 binarios “Living off the Land” (LOLBins). A diferencia del malware, los LOLBins son ejecutables que se encuentran de forma natural en los sistemas operativos, lo que los hace mucho más difíciles de bloquear para los equipos de seguridad cuando los atacantes los explotan para actividades maliciosas.

Además, Sophos ha descubierto que las vulnerabilidades sin parchear han sido la vía de acceso más común utilizada por los ciberatacantes para obtener el acceso inicial a los sistemas de las víctimas. De hecho, en la mitad de las investigaciones incluidas en el informe, los atacantes explotaron las vulnerabilidades ProxyShell y Log4Shell -vulnerabilidades identificadas desde 2021- para infiltrarse en las redes de las empresas. La segunda causa de los ataques más común fueron las credenciales comprometidas.

Hoy en día, cuando los cibercriminales no están forzando el acceso a una red, simplemente están entrando directamente. La realidad es que el entorno de las amenazas ha crecido en volumen y complejidad hasta el punto de que no hay huecos perceptibles que los equipos de seguridad puedan aprovechar. Para la mayoría de las empresas, los días en los que podían protegerse por su cuenta han quedado atrás. Realmente es todo, en todas partes, todo a la vez. Sin embargo, hay herramientas y servicios a disposición de las empresas que pueden aliviar parte de la carga defensiva, permitiéndoles centrarse en las prioridades reales de su negocio”, explica John Shier, CTO de Sophos.

Más de dos tercios de los ataques que ha investigado el equipo de Respuesta a Incidentes de Sophos (68%) implicaban ransomware, lo que demuestra que este tipo de ataques sigue siendo una de las amenazas más generalizadas para las empresas. El ransomware también ha representado casi tres cuartas partes de los informes del equipo IR de Sophos en los últimos tres años.

Aunque el ransomware sigue dominando el panorama de las amenazas, el tiempo de permanencia de los atacantes se ha reducido en 2022, pasando de 15 a 10 días, para todos los tipos de ataque. En los casos de ransomware, el tiempo de permanencia se redujo de 11 a 9 días, mientras que la disminución ha sido aún mayor en los ataques sin ransomware. El tiempo de permanencia para estos últimos disminuyó de 34 días en 2021 a solo 11 días en 2022. Sin embargo, a diferencia de años anteriores, no ha habido variaciones significativas en los tiempos de permanencia investigados entre empresas de distinto tamaño o sectores.

Las empresas que han implantado con éxito protección por capas con supervisión constante están obteniendo mejores resultados en cuanto a la gravedad de los ataques. El efecto secundario que provoca la mejora de las defensas implica que los adversarios tienen que aumentar la velocidad para completar sus ataques. Por lo tanto, los ataques más rápidos requieren también una detección más temprana. La carrera entre atacantes y defensores seguirá intensificándose y quienes no dispongan de una vigilancia proactiva sufrirán consecuencias mayores“, afirma Shier.

El informe “Sophos Active Adversary Report for Business Leaders” se basa en 152 investigaciones del equipo de Respuesta a Incidentes (IR) que abarcan 22 sectores de todo el mundo. Las empresas atacadas se encontraban en 31 países diferentes, incluidos Estados Unidos y Canadá, Reino Unido, Alemania, Suiza, Italia, Austria, Finlandia, Bélgica, Suecia, Rumanía, España, Australia, Nueva Zelanda, Singapur, Japón, Hong Kong, India, Tailandia, Filipinas, Qatar, Bahréin, Arabia Saudí, Emiratos Árabes Unidos, Kenia, Somalia, Nigeria, Sudáfrica, México, Brasil y Colombia. Los sectores con mayor presencia en el informe son el sector industrial (20%), seguido del sector sanitario (12%), la educación (9%) y el retail (8%).

El informe Sophos Active Adversary Report for Business Leaders proporciona a las empresas información práctica sobre amenazas y los conocimientos necesarios para optimizar las estrategias de seguridad y las defensas.

Para obtener más información sobre los comportamientos, herramientas y técnicas de los atacantes, está disponible el informe Sophos Active Adversary Report for Business Leaders en Sophos.com.

Más información sobre productos Sophos en Costa Rica https://www.systec.co.cr/sophos/

 

https://news.sophos.com/es-es/2023/03/06/los-federales-advierten-del-ransomware-royal-que-utiliza-toda-la-gama-de-ttp/
Posted on by Ernesto Monge

El malware EDR AuKill abusa del controlador Process Explorer

Aumentan los ataques basados en controladores contra productos de seguridad

Escrito por 

En los últimos meses, Sophos X-Ops ha investigado múltiples incidentes en los que los atacantes intentaban desactivar clientes EDR con una nueva herramienta de evasión de defensas que hemos bautizado como AuKill. La herramienta AuKill abusa de una versión anticuada del controlador utilizado por la versión 16.32 de la utilidad de Microsoft, Process Explorer, para desactivar los procesos EDR antes de desplegar una puerta trasera o un ransomware en el sistema objetivo.

La herramienta se utilizó durante al menos tres incidentes de ransomware desde principios de 2023 para sabotear la protección del objetivo y desplegar el ransomware: en enero y febrero, los atacantes desplegaron el ransomware Medusa Locker después de utilizar la herramienta; en febrero, un atacante utilizó AuKill justo antes de desplegar el ransomware Lockbit.

No es la primera vez que informamos sobre múltiples grupos de amenazas que despliegan simultáneamente software diseñado para matar a los agentes EDR que protegen los ordenadores. En diciembre de 2022, Sophos, Microsoft, Mandiant y SentinelOne informaron de que varios atacantes habían utilizado controladores personalizados para desactivar productos EDR.

En cambio, la herramienta AuKill abusaba de un controlador legítimo, pero obsoleto y explotable. Esta técnica se conoce comúnmente como ataque “trae tu propio controlador vulnerable” (BYOVD).

El método de abusar del controlador Process Explorer para eludir los sistemas EDR no es nuevo: se implementó en la herramienta de código abierto Backstab, publicada por primera vez en junio de 2021. De hecho, Sophos y otros proveedores de seguridad han informado anteriormente de múltiples incidentes en los que Backstab, o una versión de este controlador, se utilizó con fines maliciosos.

El pasado noviembre, por ejemplo, Sophos X-Ops informó  que un ciberdelincuente que trabajaba para el grupo de ransomware LockBit utilizó Backstab para desactivar procesos EDR en una máquina infectada. Tres meses después, Sentinel One publicó un informe sobre una herramienta que denominaron MalVirt, que utiliza el mismo controlador Process Explorer para desactivar productos de seguridad antes de desplegar la carga útil final en la máquina objetivo.

 

Mas información https://news.sophos.com/es-es/2023/04/21/el-malware-edr-aukill-abusa-del-controlador-process-explorer/

 

Posted on by Ernesto Monge

Los federales advierten del ransomware Royal que utiliza toda la gama de TTP

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA), que se autodenomina la “Agencia de Ciberdefensa de EE.UU.”, acaba de publicar un anuncio de servicio público bajo su lema #StopRansomware.

Este informe lleva el número AA23-061a, y si crees que el ransomware es la amenaza de ayer, o que otros ciberataques específicos deberían encabezar la lista en 2023, merece la pena leerlo.

Los riesgos a los que te expones al apartar la vista de la amenaza del ransomware en 2023 para centrarte en el siguiente tema que vuelve a estar de moda pese a ser ya conocido (¿ChatGPT? ¿Criptojacking? ¿Locklogging? ¿Robo de código fuente? ¿Fraude 2FA?) son similares a los riesgos a los que te habrías enfrentado si hubieras empezado a centrarte exclusivamente en el ransomware hace unos años, cuando era la nueva amenaza del momento.

En primer lugar, a menudo te darás cuenta  que cuando una ciberamenaza parece estar disminuyendo, la verdadera razón es que otras amenazas están aumentando en términos relativos, en lugar de que la que crees que ya no existe esté desapareciendo en términos absolutos.

De hecho, el aparente aumento de la ciberdelincuencia X que va acompañado de un aparente descenso de Y podría deberse simplemente a que cada vez más ciberdelincuentes que antes estaban especializados en Y ahora se dedican a X además de a Y, en lugar de solo a Y.

En segundo lugar, incluso cuando un ciberdelito concreto muestra un descenso absoluto en su prevalencia, casi siempre descubrirás que sigue habiendo muchos, y que el peligro no disminuye si te atacan.

Como nos gusta decir: “Los que no pueden recordar el pasado están condenados a repetirlo”.

Royal

El aviso AA23-061a se centra en una familia de ransomware conocida como Royal, pero los puntos clave del aviso del CISA son los siguientes:

  • Estos ciberdelincuentes utilizanmétodos probados y fiables. Entre ellos se incluyen el phishing (2/3 de los ataques), la búsqueda de servidores RDP mal configurados (1/6 de ellos), la búsqueda de servicios en línea sin parches en la red, o simplemente comprando credenciales de acceso a delincuentes que entraron antes que ellos. Los ciberdelincuentes que se ganan la vida vendiendo credenciales, normalmente a ladrones de datos y bandas de ransomware, se conocen en la jerga como IAB, abreviatura del término autodescriptivo initial access brokers.
  • Una vez dentro, los delincuentes intentan evitar programas que puedan aparecer obviamente como malware. Buscan herramientas de administración ya existentes, o traen las suyas propias, sabiendo que es más fácil evitar sospechas si te vistes, hablas y actúas como un lugareño, o como se dice en la jerga: live off the land. Las herramientas legítimas de las que abusan los atacantes incluyen utilidades usadas a menudo para el acceso remoto legítimo, para ejecutar comandos administrativos a distancia y para las tareas típicas de un administrador de sistemas. Algunos ejemplos son: PsExec de Microsoft Sysinternals; la herramienta de acceso remoto AnyDesk; y Microsoft PowerShell, que viene preinstalada en todos los ordenadores Windows.
  • Antes de cifrar los archivos, los atacantes intentan complicar la recuperación de archivos. Como probablemente esperas, eliminan las instantáneas de volumen (instantáneas “rollback” vivas de Windows). También añaden sus propias cuentas de administrador no oficiales para poder volver a entrar si les echas, modifican la configuración de tu software de seguridad para silenciar las alarmas, toman el control de archivos que de otro modo no podrían descifrar y desordenan los registros de tu sistema para que luego sea difícil averiguar qué han cambiado.

Para que quede claro, tienes que mejorar la defensa contra todas estas TTP (herramientas, técnicas y procedimientos), independientemente de que una oleada concreta de atacantes pretenda chantajearte como parte de su juego final.

Dicho esto, por supuesto, parece que esta banda Royal está muy interesada en la técnica identificada por el marco MITRE ATT&CK del gobierno de EE.UU. con la etiqueta T1486, que lleva el inquietante nombre de Cifrados de datos por impacto.

En pocas palabras, T1486 generalmente denota atacantes que planean extorsionarte a cambio de descifrar tus preciados archivos, y que pretenden exprimirte más que nunca creando el mayor trastorno posible, y por tanto dándose a sí mismos la mayor ventaja de chantaje que puedan.

De hecho, el boletín AA23-061a advierte de que:

Los [delincuentes del ransomware] Royal han pedido rescates que oscilan entre aproximadamente 1 millón y 11 millones de USD en bitcoins.

Y, para que quede claro, normalmente roban (o, más exactamente, hacen copias no autorizadas de) tantos datos como pueden antes de congelar tus archivos, para ejercer aún más presión extorsionadora:

Tras acceder a las redes de las víctimas, los Royal desactivan el software antivirus y exfiltran grandes cantidades de datos antes de desplegar finalmente el ransomware y cifrar los sistemas.

Qué hacer?

Los delincuentes como la banda Royal se conocen en la jerga como adversarios activos, porque no se limitan a disparar malware y ver si cuela.

Utilizan herramientas preprogramadas y scripts siempre que pueden (a los delincuentes les gusta la automatización tanto como a cualquiera), pero prestan atención individual a cada ataque.

Esto les hace no sólo más adaptables (cambiarán sus TTP en un momento si descubren una forma mejor de causar daño), sino también más sigilosos (adaptarán sus TTP en tiempo real a medida que descubran tu libro de jugadas defensivo).

  • Obtén más información leyendo nuestro Active Adversary Playbook, un fascinante estudio de 144 ataques reales realizado por el CTO de Sophos, John Shier.
  • Obtén más información sobre Sophos Managed Detection and Response, donde nos unimos a tu equipo para ayudarte a luchar, porque hoy en día no tienes tiempo de hacerlo todo tú solo.

Fuente:

https://news.sophos.com/es-es/2023/03/06/los-federales-advierten-del-ransomware-royal-que-utiliza-toda-la-gama-de-ttp/
Posted on by Ernesto Monge

Ventajas de Sophos como solución de ciberseguridad

Sophos es una empresa de ciberseguridad que tiene varias ventajas competitivas en comparación con otras empresas del mercado. Algunas de las ventajas que Sophos ofrece a sus clientes son:

  • Tecnologíaavanzada: Sophos utiliza tecnologías avanzadas como la inteligencia artificial, el machine learning y el análisis de comportamiento para detectar y neutralizar amenazas de seguridad. Estas tecnologías permiten a Sophos ofrecer una protección más efectiva contra las amenazas cibernéticas en constante evolución.

  • Protección integral: Sophos ofrece una amplia gama de soluciones de seguridad que abarcan desde firewalls hasta software antivirus y soluciones de encriptación y protección de datos. Esto significa que las empresas y organizaciones pueden obtener una protección integral para sus sistemas y redes informáticas.

  • Fácil implementación y gestión: Sophos ofrece soluciones que son fáciles de implementar y gestionar, lo que significa que las empresas y organizaciones

    pueden mantenerse protegidas sin necesidad de tener conocimientos técnicos avanzados.

  • Educación y concientización: Sophos se enfoca en la educación y la concientización de los empleados de las empresas y organizaciones, ya que considera que la educación y la formación son la primera línea de defensa contra los ciberataques. Sophos ofrece herramientas y recursos de educación y concientización para ayudar a las empresas y organizaciones a fortalecer su seguridad.

  • Soporte técnico de calidad: Sophos ofrece un soporte técnico de alta calidad a sus clientes, lo que significa que pueden obtener ayuda cuando la necesiten. Sophos también ofrece actualizaciones frecuentes para sus soluciones de seguridad, lo que garantiza que las empresas y organizaciones siempre estén protegidas contra las últimas am

  • enazas cibernéticas.

En resumen, Sophos ofrece tecnología avanzada, protección integral, fácil implementación y gestión, educación y concientización, y soporte técnico de calidad, lo que la convierte en una opción atractiva para las empresas y organizaciones que buscan proteger sus sistemas y redes informáticas contra las amenazas cibernéticas.

Mas información…

 

Sophos Costa Rica

SYSTEC – Distribuidor Autorizado de Sophos para Costa Rica