¡Su navegador no admite JavaScript!

Página archivada: 2020 consejos de seguridad de la información

Hola. Has llegado a una página archivada. El contenido y los enlaces de esta página ya no se actualizan. ¿Busca un servicio? Por favor, regrese a nuestra página de inicio.

2020 de septiembre - Malware, dominios maliciosos y más: cómo los ciberdelincuentes atacan a las organizaciones SLTT

Los ciberdelincuentes continúan atacando a las organizaciones gubernamentales estatales, locales, tribales y territoriales (SLTT) de EE. UU. a un ritmo alarmante. Los atacantes a menudo se dirigen a las organizaciones SLTT porque saben que sus equipos de seguridad necesitan ejecutar redes complejas, así como lidiar con numerosos sistemas y servicios de terceros. Muchos equipos de ciberseguridad de SLTT también están luchando con presupuestos de seguridad reducidos y una escasez bien documentada de profesionales capacitados en ciberseguridad y redes para cubrir los puestos vacantes. La COVID-19y el consiguiente aumento del trabajo a distancia por parte de los empleados públicos y de las solicitudes de accesibilidad en línea de recursos gubernamentales por parte de los ciudadanos no han hecho más que agravar sus retos de seguridad.

Manual de estrategias SLTT de los ciberdelincuentes

Uno de los vectores de ataque favoritos de los ciberdelincuentes contra las organizaciones SLTT es el malware. El malware es software malicioso diseñado para realizar acciones maliciosas en un dispositivo. Se puede introducir en un sistema de varias formas, como correos electrónicos o sitios web maliciosos. Los distintos tipos de malware tienen distintas capacidades en función de su finalidad, como revelar información confidencial, alterar datos en un sistema, proporcionar acceso remoto a un sistema, emitir comandos a un sistema o destruir archivos o sistemas.
 

Si bien el malware viene en muchos sabores, el tipo más prolífico utilizado contra las organizaciones SLTT es el ransomware. El ransomware es un tipo de malware que bloquea el acceso a un sistema, dispositivo o archivo hasta que se pague un rescate. El ransomware DOE esto cifrando archivos en el endpoint, amenazando con borrar archivos o bloqueando el acceso al sistema. Puede ser especialmente perjudicial cuando los ataques de ransomware afectan a hospitales, centros de llamadas de emergencia y otras infraestructuras críticas. El Informe de Investigaciones de Violación de Datos (DBIR) de Verizon de 2020 descubrió que el ransomware afecta de manera desproporcionada al sector público (más del 60% de los incidentes de malware frente al 27% del malware en todos los sectores). Además, los incidentes observados por el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) mostraron un aumento del 153% en los ataques de ransomware SLTT de enero de 2018 a diciembre de 2019. En 20192000, hubo más de 100 ataques de ransomware divulgados públicamente contra organizaciones SLTT, incluido un ataque a los sistemas de IT de la ciudad de Baltimore que bloqueó miles de computadoras e interrumpió casi todos los servicios de la ciudad. Se estima que este ataque le costó a la ciudad hasta18 millones de dólares. Otros tipos comunes de malware que afectan a las organizaciones SLTT incluyen:

  • Los troyanos son malware que parece ser una aplicación o software legítimo que se puede instalar. Los troyanos pueden proporcionar una puerta trasera a un atacante y, posteriormente, acceso completo al dispositivo, lo que permite al atacante robar información bancaria y confidencial, o descargar malware adicional. Los hallazgos del 2020 Verizon DBIR muestran que las variantes de troyanos estuvieron involucradas en más del 50% de los incidentes de malware en el sector público.
  • Los descargadores o droppers son malware que, además de sus propias acciones maliciosas, permiten que otro malware, a menudo más peligroso, se infiltre en el sistema infectado. Los datos recopilados por el DBIR de 2020 Verizon muestran que casi el 25% de los incidentes del sector público involucraron un descargador o dropper.
  • El spyware es un malware que registra las pulsaciones de teclas, escucha a través de los micrófonos de los ordenadores, accede a las cámaras web o hace capturas de pantalla y envía la información a un actor malintencionado. Este tipo de malware puede dar a los actores acceso a nombres de usuario, contraseñas, cualquier otra información confidencial ingresada con el teclado o visible en el monitor, y potencialmente información visible a través de la cámara web. Los keyloggers, que registran principalmente las pulsaciones de teclas, son el tipo más común de spyware y ZeuS, el keylogger más famoso, ha estado en la lista de los 10 principales malware de MS-ISAC durante varios años.
  • El fraude de clics es un malware que genera clics automáticos falsos en sitios web cargados de anuncios. Estos anuncios generan ingresos cuando se hace clic en ellos. Cuantos más clics, más ingresos se generan. Kovter, una de las versiones más prolíficas del fraude de clics, ha estado en la lista de los 10 principales programas maliciosos de MS-ISAC durante los últimos años.

Protección de su organización contra el malware

Lo más habitual es que el malware llegue a las organizaciones SLTT a través de malspam, correos electrónicos no solicitados que dirigen a los usuarios a sitios web maliciosos o engañan a los usuarios para que descarguen o abran malware, o publicidad maliciosa, malware introducido a través de anuncios maliciosos. El denominador común entre estos vectores y los distintos tipos de malware que pueden introducir en los sistemas IT de su organización es que casi siempre involucran a usuarios o al software malintencionado que descargan involuntariamente conectándose a dominios web maliciosos.

Para ayudar a las organizaciones de SLTT a protegerse contra estos tipos comunes de ciberataques, el Centro de Seguridad de Internet (CIS) se asocia a través del MS-ISAC y el Centro de Análisis e Intercambio de Información de Infraestructura Electoral (EI-ISAC) con la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. (DHS) y Akamai para ofrecer su nuevo servicio de Bloqueo e Informes de Dominios Malintencionados (MDBR) sin costo para los miembros del gobierno SLTT de EE. UU. de los ISAC de MS y EI. El servicio permite a los equipos de seguridad de SLTT agregar rápidamente una capa adicional de protección de ciberseguridad contra sus sistemas que se conectan a dominios web maliciosos y mejorar sus defensas de red existentes.

Para las organizaciones que no son elegibles para unirse al MS-ISAC o EI-ISAC, se puede obtener una protección similar a través de Quad9. Quad9 es una plataforma DNS anycast, recursiva y sin costo que brinda a los usuarios finales protecciones de seguridad sólidas, alto rendimiento y privacidad. Quad9 fue desarrollado por la Global Cyber Alliance (GCA), una organización internacional sin fines de lucro fundada por una asociación de organizaciones policiales y de investigación enfocadas en combatir el riesgo cibernético sistémico de manera real y medible (CIS es una organización fundadora de GCA).

Acerca del bloqueo y la generación de informes de dominios malintencionados (MDBR)

El servicio MDBR solo está disponible para los miembros de la EM y la EI-ISAC. Para aquellos que no son elegibles para la membresía, consulte la sección a continuación en Quad9 para obtener un servicio similar disponible para el público en general.
MDBR bloquea de forma proactiva el tráfico de red de una organización a dominios web dañinos conocidos, lo que ayuda a proteger los sistemas IT contra las amenazas de ciberseguridad y a limitar las infecciones relacionadas con malware, ransomware, phishing y otras amenazas cibernéticas conocidas. Esta capacidad puede bloquear la gran mayoría de las infecciones de ransomware con solo evitar el alcance inicial a un dominio de entrega de ransomware. Solo en las primeras cinco semanas de servicio, el servicio MDBR bloqueó 10 millones de solicitudes maliciosas de más de 300 entidades SLTT.

Una vez que una organización dirige sus solicitudes de sistema de nombres de dominio (DNS) a las direcciones IP del servidor DNS de Akamai, cada búsqueda de DNS se comparará con una lista de dominios maliciosos conocidos o sospechosos. Los intentos de acceder a dominios maliciosos conocidos, como los asociados con malware, phishing o ransomware, se bloquean y registran.
Akamai proporciona todos los datos registrados al Centro de Operaciones de Seguridad (SOC) de MS y EI-ISAC, incluidas las solicitudes de DNS correctas y bloqueadas. El SOC utiliza estos datos para realizar análisis e informes detallados para el mejoramiento de la comunidad SLTT, así como para informar y servicios de inteligencia regulares específicos de la organización. Si es necesario, se proporciona asistencia correctiva para cada organización de SLTT que implementa el servicio.

Cualquier entidad gubernamental SLTT de EE. UU. que sea miembro de MS- o EI-ISAC puede inscribirse en MDBR. Pueden aprovechar esta capa adicional de protección de ciberseguridad sin ningún costo, cortesía del apoyo financiero proporcionado por CISA.

Acerca de Quad9

Quad9 bloquea dominios maliciosos conocidos, lo que evita que los ordenadores y dispositivos IoT de su organización se conecten a sitios de malware o phishing. Cada vez que un usuario de Quad9 hace clic en un enlace a un sitio web o escribe una dirección en su navegador web, Quad9 compara el sitio con una lista de dominios compilada de más de 18 socios de inteligencia de amenazas diferentes. Cada socio de inteligencia de amenazas proporciona una lista de dominios maliciosos que se basan en factores heurísticos que examinan factores como el descubrimiento de malware escaneado, los comportamientos pasados de IDS de red, el reconocimiento visual de objetos, el reconocimiento óptico de caracteres (OCR), la estructura y la vinculación a otros sitios, así como informes individuales de comportamiento sospechoso o malicioso. En función de los resultados, Quad9 resuelve o deniega el intento de búsqueda, evitando las conexiones a sitios maliciosos cuando hay una coincidencia. Quad9 enruta las consultas DNS de su organización a través de una red segura de servidores en todo el mundo.

La información proporcionada en los boletines mensuales de consejos de seguridad está destinada a aumentar la conciencia de seguridad de los usuarios finales de una organización y ayudarlos a comportarse de una manera más segura dentro de su entorno de trabajo. Si bien algunos de los consejos pueden estar relacionados con el mantenimiento de una computadora en el hogar, el aumento de la conciencia está destinado a ayudar a mejorar la postura general de seguridad de la información de la organización.

Información sobre derechos de autor

Estos consejos son traídos a usted en el Commonwealth of Virginia por la Agencia de Tecnologías de la Información de Virginia en coordinación con:

Logotipo de MS-ISAC

http://www.us-cert.gov/

Anterior < |  > siguiente