Redes sociales en el trabajo: consejos de ciberseguridad para empleados
Para muchas personas, compartir el día a día en las redes sociales se ha convertido en una actividad que forma parte de su vida cotidiana, y eso incluye la vida laboral.
Novedades
RansomHub lanza un nuevo binario BYOVD que desactiva soluciones EDR. Después de cargar un controlador vulnerable, la utilidad usa un exploit público para lograr escalamiento de privilegios y la capacidad de desactivar el software de protección de endpoints.
La banda de ransomware RansomHub ha presentado una nueva utilidad en sus ataques, diseñada para terminar los procesos de detección y respuesta de endpoints (EDR) antes de que puedan detectar cualquier actividad maliciosa.
Apropiadamente llamado "EDRKillShifter", el binario está diseñado para cargar un controlador legítimo pero vulnerable y sin parchear, que luego puede ser explotado para escalar privilegios utilizando exploits de prueba de concepto disponibles en GitHub, según el equipo de Sophos X-Ops.
"Hay tres pasos en el proceso de ejecución de este cargador", explicaron los investigadores de Sophos en un análisis esta semana. "El atacante debe ejecutar EDRKillShifter con una línea de comandos que incluya una cadena de contraseña. Cuando se ejecuta con la contraseña correcta, el ejecutable descifra un recurso incrustado llamado BIN y lo ejecuta en la memoria."
Agregaron: "El código BIN descomprime y ejecuta la carga final. Esta carga final, escrita en el lenguaje de programación Go, instala y explota uno de una variedad de controladores legítimos vulnerables para obtener privilegios suficientes para desactivar la protección de una herramienta EDR."
Los hallazgos surgen en un momento en que el malware diseñado para desactivar sistemas EDR está en aumento. Por ejemplo, AuKill, una herramienta para desactivar EDR descubierta por Sophos X-Ops el año pasado y que se vende comercialmente en la Dark Web, ha visto un aumento en su uso en el último año. Además, Terminator, que utiliza un mecanismo similar de "traer tu propio controlador" (BYOVD) como EDRKillShifter, ha ganado popularidad debido a su capacidad de ofrecer una solución "todo en uno" para evitar EDR, desactivando los motores EDR de 24 proveedores diferentes.
Protección contra ataques BYOVD
El método de ataque BYOVD no es nuevo, y desde el año pasado, Microsoft ha comenzado a descertificar controladores firmados que se sabe han sido abusados en el pasado. Pero eso no resuelve completamente el problema.
"Instalar una versión antigua y defectuosa de un controlador es una técnica de hacking bien conocida y usada desde hace mucho tiempo", escribió Roger Grimes, evangelista de defensa basada en datos en KnowBe4, en una declaración por correo electrónico. "Yo mismo la usé con gran éxito durante los 20 años que hice pruebas de penetración. Y es muy difícil defenderse contra ella."
Explicó que hacer un seguimiento de las versiones antiguas de software y luego evitar que se instalen es un desafío, pero la situación se complica aún más cuando muchos grupos de administradores/usuarios intencionalmente desean mantener instalado software antiguo por problemas de compatibilidad y operatividad. Por lo tanto, incluso un instalador de aplicaciones con esa funcionalidad de seguimiento tendría dificultades para mantenerse al tanto de un panorama en constante cambio.
"Rastrear qué versiones de software y controladores son antiguas y no deberían instalarse rápidamente se convertiría en otro problema de seguimiento de base de datos de firmas antivirus, donde los proveedores siempre estarían tratando de ponerse al día con lo último", señaló.
Con eso en mente, Sophos X-Ops recomienda que los administradores implementen una higiene sólida en los roles de seguridad de Windows para evitar este tipo de escenarios.
"Este ataque solo es posible si el atacante escala los privilegios que controla o si puede obtener derechos de administrador. La separación entre los privilegios de usuario y administrador puede ayudar a prevenir que los atacantes carguen controladores fácilmente", según el informe.
Para muchas personas, compartir el día a día en las redes sociales se ha convertido en una actividad que forma parte de su vida cotidiana, y eso incluye la vida laboral.
Si utilizas Windows y sientes que tu computadora está lenta, sigue estos 4 consejos para optimizar su funcionamiento sin la necesidad de herramientas de terceros, y de seguro responderá como antes.
Diversos estudios han demostrado la efectividad que tiene el uso del doble factor de autenticación para proteger las cuentas. En 2019 Google realizó un estudio que aseguraba que la autenticación en dos pasos es la solución más efectiva para prevenir el secuestro de cuentas, y en 2020 Microsoft aseguró que el 99% de las cuentas vulneradas no tienen activada la autenticación en dos pasos.
La aplicación Getcontact recientemente se ha viralizado porque permite a los usuarios conocer de qué forma sus contactos los tienen guardados, identificar a casi todas las personas que llaman por nombre e imagen, colocar en una lista negra o bloquear las llamadas no deseadas y buscar contactos por nombre o número. Pero todos estos beneficios vienen a cambio de brindar información personal.
Según la investigación, la mitad de los Directores de Seguridad de la Información (CISOs) adoptarán el diseño centrado en el ser humano para reducir la fricción operativa en ciberseguridad; las grandes empresas se centrarán en implementar programas de confianza cero; y la mitad de los líderes de ciberseguridad habrán intentado sin éxito utilizar la cuantificación del riesgo cibernético para impulsar la toma de decisiones empresariales.
Te compartimos una guía para proteger las PyMEs ante las amenazas del crimen cibernético: