FlagSábado, 18 Agosto 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

ciberatacante

 

Darktrace lanzó su Reporte titulado Discoveries 2018, que presenta 9 hallazgos de amenazas interesantes de varias industrias durante el último año. Desde ataques a kioscos de pago de estacionamiento conectados a Internet y líneas de montaje de un fabricante de alimentos, hasta la filtración de datos de la infraestructura de una compañía de la lista Fortune 500 para criptominería.

El informe detalla los primeros signos sutiles de cada amenaza y cómo Darktrace fue capaz de detectar y, en algunos casos, responder de forma autónoma a los ataques antes de que el daño causara estragos.

Darktrace señala los siguientes casos en 2018:

1. Un casillero conectado a Internet intenta exfiltrar datos - Industria de Medios y entretenimiento

En un parque de diversiones en América del Norte, un atacante atacó a un dispositivo de IoT - un casillero para guardar pertenencias personales - con el fin de acceder a datos confidenciales de los clientes. Una vez infiltrado, el casillero comenzó a mover un gigabyte de datos sin cifrar a través de la red, hacia un sitio externo sospechoso. Las conexiones que podían implicar identificar detalles o credenciales confidenciales, podían ser transmitidas por Internet sin protección alguna, lo que les permitió a los atacantes interceptarlas y usar la información para neutralizar las defensas de las redes de la empresa.

2. Entorno en la nube en Institución de servicios financieros - Industria financiera

Una empresa líder en servicios financieros implementó un entorno en la nube de un proveedor externo con el fin de alojar servidores importantes en dispositivos virtuales. Mientras configuraba la implementación en la nube, por error dejó un servidor importante abierto a Internet, cuando debería haber estado aislado dentro del firewall. Poco después, el servidor expuesto fue atacado por agresores que querían usarlo como una vía para acceder a la nube y, desde allí, ingresar al centro de la red física.

Darktrace identificó la vulnerabilidad antes de que el equipo de seguridad se hubiera dado cuenta de la falla de configuración. Debido a la capacidad de la IA de reaccionar en tiempo real, la organización pudo asegurar el perímetro de la nube antes de que la agresión se convirtiera en un serio ataque de denegación de servicio (DoS) o de que el agresor pudiera acceder a la infraestructura central para exfiltrar datos.

3. Propiedad intelectual de fabricante de medicamentos es atacada con malware - Industria de cuidado de la salud

En una empresa europea de manufactura médica, un asistente administrativo recibió un correo electrónico relacionado con pagos que contenía una factura. Creyendo que el archivo adjunto era auténtico, la empleada descargó un malware de acción rápida que había superado los demás controles de seguridad.

El malware sofisticado estaba específicamente dirigido a atacar la propiedad intelectual de la empresa, que incluía fórmulas médicas altamente confidenciales. Una vez descargado el malware, la computadora de la empleada rápidamente comenzó a establecer conexión con un destino externo sospechoso, al tiempo que intentaba moverse lateralmente hacia otras áreas de la red empresarial.

4. Equipo en la línea de montaje de fabricante de alimentos - Industria de manufactura

Un atacante desconocido atacó varios dispositivos de IoT industrial en la línea de montaje de un fabricante de alimentos, con el fin de poner pie en la infraestructura tecnológica de la empresa. Los dispositivos incluían máquinas embolsadoras, rebanadoras y mezcladoras, que comenzaron a establecer conexión con destinos externos y a movilizarse dentro de la red.

Estos dispositivos no tenían la aprobación del equipo de seguridad para conectarse a la infraestructura informática central. Al correlacionar estos factores en tiempo real, la solución de IA de Darktrace detectó el comportamiento anómalo y determinó que la actividad representaba un riesgo significativo para la integridad tanto de la red corporativa como de la línea de montaje de la empresa.

5. Empleado maneja extensa operación de criptominería - Comercio electrónico

En una compañía de comercio electrónico de la lista Fortune 500, un administrador de sistemas decidió interceptar las computadoras de la empresa y usarlas para su propia ganancia. Durante varios meses, el empleado se apropió de las credenciales de usuario de 11 colegas y de cuentas de servicio con el fin de hacer criptominería de forma subrepticia a través de varias computadoras.

Darktrace identificó más de 140 dispositivos que habían estado utilizando su poder de procesamiento informático para hacer minería de criptomonedas. La capacidad que tiene Darktrace de aprender el “patrón de vida” normal de cada usuario y dispositivo ayudó a la organización no solo a identificar y detener la actividad maliciosa sino, también, a rastrearla hasta llegar a la fuente interna: el administrador de sistemas.

6. Kiosco de pago de estacionamiento conectado a Internet - Industria de transporte

Un centro de transporte en EE.UU. instaló varios kioscos de alta tecnología para pagar el estacionamiento con el fin de ayudar a procesar los pagos y alertar sobre cuestiones de mantenimiento en tiempo real. Uno de los kioscos de pago comenzó a hacer conexiones a sitios web que contenían contenido para adultos. Durante un período de 5 horas, el kiosco continuó haciendo conexiones con los destinos externos sospechosos.

Darktrace responde al reto de asegurar los dispositivos de IoT al brindar visibilidad de todos los que pertenecen al negocio, inclusive los dispositivos maliciosos y los sistemas informáticos no convencionales.

7. Darktrace Antigena previene el cifrado de más de 5.000 documentos - Industria financiera

Un socio de inversión de una empresa de inversiones en medios y tecnología líder en Asia descargó, sin darse cuenta, un archivo de ransomware encubierto en un correo electrónico que parecía ser auténtico. El dispositivo infectado se conectó al sistema de ransomware GrandCrab e, inmediatamente, comenzó a cifrar alrededor de 5,000 documentos internos, los cuales guardaba con una extensión diferente y una nota que exigía el pago de un rescate para descifrarlos.

Apenas el dispositivo descargó el archivo ejecutable, Darktrace identificó la amenaza que estaba en curso: un sofisticado ataque de ransomware de amplio alcance. Darktrace Antigena bloqueó todas las comunicaciones salientes del dispositivo infectado y, de esta manera, detuvo la expansión de la infección y evitó que se perdieran más datos.

8. 68 computadoras infectadas por WannaMine Malware - Industria de tecnología

Un agresor atacó una empresa europea de servicios informáticos con un malware diseñado para establecer fondos de minería de criptomonedas. Al ingresar a la red, el malware infectó 68 computadoras de escritorio y se apropió de su poder de procesamiento para hacer minería de la criptomoneda Monero. Todas las computadoras empezaron a usar el mismo usuario y conjunto de datos de registro para el fondo de minería de Monero, lo que confirmó que la actividad era el resultado de un malware que se había esparcido por la red. Se observó que las 68 computadoras ejecutaban el mismo comando y se conectaban al mismo destino de control diariamente.

Darktrace reconoció al instante este comportamiento como una desviación significativa de sus pares no infectados en la red. Debido a que el malware se estaba esparciendo rápidamente por la red, Darktrace Antigena automáticamente limitó la actividad de todas las computadoras infectadas a su “patrón de vida” normal.

9. Malware desconocido se infiltra en Banco Europeo líder - Industria financiera

Un malware desconocido se apoderó de la infraestructura de un banco multinacional cuando un dispositivo se infectó a través de un archivo adjunto de correo electrónico malicioso. El malware, llamado “Squirtdanger”, ingresó a la infraestructura de un banco multinacional cuando un archivo adjunto infectó un dispositivo por medio de un correo electrónico fraudulento. El malware, había sido identificado por la inteligencia de código abierto hacía apenas algunos días, y no se había creado una regla o firma que ayudara a identificarlo. Simultáneamente, se observaron muchas actividades internas anómalas en el momento en que se produjo la infiltración, como, por ejemplo, miles de intentos fallidos de registro y de uso de credenciales administrativas.

La tecnología de IA de Darktrace no se basa en suposiciones previas de comportamientos maliciosos conocidos, es capaz de identificar amenazas nunca vistas a medida que surgen. La rapidez con la que Darktrace detectó este malware evitó que la infección siguiera esparciéndose por la organización y protegió la integridad de la información altamente sensible que tenía el banco sobre sus clientes.