Infostealers: ¡Lo que debes saber para proteger tu negocio de estas amenazas!

10 Marzo 2022
Informativo

 

El escenario actual nos ha llevado a normalizar una condición de trabajo: enfrentarnos diariamente contra múltiples amenazas cibernéticas. Al igual que años anteriores, 2021 estuvo marcado por noticias de filtraciones de credenciales de grandes organizaciones como Facebook, LinkedIn, Twitter, el Registro Nacional de las Personas de Argentina, el Instituto Nacional Electoral de México, Software electoral de Israel, entre muchos otros, como también de un millar de personas individualizadas quienes dejaron en evidencia la falta de conciencia digital en el manejo de sus credenciales.

En la actualidad, las organizaciones se ven en la necesidad de aplicar controles de seguridad contra múltiples campañas maliciosas que buscan aprovechar cualquier brecha de seguridad existente en las redes. Es por ello que cobra importancia contar con el conocimiento y herramientas que nos puedan permitir disminuir estas brechas de seguridad y aumentar nuestras capas de protección frente a estas amenazas.

Es importante recordar que el usuario final suele ser el eslabón más débil de la cadena haciéndolo difícil de administrar por lo que es de suma importancia extender este entendimiento de ciberseguridad a todo aquel que utilice redes organizacionales ya que la mayoría de credenciales filtradas o comercializadas en mercado negro corresponden a vulneraciones apuntadas directamente al usuario.

 

Uno de los casos más connotados de robo y filtración de información, ocurrió el 2 de febrero 2021, donde se registró el mayor leak de la historia que fue bautizado como PWCOMB21.

PWCOMB21 (PassWord Compilation Of Many Breaches Of 2021) es la mayor compilación de filtraciones de credenciales de todos los tiempos, con más de 3.280 millones de registros obtenidos de múltiples filtraciones de diferentes empresas y organizaciones que sucedieron a lo largo de los años, concentradas en solo un archivo organizado por correo electrónico, nombre de usuario y contraseña. 

La filtración no solo expone credenciales actuales o pasadas, sino que también brinda información sobre los elementos y patrones clave de las contraseñas junto a algunos hábitos de reutilización; es un banco de información sin precedentes. En muchos casos, existen hasta 30 contraseñas vinculadas a un único correo electrónico, dejando expuestos a aquellos usuarios con hábitos de reutilizar contraseñas.


Resumen de PassWord Compilation Of Many Breaches Of 2021

 

Del mismo modo, es relevante destacar que se encontraron más de 5.800 credenciales asociadas a sitios gubernamentales chilenos: (5.843)


Resumen de credenciales filtradas por país en PWCOM2021

La respuesta es clara: malware infostealer y variantes de ransomware que han adoptado la estrategia de robo de datos y extorsión.

Infostealers, es el nombre genérico de programas informáticos maliciosos que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre, credenciales de acceso a sitios web, contraseñas, números de tarjetas bancarias o documentos con información clasificada. Asimismo, destacamos que gran parte de las variantes de este tipo de malware se comercializa por mercados negros siguiendo el modelo de Malware-as-a-Service.

En conclusión, su intención principalmente es lograr obtener todo lo que pueda utilizar para cumplir con las principales motivaciones de este tipo de campañas: 

  • Recompensa Económica
  • Espionaje
  • Ventaja corporativa o política

Uno de los patrones comunes es la utilización de mercados negros para comercializar este tipo de datos, aludiendo a la reutilización de credenciales para apoyar otras campañas ofensivas contra las mismas organizaciones, o simplemente, ofreciendo medios digitales para la adquisición de bienes a través de carding (venta de tarjetas bancarias o tarjetas de comercios prepagadas).

 


Venta de credenciales de red para India Bank en foro underground

 


Venta de dataleaks de bancos de Colombia en foro underground

 

 


Foro Underground con venta de tarjetas de credito a nivel mundial

 

"En 2021, el robo de credenciales fue la principal causa raíz de los incidentes de ciberseguridad"

 

Al mismo tiempo, debido a que en la mayoría de los casos se puede identificar los datos personales de la víctima, es que esta actividad resulta tan rentable, puesto que:"En 2021, el robo de credenciales fue la principal causa raíz de los incidentes de ciberseguridad"

Una filtración no solo expone credenciales actuales o pasadas, sino que también brinda información sobre los elementos y patrones clave de las contraseñas junto a algunos hábitos de reutilización; es un banco de información sin precedentes que puede dejar expuestos a aquellos usuarios con malos hábitos respecto a la “reutilización de contraseñas”.

Según estadísticas recopiladas en distintas empresas nacionales, el 84% de las personas admite que reutiliza contraseñas en varias de sus cuentas, lo que dispara los indicadores de riesgo para las empresas.

Para poder apalancar en gran medida este tipo de amenazas, recomendamos proteger las identidades con múltiples factores de autenticación, como también instaurar el hábito de no almacenar credenciales en los navegadores de internet, sino que en su reemplazo se recomienda utilizar gestores de credenciales, tales como Keepass. Es imperante adoptar los nuevos enfoques de la ciberseguridad.

 

La autenticación sólida es la primera línea de defensa en la batalla para proteger los recursos de la red, los procesos que respaldan este requisito se conocen como administración de identidad y acceso (IAM).

Dentro de IAM, las tecnologías de autenticación aseguran que sólo los sujetos válidos (usuarios o dispositivos) puedan operar una cuenta. Pero la autenticación no es un proceso único; existen muchos métodos y mecanismos diferentes, algunos de los cuales se pueden combinar para formar productos más efectivos. Un sistema de administración de identidad y acceso (IAM) generalmente se describe en términos de cuatro procesos principales:

  • Identificación: creación de una cuenta o ID que represente de manera única al usuario, dispositivo o proceso en la red.
  • Autenticación: probar que un sujeto es quién o qué dice ser cuando intenta acceder al recurso.
  • Autorización: determinar qué derechos deben tener los sujetos sobre cada recurso y hacer cumplir esos derechos.
  • Accounting (Registros): seguimiento del uso autorizado de un recurso o uso de derechos por parte de un sujeto y alertas cuando se detecta o intenta un uso no autorizado. 

Ya no existe una red fija, todo se migra aceleradamente a las nubes. Por lo tanto, ¿cómo podemos proteger los activos que no están en nuestra red física?, es esta interrogante la que marcó la pauta en 2021, redes cada vez más descentralizadas donde los controles de autenticación, fueron la prioridad para la seguridad, entendiendo que cada usuario inicia sesión en diferentes plataformas o aplicaciones.

Aquí se puede visualizar una situación poco favorable para muchas empresas que no cuentan con políticas y buenas prácticas de seguridad. Muchos de estos portales expuestos a Internet, sufren constantes ataques que muchas veces los administradores desconocen.

Debido al ya mencionado Malware-as-a-Service Infostealer, capaces de obtener distintas credenciales directamente desde terminales comprometidos, ya no basta pensar en contraseñas complejas, ni aquellas con más de 14 caracteres. Todos los años vemos nuevas estadísticas que nos demuestran la facilidad con que los actores de amenazas podrían "romper" un sistema de autenticación por credenciales "poco robustas", sin embargo, en la actualidad éstas son extraídas en texto plano directamente de los terminales comprometidos: ¿qué sentido tiene entonces?

 

Resumen malwares evidenciados en LATAM por categoria

 

Destacamos la presencia de distintas variantes de malware infostealer a nivel nacional, junto con el robo de credenciales y el comercio ilegal que suponen en foros de mercado negro en el underground.

En conclusión, ya no basta tan solo en concentrarse con tener una contraseña robusta: las campañas de phishing, la presencia activa de malware infostealers a nivel nacional y la falta de concienciación, son los factores claves a abordar para la protección de identidades. Si no tomamos acciones inmediatas, no habrá método o tecnología que evite un ataque. Por tanto, si conocemos este nuevo escenario, ¿cómo nos debemos proteger?, ¿estamos dispuestos a seguir exponiendo nuestros activos de información? 

Las estrategias actuales se basan en el entendimiento de estas amenazas, implementando metodologías capaces de minimizar las brechas de seguridad existentes con la integración de diversos métodos de autenticación.

 

Un caso reciente que demuestra que tan vulnerables se encuentran los usuarios que no protegen sus equipos corresponde a la identificación de más de 10.000 entidades gubernamentales de todo el mundo de las cuales se disponen credenciales de sus usuarios publicadas en mercados negros.

En el caso específico de Chile se identifican un total de 22 dominios con TLD .cl o gob.cl correspondiente principalmente a ministerios o a servicios de fuerzas de orden público.

Cabe destacar que la información alertada por investigadores de una firma de ciberseguridad corresponde a un registro histórico, por lo que la cantidad de credenciales aún activa puede verse considerablemente reducida.

Por esto, pese a que los equipos sean de uso personal es importante mantener procesos de mantención periódica que permitan erradicar amenazas en caso de no haber sido identificadas oportunamente. Y no asumir el lema “los hacker atacan a las empresas grandes, yo no tengo nada de valor” ya que al contrario, los elementos que entregan mayor valor corresponde a la información personal para realizar  perfilamientos que permitan generar intrusiones de mayor elaboración como por ejemplo, el fraude bancario o la suplantación de identidad digital pudiendo incluso servir de acceso inicial para redes organizacionales.

 

Autenticación se puede definir como la capacidad de identificar y demostrar de forma exclusiva que un usuario es realmente quién asegura ser. Para poder lograr esta autenticación existen diferentes métodos que se pueden usar tanto de forma individual (“autenticación simple”) o combinando dos o más métodos diferentes (múltiple factor de autenticación). Con el MFA, si un factor se ve comprometido, un atacante todavía tiene que romper al menos una barrera más antes de poder acceder a la cuenta del objetivo.  

Es importante utilizar siempre la mayor cantidad de elementos disponibles que permitan entregar seguridad adicional a nuestros accesos

 

La autenticación de múltiples factores (MFA) utiliza diferentes tecnologías para autenticar la identidad de un usuario. En cambio, la autenticación de un solo factor utiliza una sola tecnología para probar la autenticidad del usuario. Con el MFA, los usuarios deben combinar tecnologías de verificación de al menos dos grupos o factores de autenticación diferentes. Estos factores se dividen en tres categorías: algo que conoces, algo que tienes y algo que eres

 

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA, por sus siglas en inglés) agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas" que podrían exponer la infraestructura crítica, así como las entidades gubernamentales y del sector privado, a ataques cibernéticos devastadores. De esta forma, la lista mantiene 3 entradas principales:

  1. Uso de software deprecado o al final de su vida útil
  2. Uso de contraseñas y credenciales conocidas/por defecto/predeterminadas
  3. Uso de autenticación de un solo factor para el acceso remoto o administrativo a los sistemas

Del mismo modo, a pesar de los años de esfuerzos promocionales para lograr crear hábitos respecto a la implementación de mecanismos de autenticación múltiples, Microsoft dijo que solo el 22% de sus clientes empresariales en Azure Active Directory (AD) han adoptado una solución multifactorial para proteger sus cuentas.

MFA es la solución más simple que se puede ofrecer a los usuarios para bloquear ataques de fuerza bruta e intentos de phishing por correo electrónico, los cuales sabemos que se han incrementado a números récord el año pasado. 

“Desde enero de 2021 hasta diciembre de 2021, bloqueamos más de 25,6 mil millones de ataques de autenticación de fuerza bruta de Azure AD e interceptamos 35,7 mil millones de correos electrónicos de phishing”, dijo Microsoft.

Referencias:

 

Para las organizaciones que buscan mejorar su postura de seguridad y protegerse contra amenazas más frecuentes y accesibles, una solución de seguridad en capas y autenticación multifactor son fundamentales. Los ciberdelincuentes a menudo apuntarán a aquellas organizaciones más fáciles de piratear. Al requerir una capa adicional de verificación junto con contraseñas seguras y únicas, es menos probable que las organizaciones pequeñas y medianas sufran una infracción al dificultar que un pirata informático ingrese al sistema.

También es aconsejable implementar un enfoque de defensa en profundidad en capas que incluya protección contra malware, parches oportunos, seguridad de DNS, cifrado y copia de seguridad. Sin embargo, quizás el método más eficaz para bloquear el malware sea la educación y la formación. La gran mayoría de las infecciones son causadas por empleados que hacen clic en enlaces incorrectos o tienen malas prácticas de contraseñas que facilitan que los delincuentes entren por la puerta principal, pero la educación ayuda a las personas a detectar intentos y otros métodos de ingeniería social.

Debido a que el ciberdelito siempre está evolucionando, no existe una solución perfecta. Sin embargo, las organizaciones que adoptan un marco de defensa en profundidad y tienen un plan de contingencia para hacer frente a un ataque tienen muchas menos probabilidades de enfrentarse a un ataque costoso y debilitante, especialmente porque los modelos como servicio lo hacen más fácil para los delincuentes entrar en el juego

Diagrama explicativo de Defensa en Profundidad

 

Para esto debemos buscar romper el paradigma del perímetro de seguridad tradicional y priorizar la seguridad de la Identidad (Identity-first Security) transfiriendo al nuevo perímetro un enfoque de defensa en profundidad, con herramientas, procesos, seguimiento y políticas integradas.

 

Es importante que comencemos a rediseñar la forma de abordar la ciberseguridad, los enfoques existentes para las arquitecturas de identidad y seguridad no son suficientes para lograr satisfacer las demandas que se modifican aceleradamente en la actualidad, principalmente impulsadas por la expansión de la superficie de ataque.

Descripcion de Cybersecurity MESH architecture 

 

Gartner en su reciente reporte de tendencias de seguridad y gestión de riesgos considera que CyberSecurity Mesh es una de las principales y más relevantes tendencias tecnológicas, la cual a grandes rasgos considera:

  • Inteligenica y analiticas de Seguridad
  • Seguridad para la identidad distribuida
  • Gestión consolidada de políticas y posturas
  • Panales consolidados e integrados.

La tendencia CyberSecurity Mesh nos propone rediseñar el perímetro con una visión de malla de ciberseguridad basada principalmente en la identidad, combinando tendencias de años anteriores que efectivamente nos ayudaron por separado a resolver problemáticas de accesos y confianza, SASE & Zero Trust respectivamente, que ahora  nos invita a integrar y consolidar bajo una arquitectura de malla de ciberseguridad (CSMA)

Perimetro Cloud- La pandemia distribuyó a los equipos de trabajo de las organizaciones fuera de las oficinas comerciales y desarmó con eso uno de los más antiguos controles de seguridad: el de las defensas perimetrales. Sin este control, la navegación de los usuarios a través de Internet se ha convertido en una actividad mucho más riesgosa, donde aumenta la probabilidad de navegar en un sitio malicioso o en aquellos que fueron atacados y contaminados. Si bien el perímetro tradicional ha sido sostenidamente sobrepasado por ataques de phishing, ataques a la cadena de suministro y otros, su utilidad para detener una miríada de amenazas, y contribuir a la detección de ataques más sofisticados, sigue vigente. Esto obliga a recomponer la estructura de controles de seguridad perimerales de una organización que difícilmente, volverán a ser como antes de la pandemia.

La respuesta de la industria ha situado el nuevo perímetro de la organización en la nube. Las tecnologías SASE, (Secure Access Service Edge) proveen una capa de variados controles de seguridad en la nube, desde la cual los usuarios navegan no sólo a los recursos de la red interna, también, a las nubes públicas dónde la organización tenga recursos o a la misma Internet. Las soluciones SASE han incorporado en esta capa, controles de acceso, detección de tráfico anómalo, identificación de malware, análisis de reputación de sitios, cifrado, detección de fuga de información, control de acceso a las nubes públicas y aislación del browser entre otros, expanden las capacidades de la organización generando nuevos casos de uso, como la navegación protegida que permite a los usuarios tener un perímetro de seguridad local cuando viajan, trabajan desde un café como así también la integración a la red de oficinas remotas, en este punto único y escalable.

  1. Implementar una arquitectura SASE que sea punto de acceso a la navegación, acceso a recursos internos y acceso a la nube pública, que cuente con capacidades de control de seguridad como URL Filtering, detección de malware, detección de tráfico anómalo entre otros.
  2. Implementación de tecnologías de CASB para acceso a la nube SAAS.

 

Zero Trust, es el modelo de ciberseguridad con el que la industria se ha alineado con rapidez. Zero Trust, provee una mirada dónde debemos desconfiar de los accesos aún cuando estos provengan de zonas confiables como la red interna. Zero Trust, nos pide localizar controles lo más cerca posible de los datos y activos a proteger para monitorear, controlar y validar cada acceso dentro de otras cosas. El problema del modelo Zero Trust, es lograr su implementación integral. Al ser una estrategia que considera variados elementos en todo el ambiente de una organización, implica, por un lado, la expansión de controles en mayor escala y nuevas capacidades que no necesariamente se encuentran disponibles dentro de los controles ya existentes. En estricto rigor, casi cualquier control de seguridad aporta un grano de arena al modelo Zero Trust, pero son pocos los que ayudan a implementar de manera amplia y profunda esta filosofía de protección.

La microsegmentación, es uno de los controles que hace una diferencia profunda en una estrategia Zero Trust, pero su implementación requiere algunas capacidades que no todas las tecnologías de control de acceso proveen. Una tecnología de microsegmentación debe proveer la capacidad de identificar las interacciones entre sistemas (tráfico este-oeste). Adicionalmente, debe proveer la capacidad de construir políticas entre sistemas individuales o grupos de sistemas. Dichas políticas, deben mantenerse, aún cuando modifiquemos la localización lógica del activo. Finalmente, debe forzar el cumplimiento de dichas políticas. Para que la microsegmentación tenga el efecto que se busca, debe poder implementarse sin tener que hacer profundos cambios en la red de la organización y debe cubrir además los mundos del datacenter y la nube. La microsegmentación limitará, seriamente, el movimiento lateral de un atacante, su exploración, la propagación de malware y el acceso a sistemas críticos dentro de su cadena de ataque. Igualmente reducirá el abuso interno y limitará el efecto que puede tener el robo de credenciales de un usuario, contribuyendo a la implementación de la estrategia Zero Trust de manera relevante y sobre todo a disminuir el riesgo de la organización.

  1. Desarrollar una estrategia para adoptar el modelo Zero Trust.
  2. Implementar la microsegmentación a nivel de servidores en la nube y en el datacenter.
  3. Implementación de microsegmentación a nivel de Endpoint.

A continuación nuestras recomendaciones y reflexiones, acompañado de una guía de soluciones de acuerdo a las tendencias tecnológicas de seguridad y gestión de riesgos que estaremos enfrentando durante los próximos años.

 

Interacción de elementos en Cybersecurity MESH 

 

Cybersecurity MESH

Rediseñar el perímetro con una visión de malla (identidad) SASE + Zero Trust.

Arquitectura SASE

  • ZTNA
  • CASB accesos SaaS Cloud.

NG SOC

Descentralizar las operaciones y buscar Automatización

  • Automatizacion SOAR
  • Threat Intelligence Platform Management

NG Seguridad para Aplicaciones

Proteger las aplicaciones desde múltiples dimensiones desde su proceso de desarrollo, tiempo de ejecución y publicaciones.

  • WAF +  DDoS
  • WSCC
  • RASP

Gestión de identidades

Gestión universal de usuarios privilegiados Multiplataforma

  • Sistema de control de usuarios privilegiados
  • PAM/IAM

Inteligencia de Amenazas

Proyectar el estado de la ciberseguridad, complementar con operaciones de Ciberinteligencia de Amenazas.

  • Nivel Ciberexposicion
  • Servicios de Ciberinteligencia
  • CSPM (Postura Cloud)

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • De identificar filtraciones es imperante tomar contacto con los usuarios identificados para gestionar la limpieza y eliminación del malware desde su equipo a la brevedad.
  • De identificar filtraciones es imperante formatear el equipo afectado en su totalidad para eradicar la amenaza.
  • Es importante conocer si el usuario afectado corresponde a un proveedor conocido y si cuenta con un equipo organizacional o con equipo propio para que cada uno según corresponda, actúe de acuerdo con sus protocolos de contención de amenazas.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #infostealer #dataleak #leaks #PWCOMB21 #malware #phishing #MFA #2FA #CISA #Microsoft
  • Productos Afectados
  • Producto Versión
    . .


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.