Prosegur, última víctima de un ciberataque, se ve obligada a cerrar sus servicios.

elconfidencial.com
A.M.
27/11/2019.

La web ya vuelve a estar en activo pero todos sus servicios han estado suspendidos y ellos mismos reconocen en un comunicado que cortan comunicaciones por miedo "a un contagio".

Prosegur ha anunciado hoy a través de la red social twitter que ha sido víctima de un ciberataque. Ellos lo han calificado como “incidente de seguridad informática”. A raíz de esta se han cortado sus servicios y se ha restringido la comunicación con los clientes para “evitar cualquier posibilidad de propagación”.

La empresa de seguridad ha sido afectada por un ransomware (secuestro de equipos informáticos) que ha provocado que sus webs caigan tanto en España como en el resto de países en los operan. En este momento estas plataformas ya se han restablecido, pero aún no hay una declaración oficial que digan que ya han superado el ataque.

Prosegur solo ha explicado esto a través de un breve comunicado en la red social tanto en inglés como en español. Además este se produce casi tres horas después de que la compañía haya detectado los incidentes. Para hacer frente a esto ha indicado que está analizando la incidencia y “estableciendo las medidas necesarias” para restaurar todo sus servicios.

Este es el último de un serie de ataques contra empresas e instituciones. Ya ocurrió el pasado miércoles con el sistema de salud de Castilla y León (Sacyl). Este tenía como objetivo detener la actividad de los hospitales públicos. Por suerte solo logró afectar a tres terminales y no hubo consecuencias graves.

Empresas como Everis y el grupo Prisa también han sido afectadas por estos ataques que paralizaron por completo su actividad.

El Instituto Nacional de Ciberseguridad (Incibe) está desde entonces investigando estos incidentes para ver las causas y las posibles soluciones ante esta nueva ola de ataques realizados por Hackers.

Gracias Manu69, esta noticia ya se había subido previamente al foro en "Ciberseguridad",
en breve plazo procederemos a eliminarla para no tenerla duplicada en el foro.
Saludos.

computing.es
28/11/2019.

¿Cómo atacan a sus víctimas las familias de ransomware?

El informe de Sophos recoge las herramientas y técnicas utilizadas por las 11 familias de ransomware principales, entre las que se incluye WannaCry, SamSam RobbinHood, Ryuk y MegaCortex, entre otros.

Sophos ha publicado el informe How ransomware attacks que explica cómo actúan los diferentes ataques de ransonware y qué efectos tienen en sus víctimas. De esta manera, el estudio presenta un detallado análisis de 11 de las más frecuentes y persistentes familias de ransomware: WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix y Sodinokibi.

Algunas de las herramientas y técnicas recogidas en el informe son:

Principales vías de distribución de las familias de ransomware más importantes. El ransomware se distribuye normalmente de tres maneras: como cryptoworm, replicándose rápidamente en otros ordenadores para obtener un impacto mayor (por ejemplo, WannaCry), mediante ataques ransomware as a Service (RaaS), vendidos en la dark web como un kit distribuible (Sodinokibi, por ejemplo), o mediante un ataque automatizado activo llevado a cabo por los atacantes, donde despliegan manualmente el ransomware tras una análisis automatizado de las redes, en busca de sistemas con protección débil.

Ransomware con código cifrado y firmado. Algunos ataques de ransomware utilizan certificados digitales legítimos, comprados o robados, para intentar convencer a los sistemas de seguridad de que el código es fiable y no necesita ser analizado.

Aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.

Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en paralelo.

Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta generalmente en uno o más enpoints comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.

Cifrado y cambio de nombre de archivos. Existen diferentes métodos para el cifrado de archivos, incluida la simple sobreescritura del documento, pero la mayoría van acompañados también del borrado de la copia de seguridad o del archivo original para dificultar el proceso de recuperación.

Cómo protegerte.
  - Comprobar que se dispone de un inventario completo de todos los dispositivos conectados a la red y que, cualquier software de seguridad que utilicen está actualizado.
  - Instalar siempre las últimas actualizaciones de seguridad, tan pronto como sea posible, en todos los dispositivos de la red.
  - Verificar que todos los ordenadores cuentan con parches frente al exploit EternalBlue, usado por WannaCry.
  - Mantener copias de seguridad regulares de los datos más importantes y actuales en un dispositivo de almacenamiento sin conexión.
  - Los administradores deben habilitar la autenticación multifactor en todos los sistemas de gestión que lo permiten, para prevenir que los ciberatacantes desactiven los productos de seguridad durante un ataque.
   - No existe una solución milagrosa para la seguridad, pero un modelo de seguridad por capas es la mejor opción para todo tipo de empresas.

RafaVs escribió:
La web ya vuelve a estar en activo pero todos sus servicios han estado suspendidos y ellos mismos reconocen en un comunicado que cortan comunicaciones por miedo "a un contagio"..

Pues muy en activo no está todo.
No hay manera de entrar a ver mis nóminas en el portal del empleado de Prosegur.