Descarga ebook> Detección de amenazas basada en el engaño: cambio de poder para los defensores

By | RAN TOUR | No Comments

Descarga el ebook “Detección de amenazas basada en el engaño: cambio de poder para los defensores”

Compartimos este #ebook elaborado por nuestro socio de negocios @Attivo Networks, líder en tecnologías de defensa contra amenazas basadas en engaño (Deception)

Descarga gratuitamente: “Detección de amenazas basada en el engaño: cambio de poder para los defensores” Disponible en : https://t.co/sBswDxkOih . Obten una introducción breve y efectiva a las tecnologías de Deception, una descripción general de los casos de uso que van desde la detección general hasta la creación de una Defensa Activa y arquitecturas referencia para su organización. El prefacio está a cargo de una de las referencias de industria y voces autorizadas en la materia como Lance Spitzner. #CISO #cybersecurity #Deceptiontechnology

 

 

RAN TOUR 2019 – Gracias!

By | RAN TOUR | No Comments

RAN TOUR 2019. Otra exitosa edición! compartimos algunas imágenes

El pasado 7 de noviembre de 2019, realizamos otra edición de RAN TOUR, con una gran asistencia de CISOS y profesionales del ámbito de la ciberseguridad, de más de 100 empresas de Argentina, Chile, Paraguay, Perú y Uruguay, Agradecemos su asistencia a las charlas y el panel de CISOS conformado por Claudio Colace CCISO Bco. Patagonia, Javier Benvenuto CISO Banco de crédito del Perú, Santiago López CISO Pampa Energia y Walter Mondino Ex CISO Grupo Arcor y a nuestro invitado internacional Mr. MoonBeom Park KrCERT and Deputy General Resercher de Corea del Sur.

Gracias a las marcas participantes Cylance, Tenable, ECI, Varonis, McAfee, Centrify y SOTI!

Compartimos algunas imágenes de lo que fue la jornada. Todas las fotos aqui 

+info www.ransecuritytour.com 

 

RAN TOUR 2019 – 07 NOV 2019

By | Sin categoría | No Comments

Preparamos una agenda imperdible para el 7 de Noviembre en Buenos Aires

El próximo 7 de noviembre estaremos llevando a cabo una nueva edición de RAN TOUR! Estamos orgullosos de poder ofrecer RAN TOUR 2019, donde encontraremos conocimiento sobre de ciberdefensa de primer nivel contra atacantes sofisticados, charlas sobre tendencias de cibeseguridad, POCs en vivo, speakers internacionales, panel de CISOS, networking con colegas de la industria y mucho más en un solo lugar.

+ info www.ransecuritytour.com 

AGENDA

RAN TOUR AGENDA COMPLETA

Descarga> 5 razones para priorizar accesos privilegiados

By | Sin categoría | No Comments

5 razones para priorizar la gestión de accesos privilegiados.

Los accesos privilegiados son la puerta de entrada a los activos más valiosos de una organización y es el núcleo de casi todas las violaciones de seguridad importantes. Las organizaciones deben contar con una estrategia para administrar y monitorear accesos privilegiados, así como detectar y responder a las amenazas si desean mitigar el riesgo de los ataques avanzados de hoy.

No hay una única solución disponible en el mercado hoy en día que evite todos los ciberataques avanzados. Pero priorizar lo más importante, el acceso privilegiado, debe estar en el centro de la estrategia de cada organización empresarial. Conoce estas 5 razones de por qué:

DESCARGA > 5 razones para priorizar la gestión de accesos privilegiados by Cyberark

 

Descarga> ¿Por qué la seguridad del acceso privilegiado es la clave para proteger la infraestructura crítica de energía y servicios?

By | Sin categoría | No Comments

SEGURIDAD DE LA RED
¿POR QUÉ LA SEGURIDAD DEL ACCESO PRIVILEGIADO ES LA CLAVE PARA PROTEGER LA INFRAESTRUCTURA CRÍTICA DE ENERGÍA Y SERVICIOS?

La electricidad, el agua y otros tipos de infraestructura de instalaciones presentan una serie de factores de riesgo que posiblemente sean mucho más perjudiciales que la típica violación de la privacidad en un minorista, banco u organización orientada al consumidor. La mala publicidad, los daños a la marca y las sanciones administrativas pueden ser muy costosos, pero rara vez representan una amenaza para la seguridad personal. Los riesgos son mucho mayores si un pirata informático puede hackear una central eléctrica o interrumpir las operaciones en una presa o unidad de control fluvial.

Conoce en este informe por que es critico proteger estas infraestructuras cada vez más expuestas a ataques ciberneticos.

DESCARGA EL INFORME DE CYBERARK> Accesos privilegiados para industria y energía

 

NOTIFICACIÓN EVENTOS DE AMENAZA> Eventos de phishing masivo reportados en Julio 2019

By | Sin categoría | No Comments

header jul 2019

Descripción del evento o vulnerabilidad

Nombre Evento/vulnerabilidad Numero de CVE (si aplica)
Phishing dirigido a teléfonos celulares N/A

En lo que va transcurrido del mes de julio, se han reportado diversos ataques vinculados al phishing como medio para la obtención de datos sensibles de empresas y/o usuarios particulares, y el posterior robo de dinero a los mismos.

Análisis

La campaña mas reciente reportada hace referencia a la suplantación de identidad de una entidad financiera internacional, Scotiabank. Los vectores de amenaza indican que el ataque se encuentra dirigido a teléfonos celulares, de modo que, si ingresamos al dominio web en un ordenador, el sitio (que se presentara como un sitio oficial de la entidad) nos indicara que la web solo funciona por medio de dispositivos móviles.

Si el usuario cae en la trampa, el sitio nos brindara la posibilidad de ingresar al homebanking en modo “empresa” o “persona”. Luego de esto, nos solicitara las credenciales de la cuenta con lo cual una vez ingresadas, el ataque habrá culminado y nuestros datos bancarios se encontraran en la base de datos del atacante.

PHISHING1

La información obtenida respecto a este caso indica que si bien el servidor web se encuentra dado de baja (Actualmente el sitio se encuentra inactivo) este podría ser puesto en funcionamiento en cualquier momento nuevamente, ya que el servidor aún continúa respondiendo. Debido a esto, se deberá tener sumo cuidado con cualquier tipo de correo proveniente de la entidad en la cual se nos indique un link explicito hacia un sitio.

IOC:

scotiasmss[.]com

www[.]scotiasmss[.]com

187[.]17[.]111[.]47

http://www[.]scotiasmss[.]com[/]choose[.]php

https:/www[.]scotiabankchile[.]cl-Scotiabank-Azul-home/?sid=x

Además, se ha identificado a través de los indicadores que el sitio se encuentra alojado en San Pablo, Brasil.

Un segundo caso reportado hace en el mes de julio, ubica a la empresa Movistar siendo víctima de suplantación de identidad a través de correos electrónicos los cuales solicitan al usuario credenciales bancarias con el argumento de otorgar un “reembolso” al usuario.  El correo solicita que este se ingrese a un sitio y se coloquen los datos bancarios para realizar la transacción.

PHISHING2

IOC:

http://www[.]movistarclientes[.]com

Tareas de mitigación

La mejor manera de combatir estos intentos de ataque es capacitar al usuario final para que el mismo logre identificar el fraude, pero, si bien esta es la manera ideal, siempre es necesario tener herramientas que apoyen a la causa ya sea dentro del contexto de una empresa o como usuario final. Existen herramientas de protección dedicadas que poseen la inteligencia suficiente como para identificar este tipo de ataques y web/correos maliciosos.

Conclusiones y recomendaciones

Si bien la detección de sitios falsos puede resultar un tanto difícil para usuarios comunes, se deben tener en cuenta una serie de aristas las cuales, para este y cualquier otro caso, ayudara a detectarlos:

1. Verificación de certificado SSL. Para verificar la existencia de este, debemos revisar en la parte superior del navegador, donde nos aparece el link del sitio donde estamos conectados. Una vez allí debemos verificar que el sitio comience con https://. Si el dominio comenzara con http:// es un indicador de que el sitio no está validado por una entidad certificadora en la cual cualquier navegador confié.

Toda entidad financiera por protocolos y normas deben tener este y más certificados para la comunicación web, es decir, si ingresamos a un dominio que creemos corresponde a un banco o entidad financiera, debe tener este certificado sin falta.

2. Comportamiento extraño. Debemos aprender a detectar los comportamientos o solicitudes incoherentes. ¿A que nos referimos al hablar de esto? Sitios de homebanking, de telefonía, ISP, etc, todos aquellos sitios que posean una instancia de registro o logon son potencialmente el destino de un intento de suplantación de identidad con el objetivo de capturar información de usuarios. Sin embargo, un sitio como los antes mencionados, nunca nos obligarían a utilizar el teléfono móvil como único medio de conexión, o nos solicitarían con urgencia ingresar datos críticos para salvaguardar alguna cuenta asociada ni por medio de un correo electrónico solicitarían datos de tarjetas de crédito o bancarios.

3. Desconfiar como primera medida. Si una página solicita datos sensibles sea de la persona o de la empresa, se debe desconfiar de la misma, y se debe realizar un análisis con la información antes mencionada. También es posible comunicarse con la entidad correspondiente por algún otro medio para consultar sobre la veracidad del sitio y el dominio oficial.

 

Los indicadores de compromiso extraídos:

  • scotiasmss[.]com
  • www[.]scotiasmss[.]com
  • 187[.]17[.]111[.]47
  • http://www[.]scotiasmss[.]com/choose[.]php
  • https:/www[.]scotiabankchile[.]cl-Scotiabank-Azul-home/?sid=x
  • lasherramientasexpress.es
  • herramientasexpress.es
  • lasherramientasexpress.com
  • herramientaexpress.es
  • abrilclimatizaciones.es
  • fitairs.es
  • humblebundles.es
  • martinclima.es
  • greenmangamings.es
  • decormara.es
  • nokeys.es
  • hrkgame.es
  • handtec.es
  • mobilefixtienda.es
  • movileos.com
  • simplygames.es
  • instantgaming.eu
  • instantgaming.co
  • may-movil.com
  • argosshop.es
  • may-movil.es
  • instantgamings.es
  • mrsneaker.es
  • 365games.es
  • toolstops.com
  • navia-center.es
  • mrmemory.co
  • kasmani-electrodomesticos.es
  • offtek.co
  • gamelooting.es
  • kinguins.com
  • gamyvo.com
  • movilines.co
  • xtralifes.com
  • entradasdechampions.com
  • mielectro.co
  • movil-planet.com
  • ssensetienda.com
  • press-starts.com

Fuentes

https://www.eldiariodelapampa.com.ar/index.php/portada/88-grilla/63078-el-banco-de-la-pampa-alerta-por-phishing

https://as.com/meristation/2019/07/05/betech/1562324312_153051.html

https://www.eleconomista.es/tecnologia/noticias/9974300/07/19/Movistar-avisa-de-una-campana-de-phishing-que-se-hace-pasar-la-compania.html

https://www.eleconomistaamerica.cl/telecomunicacion-tecnologia-cl/noticias/9978426/07/19/Chile-es-el-tercer-pais-de-America-Latina-mas-afectado-por-ataques-de-por-phishing-en-2018.html

https://www.theclinic.cl/2019/07/03/chile-aparece-entre-los-10-paises-mas-vulnerables-al-phishing-del-mundo/

https://searchdatacenter.techtarget.com/es/opinion/Las-campanas-de-phishing-evolucionan-en-2019

Para más información sobre como proteger tu información sobre esta y otras amenzas, no dudes en contactarnos: expertos@ransecurity.com

Las Organizaciones distribuidas y el fin de las puertas de enlace web tradicionales. Documento Técnico.

By | Sin categoría | No Comments

IBOSS Mailing2

A medida que las empresas se distribuyen más, necesitan tener visibilidad sobre todos sus usuarios y garantizar la seguridad más allá del perímetro. Confiar en las soluciones heredadas de puertas de enlace web seguras ya no es técnica ni económicamente factible.

Te compartimos esta lectura muy recomendada: Las Organizaciones distribuidas y el fin de las puertas de enlace web tradicionales” en este documento técnico de iboss™ descubrirás cómo las Organizaciones han cambiado de operaciones centralizadas a operaciones distribuidas y qué significa ese cambio desde la perspectiva de la ciberseguridad.

También explica las deficiencias entre soluciones de puerta de enlace web segura tradicionales, híbridas y completamente en la nube. Por último, presenta el enfoque Distributed Gateway Platform de iboss™, que redefine la manera en la que se proporcionan y se administran las puertas de enlace web seguras.

Para más información sobre como proteger tu información en la nube, no dudes en contactarnos: expertos@ransecurity.com

Seguridad en la nube bajo sus términos. Documento.

By | Sin categoría | No Comments

IBOSS Mailing1

La tendencia creciente de usuarios y dispositivos móviles, sumado a los beneficios en cuanto a costos y escalabilidad de la nube han hecho que la migración de la información a estas plataformas esté en aumento, impactando a empresas de todos los sectores.

Sin embargo, existen muchas zonas grises como el hecho de que los datos de la organización podrían estar vulnerables en una nube pública y surgen preguntas como:

  • ¿Qué pasa con las vulnerabilidades de una SSL abierta, por ejemplo, cuando el servidor OpenSSL comparte un hipervisor con otros clientes en la misma nube?
  • ¿Cómo se gestiona la seguridad de las máquinas virtuales que se encuentren funcionando bajo el mismo hipervisor?.
  • ¿Cómo proteger eficazmente la información, dispositivos y usuarios más allá de la red?

Por lo anterior te compartimos el documento: “Seguridad de la nube bajo sus términos” elaborado por Iboss™, este documento muy concreto de 5 páginas, aborda los desafíos de ciberseguridad en la nube y explica cómo funciona la arquitectura de contenedores de nodo. DESCARGAR

Esperamos que sea de utilidad. Ante cualquier consulta sobre este tema, no dudes en contactaron: expertos@ransecurity.com

NOTIFICACION EVENTOS DE AMENAZA> Botnet Brute Force RDP Servers

By | Sin categoría | No Comments

notificacion

Descripción del evento o vulnerabilidad

 

Nombre Evento/vulnerabilidad Numero de CVE (si aplica)
Botnet aprovecha vulnerabilidad RDP CVE-2019-0708

Se descubrió una botnet (GoldBrute) que utiliza la vulnerabilidad de RDP correspondiente al CVE-2019-0708, para realizar ataques de fuerza bruta y ampliar su rango de acción.

Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y controlados por un atacante de forma remota. Generalmente, un hacker o un grupo de ellos crea un botnet usando un malware que infecta a una gran cantidad de máquinas. Los ordenadores son parte del botnet, llamados “bots” o “zombies”. No existe un número mínimo de equipos para crear un botnet.

 

Análisis

La botnet GoldBrute está controlada por un solo servidor de comando y control (104.156.249.231). Los bots están intercambiando datos con él a través de conexiones WebSocket encriptadas AES al puerto 8333.

A un sistema infectado se le indicará primero que descargue el código del bot. La descarga es muy grande (80 MBytes) e incluye el runtime completo de Java. El propio bot se implementa en una clase de Java llamada “GoldBrute”.

El bot comenzará a escanear direcciones IP aleatorias para encontrar más hosts con servidores RDP expuestos para luego devolver estas direcciones IP al servidor de C&C. Después de que el bot reportó 80 nuevas víctimas, el servidor asignará un conjunto de objetivos para la fuerza bruta al bot.

rrr

Tareas de mitigación

Para mitigar esta amenaza se debe de aplicar las recomendaciones explicadas en el siguiente punto, las cuales contienen recomendaciones generales en base al comportamiento obtenido, además de contener indicadores de compromiso mediante los cuales se puede dar mayor precisión a las mejoras.

 

Conclusiones y recomendaciones

  • Para la prevención de esta amenaza se recomienda bloquear las siguientes IP,
  • 248.167.144 (desde donde se descarga el archivo ZIP)
  • 156.249.231:8333 (Servidor C2)
  • Realizar bloqueos por medio de directivas del siguiente hash el cual corresponde a un ejecutable encubierto como .dll: af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e (bitcoin.dll)

By EQUIPO RAN SOC

+info: expertos@ransecurity.com

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764