Open in app

Sign in

Write

Sign in

Ver a versão em português.

Compass — Edición #3

Morphus Cybersecurity
morphusblog-es
7 min readMay 4, 2020

--

GitHub

Recientemente, el equipo de respuesta a incidentes de GitHub, una de las plataformas de hospedaje de código-fuente más populares y utilizada generalmente por desarrolladores, advirtió sobre una campaña de correos electrónicos falsos, en la que los atacantes pretenden robar credenciales de los usuarios de la plataforma y descargar el contenido privado de sus carpetas. Con esto, los atacantes pueden tener acceso a datos bastantes confidenciales.

La campaña engañosa se lleva a cabo a través de un correo electrónico falso, informando de una actividad en la cuenta del usuario no autorizada y, por lo tanto, tratando de convencer a la víctima de hacer clic en el enlace malicioso y restablecer sus credenciales.

Al hacer clic en el enlace proporcionado en el correo electrónico, el usuario es redirigido a una página similar a GitHub, la cual le pedirá las credenciales de acceso y el segundo factor de autenticación.

Existen buenas prácticas en la prevención de acceso no autorizado recomendadas por GitHub. Otra recomendación es reforzar el plan de concientización de los usuarios y principalmente desarrolladores, para evitar ataques de esta naturaleza.

Maze Ransomware

Ransomware es un tipo de software dañino que restringe el acceso al sistema infectado, el cual cobra un rescate en criptomonedas para que el sistema pueda ser restablecido. “Maze”, descubierto el 29 de mayo de 2019 e involucrado en ataques importantes, ha vuelto a ser tendencia en las últimas semanas. Empresas como Allied Universal, Medicines Research LTD (HMR), el proveedor de servicios de TI Cognizant entre otras, fueron algunas de sus víctimas.

Maze ha incluido una nueva táctica a su arsenal. Además de encriptar simplemente los archivos de las víctimas, también realiza lo que se ha denominado “doble extorsión”, donde amenazan con publicar los datos comprometidos si no se cumple la solicitud de rescate. Esta es una nueva tendencia entre los ataques de ransomware.

Siguiendo la misma línea están los ransomwares Sodinokibi (también conocido como REvil), Clop, Nemty, DopplelPaymer, entre otros. Por lo tanto, si una organización tiene backups a partir de los cuales puede restaurar sus datos, aún puede sufrir los impactos causados por la exposición de esa información.

Las víctimas de Maze abarcan múltiples sectores, incluyendo el gobierno, la manufactura, los servicios legales, la atención médica, los seguros y los proveedores de servicios administrados. Además, Brasil es uno de los países con la mayor actuación de ransomware.

Recomendamos hacer backups regularmente de los archivos y mantenerlos aislados de la red, actualizar periódicamente el software antivirus, así como los sistemas operativos y sus softwares.

Evite los e-mails sospechosos, ajustando constantemente los filtros para bloquear los e-mails con indicadores maliciosos conocidos. Considere especificar en la Política de seguridad de la información que todos los e-mails sospechosos deben ser informados al departamento de seguridad o de TI de la empresa. Si es posible, marque los e-mails externos con una etiqueta que indique que proviene de una fuente externa, esto ayudará a los usuarios a detectar e-mails falsificados.

Brinde a los empleados capacitación constante contra ataques de ingeniería social y phishing (contenido malicioso disfrazado). Considere bloquear archivos adjuntos comúnmente asociados con malwares.

Además de eso, el acceso al servicio RDP, un servicio de acceso remoto ampliamente utilizado siempre debe realizarse a través de una capa de seguridad adicional, como una VPN, del inglés Private Network.

Evite exponer este tipo de servicio públicamente, ya que, además del e-mail, este es uno de los vectores de acceso inicial más comúnmente utilizados en la propagación del ransomware.

Sophos XG Firewall

La empresa de ciberseguridad, Sophos, emitió un comunicado informando que corrigió una vulnerabilidad de día cero, lo que significa que aún no había tenido corrección, en su producto firewall XG. Los Firewalls funcionan como “guardianes” que, a través de un conjunto de reglas de seguridad, determinan qué operaciones de transmisión o recepción de datos se pueden realizar.

Según la compañía, la falla ya estaba siendo explotada y el ataque estaba siendo direccionado a los servicios de administración del firewall o al portal del usuario, expuestos a la Internet. Los atacantes intentaban explotar la falla de seguridad para inyectar malware, un tipo de software malicioso, que les permitía extraer datos del firewall.

Estos datos pueden incluir nombres de usuario y contraseña en formato hash (contraseñas cifradas) de administradores de dispositivos locales, administradores del portal y cuentas de usuario configuradas para acceso remoto.

Sophos lanzo una corrección para la vulnerabilidad en cuestión. Para más detalles, acceda al artículo.

Foxit

Foxit es un proveedor líder de software de soluciones PDF que disponibilizó parches para más de 20 vulnerabilidades en sus productos. Los productos afectados son Foxit Reader, Foxit PhantomPDF y U3DBrowser Plugin, versiones 9.7.1.29511 e inferiores para Windows. Algunas de estas vulnerabilidades son de alta gravedad y pueden llevar a la ejecución remota de código por parte de los atacantes.

Si utiliza uno de estos softwares, le recomendamos que aplique las correcciones lo antes posible, a través de las actualizaciones de esos softwares.

Microsoft Office

Microsoft lanzó un parche de emergencia para vulnerabilidades que afectan a las versiones de Microsoft Office, Office 365 ProPlus y Paint 3D. Las 6 vulnerabilidades fueron categorizadas con importancia crítica.

Recomendamos actualizar el software de Office y AutoDesk. La lista de softwares vulnerables de AutoDesk incluye versiones populares de AutoCAD.

iOS

Según la compañía de seguridad ZecOps, fueron encontradas dos vulnerabilidades críticas que estaban siendo explotadas, permitiendo que un atacante realizara la ejecución de códigos remoto en un dispositivo Apple, simplemente enviando un correo electrónico a la víctima.

ZecOps informó que estas dos fallas habían existido durante al menos 8 años, desde el lanzamiento de iOS 6, afectando a varias versiones desde entonces, hasta iOS 13.4.1.

Apple ha anunciado que lanzará una solución para las fallas en una próxima versión de iOS, sin embargo, después de analizar a fondo el informe de ZecOps, concluyó que las fallas identificadas no son suficientes para realizar un bypass, es decir, burlar las protecciones de seguridad del iPhone y iPad, y no identifico ninguna evidencia de cibercriminales que las estén utilizando.

Aplazamiento de LGPD — MP959 X PL1179

Necesitamos entender qué está sucediendo y qué podría suceder con el aplazamiento de la entrada de la Ley General de Protección de Datos Personales (LGPD). Con la edición de la Medida Provisoria 959 del 29/04/2020 y la tramitación del Proyecto de Ley 1.179, ambos de Brasil, que ya ha sido aprobado por el Senado y se encuentra en la Cámara de Diputados para su respectiva votación, estamos delante de dos situaciones.

La primera es que, en MP 959, la entrada de la LGPD comienza a entrar en vigor el 3 de mayo de 2021. Esta Medida Provisional tiene fuerza de ley, no es una ley, pero ya está en vigencia hoy y necesita ser aprobada dentro de los 60 días contados desde su publicación para poder continuar.

La otra situación es que el proyecto de ley 1179 tiene la intención de modificar la entrada de la LGPD en dos etapas: la primera es la entrada de la LGPD el 1 de enero de 2021 y la segunda es la entrada de sanciones por incumplimiento, en agosto 2021.

Además de las diferencias de entrada en vigor de la LGPD, la tramitación del proyecto de ley 1.179 puede ocurrir antes del análisis del MP959 por el Congreso Nacional y aún pueden ocurrir muchos cambios, tanto en el MP959 como en el PL1179.

MP 959

Entrada de la LGPD el 3 de mayo de 2021, toda la ley deberá ser cumplida, inclusive las sanciones por incumplimiento.

PL 1179

Entrada de la LGPD en enero de 2021, a excepción de las sanciones por incumplimiento.

Entrada de sanciones de la LGPD en agosto de 2021.

Además de la clara demostración de desacuerdo y la falta de sinergia entre la presidencia de la república y el congreso nacional, los ciudadanos y las empresas se encuentran cada vez más en una situación de inseguridad jurídica, lo que se suma a este momento tan delicado de la pandemia.

Independientemente de la decisión, las empresas e instituciones deberán continuar el ritmo en el trabajo para la adaptación de la LGPD, crear conciencia sobre la importancia del tema, planificar y reforzar o crear un comité para la gestión de datos personales, entendiendo cómo la empresa se relaciona con la seguridad de la información que es uno de los pilares fundamentales para diagnosticar lo que hay que hacer para adaptarse a la LGPD.

Fontes:

https://www.congressonacional.leg.br/materias/medidas-provisorias/entenda-a-tramitacao-da-medida-provisoria

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm#art62

http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Mpv/mpv959.htm

Cybersecurity
Morphus
Ransomware
Lgpd
Gdpr

--

--

Morphus Cybersecurity
morphusblog-es

Written by Morphus Cybersecurity

11 Followers
Editor for

Há 17 anos, tratando cibersegurança como ciência aplicada.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams