Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Lo que las empresas deben saber sobre los ataques de ransomware

La gerencia miró con ansiedad las imágenes de los sistemas comprometidos en los aeropuertos y en las vallas publicitarias de todo el mundo. Se acercaron a sus gerentes de TI, buscando desesperadamente la seguridad de que su organización estaba a salvo de ataques.

El personal de TI, a su vez, buscaba en la documentación técnica y revisaba el estado de implementación del parche de seguridad de la empresa. La industria de la seguridad respondió con una plétora de nuevos productos y webcasts informativos para capitalizar los temores del ransomware.

Nuestra firma recibió su propia parte de preguntas sobre cómo las organizaciones deberían defender sus redes contra esta nueva amenaza. Nuestras respuestas generalmente involucran problemas básicos de higiene de seguridad, como parches, seguridad de contraseñas, software antivirus, capacitación y monitoreo de empleados. Aprendimos rápidamente que estas no eran las respuestas que los clientes esperaban o apreciaban.

Los usuarios parecían estar buscando esa solución milagrosa de alta tecnología para el problema que venden los proveedores de seguridad en Internet. La suposición que estaban haciendo estos clientes era que el ransomware debe ser patrocinado por el estado o diseñado por un súper pirata informático porque estaba causando mucho daño. Estos departamentos de TI priorizaron la aplicación de parches para las vulnerabilidades de ransomware incluso cuando aún les faltaba el parche de hace una década para MS08-67, la vulnerabilidad explotada por el gusano Conficker y parcheada por Microsoft en 2008.

Estos departamentos de TI no estuvieron solos en su respuesta, ya que todos nos hemos acostumbrado a establecer nuestras prioridades de riesgo de seguridad en función de artículos de noticias y vulnerabilidades que tienen nombres y logotipos llamativos. Este estilo reactivo de gestión de la seguridad de la información no tendrá éxito y, en última instancia, puede conducir a más ataques de ransomware ya que la higiene básica de TI se queda atrás.

El ransomware no ha tenido éxito porque un súper pirata informático ficticio utilizó un ataque recientemente desarrollado. Tiene éxito porque algunas organizaciones cometen errores básicos de gestión de TI, como los siguientes:

No necesita buscar más allá de las noticias para encontrar evidencia de estas fallas de higiene de TI. Muchos de estos ataques de ransomware públicos se pueden investigar utilizando herramientas de inteligencia de código abierto.

El motor de búsqueda de seguridad Shodan.io puede ser todo lo que necesita para hacer una conjetura sobre cómo se desarrollaron estos ataques públicos de ransomware. Shodan.io escanea Internet con regularidad y descubre servicios abiertos, y luego organiza los resultados en una base de datos con capacidad de búsqueda. Puede buscar fácilmente por organización utilizando la consulta integrada de Shodan.io, org: «nombre de la organización». Luego, la consulta se puede refinar aún más para ubicar los servicios vulnerables que generalmente usa el ransomware.

Ataques de ransomware SamSam

Uno de los ataques de ransomware más comunes es SamSam, también conocido como Samas. Se difundió hace unos años y ha vuelto con fuerza en 2018. SamSam funciona contra servidores web que ejecutan versiones vulnerables de servidores de subprogramas Java como Tomcat y JBoss. Utiliza un exploit para obtener acceso a nivel de sistema en un servidor web y luego recuperar las credenciales administrativas disponibles.

El atacante puede usar estas credenciales recolectadas para apuntar al resto de la red de Internet para el cifrado. Estos ataques comienzan con la exploración de posibles objetivos que ejecutan estos servidores vulnerables. Shodan.io ya ha realizado un análisis similar y tendrá los resultados para la investigación incluso si la organización objetivo ha desconectado su red.

Este es un ejemplo de una organización que fue noticia recientemente después de ser atacada con SamSam. Se ejecutó una consulta de Shodan.io con el nombre de la organización y se filtró para los servicios JBoss disponibles. La fuente potencial de la infección apareció de inmediato, ya que se encontró un servidor que ejecutaba una versión antigua de JBoss que es vulnerable a los exploits utilizados por SamSam.

Esta versión de JBoss, la versión 1.1, se lanzó en 2006 y el servidor no se ha actualizado desde la versión inicial, lo que lo convierte en un objetivo fácil para el ransomware.

Resultado de la búsqueda de Shodan JBoss
Resultado de la búsqueda de Shodan.io JBoss

Estos resultados de búsqueda de JBoss son lo suficientemente malos para una organización que ya ha sido atacada por ransomware. Desafortunadamente, la mala higiene de TI es profunda y seguramente habrá otros servidores vulnerables operados por esta organización.

Las búsquedas adicionales de Shodan.io encuentran que los Servicios de escritorio remoto están habilitados y un servidor MySQL está disponible en la misma subred. Estos son los principales objetivos de los piratas informáticos y el ransomware. No se vieron comprometidos en el ataque de JBoss, pero lo estarán si se dejan en Internet.

Muchas organizaciones olvidan que la cuenta de administrador local no bloqueará a los usuarios cuando sean forzados, lo que hace que el protocolo de escritorio remoto sea un vector de ataque atractivo. Algunas organizaciones incluso permiten conexiones públicas a sus servidores de escritorio remotos, por lo que el atacante puede ver el nombre de dominio en uso y cualquier cuenta de usuario que haya iniciado sesión.

servidor de escritorio remoto
Servidor de escritorio remoto disponible públicamente
base de datos expuesta a internet
Base de datos expuesta a Internet

Los ataques de ransomware como SamSam y WannaCry probablemente seguirán siendo noticia en 2018. Su enorme éxito está directamente relacionado con la falta de higiene básica de TI.

Existen herramientas económicas, como Shodan.io, que están disponibles para ayudar a las organizaciones a identificar fácilmente su inventario de acceso a Internet y las posibles vulnerabilidades. Una buena higiene de TI es la forma más rentable de proteger a las organizaciones del ransomware, ya que no requiere productos de seguridad adicionales.

Las organizaciones pueden finalmente comenzar a abordar estos procesos básicos de TI ahora que hay una atención a nivel de directorio sobre los riesgos asociados con los ataques de ransomware. Quizás este sea el lado positivo del ransomware.

También te puede interesar...

Consolide servidores con estas mejoras de rendimiento

La virtualización ayudó a consolidar drásticamente los servidores, ya que las organizaciones pusieron en marcha máquinas virtuales en lugar de comprar hardware adicional. La próxima ola de consolidación provino de los avances en el rendimiento

¿Qué ofrece S / 4HANA Enterprise Management?

SAP S / 4HANA Enterprise Management ofrece una gestión de inventario fácil de usar a través de su componente de cadena de suministro … Los usuarios pueden aprovechar las aplicaciones analíticas, las aplicaciones transaccionales y

Samsung Quick Share admitirá el uso de Windows 10

Con la funcionalidad Quick Share de Samsung próximamente en Windows 10, los procesos comerciales que dependen de transferencias de archivos de ritmo rápido entre dispositivos deberían ser mucho más fáciles para los usuarios de Windows

Qué incluir en un plan de prueba de desempeño

Antes de que las pruebas de rendimiento se puedan realizar de forma eficaz, se debe formular un plan detallado que especifique cómo … Las pruebas de rendimiento se realizarán desde una perspectiva comercial y técnica.

Lecciones del informe de violación de Equifax

Escuche este podcast El podcast Risk & Repeat de esta semana analiza el informe del Comité de Supervisión y Reforma Gubernamental de la Cámara de Representantes de los EE. UU. Sobre la violación de Equifax

Redes privadas 5G para ayudar a expandir IoT

Imagínese una enorme fábrica de papel en la Suecia rural. Está bastante aislado, ubicado en una pequeña ciudad a casi 30 millas de la ciudad más cercana, y se extiende a casi una milla desde

Sobrevivir y prosperar en DevOps en la nube

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. Abril de 2014 Sobrevivir y prosperar en DevOps en la nube La investigación muestra que más empresas están adoptando DevOps, o la combinación de

¿Qué es virtual a físico (V2P)?

¿Qué es virtual a físico (V2P)? De virtual a físico (V2P) implica transferir o trasladar una máquina virtual (VM) a una máquina física. El término hace referencia a la migración de un sistema operativo (SO),

¿Qué es la TI integrada?

La TI integrada es una estrategia para fomentar la innovación de TI que implica vincular a los miembros del personal de tecnología de la información (TI) a las unidades de negocio. Un objetivo importante de

¿Qué es una salida de usuario en SAP?

¿Podría explicar qué es una salida de usuario y por qué se implementa en SAP? Userexits son lugares en el código estándar de SAP que están diseñados para insertar código por parte del cliente. A

Implicaciones en el costo de la nube de las 5 V de big data

Las empresas utilizan cada vez más la nube para el análisis de macrodatos. Estas plataformas proporcionan alternativas escalables que pueden ahorrar dinero en comparación con los sistemas locales, pero solo si se utilizan correctamente. Los

Criterios de la etapa 2 de uso significativo

Los Centros de Servicios de Medicare y Medicaid (CMS) han finalizado las reglas para la etapa 2 de uso significativo. SearchHealthIT tiene la información que los proveedores y hospitales elegibles necesitan para cumplir. Pon a

¿Vale la pena invertir en firewalls de terceros?

Microsoft ha incluido un firewall integrado en el sistema operativo Windows durante mucho tiempo, pero a veces los departamentos de TI quieren expandirse y explorar algunos firewalls de terceros. Hay pocos firewalls de terceros que

Consejos para actualizar Windows 7 a Windows 10

Fuente: sorbetto / Getty Images Editor visual: Diseño online Windows 7 está arraigado en muchas organizaciones, pero con la fecha de finalización de su vida útil, el 14 de enero de 2020, que se avecina,

Configuración de Windows Server 2008 Server Core

Configurar la posinstalación de Server Core Acerca del libro: Este extracto de capítulo sobre cómo configurar y administrar Server Core (descargar PDF) está tomado del libro Procedimientos de Windows Server 2008Este libro ofrece información sobre

Análisis de imágenes, análisis y más

Nos rodeamos de tecnología que puede ayudarnos en nuestra vida diaria. El éxito de los coches autónomos, … Los avances en la investigación clínica y los asistentes digitales personales han demostrado el increíble potencial de

¿Qué es el software de gestión del rendimiento?

¿Qué es el software de gestión del rendimiento? El software de gestión del rendimiento está diseñado para mejorar el rendimiento empresarial al estimular la productividad de los empleados. Funciona para garantizar que los empleados y

IBM busca oferta de servicios con Multicloud Manager

La última iniciativa de múltiples nubes de IBM refuerza la estrategia de la compañía para ayudar a los clientes a construir, ejecutar y administrar cargas de trabajo en múltiples entornos de nube. IBM Multicloud Manager

Medidas de éxito en la venta de aplicaciones de IoT

Muchas ideas para aplicaciones de IoT conducen a pruebas de concepto y proyectos piloto. Algunos de ellos progresan a operaciones comerciales. Esto puede deberse a razones estratégicas o porque ofrecen un retorno de la inversión

¿Cuál debería usar en AWS?

Los equipos de TI tienen varias opciones para ejecutar aplicaciones en contenedores en AWS. Algunas organizaciones optarán por Kubernetes, la opción de facto para la orquestación de contenedores, mientras que otras querrán utilizar el servicio

¿Qué es la seguridad móvil (seguridad inalámbrica)?

¿Qué es la seguridad móvil (seguridad inalámbrica)? La seguridad móvil es la protección de teléfonos inteligentes, tabletas, computadoras portátiles y otros dispositivos informáticos portátiles, y las redes a las que se conectan, de las amenazas

Traiga su propio Citrix Gateway a Citrix Cloud… o no

Hasta hace poco, todo menos los requisitos de autenticación rudimentarios significaban que no podía adoptar Citrix Cloud o que tenía que traer su propio Citrix Gateway (anteriormente NetScaler Gateway) y StoreFront para usar con Citrix

3 claves para la implementación de la IA en la empresa

Las organizaciones están implementando tecnologías impulsadas por inteligencia artificial más rápido que nunca en la actualidad, a veces sin considerar cómo se escalarán estas tecnologías y las implicaciones a largo plazo que tendrán en la

Todo lo que necesita saber sobre seguridad multinube

Artículo Por qué la centralización en una estrategia de seguridad de múltiples nubes es clave Cuando se cambia a una infraestructura de múltiples nubes, hay algunas estrategias a tener en cuenta. Descubra cómo la centralización

Cómo se verá el trabajo en 2035

La naturaleza del trabajo ha experimentado un cambio profundo solo en los últimos seis meses, desde que la pandemia COVID-19 envió por primera vez a un gran número de trabajadores a casa para trabajar de

Deja un comentario