Yaakov's Group | Ciberseguridad

Gartner: pagar después de los ataques de ransomware conlleva grandes riesgos

fondo-azul-hacker

El costo promedio de un pago de ransomware en el primer trimestre de 2020 fue de $ 178,254, según una sesión en la Cumbre de Gestión de Riesgos y Seguridad de Gartner, y eso no incluye el costo del tiempo de inactividad.

Si una empresa mediana decide pagar después de un ataque de ransomware, es probable que no recupere todos sus datos cifrados, según una sesión en la Cumbre de gestión de riesgos y seguridad de Gartner de esta semana.

«Lo que vemos es que alrededor del 4% de los datos no son recuperables», dijo Paul Furtado, director senior y analista de seguridad de MSE en Gartner. Furtado dirigió la sesión «Lucha contra el ransomware en empresas medianas». «Eso significa que sí, pagó y sí, obtuvo una clave de descifrado, pero a estos malos actores no les importa lo que les sucede a sus datos cuando pasan por el cifrado».

También puede haber otros problemas con los datos apuntados por el ransomware: «Piense en una base de datos donde alguien puede tener registros abiertos o un archivo en uso», dijo. «Van a cifrar esos datos, aunque no necesariamente están en reposo y pueden estar en tránsito. Pero lo más probable es que cuando vayas a descifrarlos, estén corruptos».

Gartner identifica a las empresas medianas como empresas con entre 100 y 1.000 empleados y con ingresos entre 50 millones y 1.000 millones de dólares. Furtado señala que la mayoría de las empresas medianas tienen un presupuesto de TI de menos de $ 20 millones, menos de 30 personas en los departamentos de TI y más del 50% de estas empresas «ni siquiera tienen un líder dedicado en ciberseguridad».

Entonces, ¿cómo puede una empresa determinar cómo responder a un ataque de ransomware?

«¡La respuesta es, depende!» Dijo Furtado. «Realmente es exclusivo para usted, su capacidad de recuperación, el impacto en el negocio. Debe decidir si vale la pena pagar para obtener esa clave de descifrado o si debe intentar recuperarse de las copias de seguridad y otras herramientas que pueda tener disponibles».

Señala que las fuerzas del orden recomiendan que las empresas no paguen y que el pago sea el último recurso. Sin embargo, si uno decide pagar, explicó que el costo promedio de un pago de ransomware en el primer trimestre de 2020 fue de $ 178,254, y los costos en el tiempo de inactividad después del ataque de ransomware pueden ser de cinco a 10 veces el monto real del rescate. Esa cifra de $ 178,254 representa un aumento dramático de un pago promedio de $ 5,593 en el tercer trimestre de 2018. Y en cuanto al nivel de amenaza de ransomware, aumentó en un 148% en marzo con respecto al mes anterior.

La sesión también abordó las cargas útiles de ransomware primarias (suplantación de identidad (spear phishing), compromiso de la conexión de escritorio remoto y envoltorios de malware, así como los plazos de implementación (en el 76% de los casos de ransomware, el ransomware se implementó fuera del horario laboral), cuántos datos se venden por y más.

Según Furtado, las empresas medianas pueden protegerse de la amenaza del ransomware actual siguiendo los siguientes pasos:

Realice una mejor capacitación de concientización: ofrezca sesiones más pequeñas a lo largo del tiempo, en lugar de una sola sesión de una hora a la que los empleados asisten una vez cada 12 meses.
Asegúrese de que los filtros de correo no deseado implementen la protección de URL: los filtros de correo no deseado de una organización también deben utilizar el espacio aislado de correo electrónico / archivos adjuntos, protección de punto final que implemente tecnologías sin firma y un mejor filtrado web (incluida la habilitación del antivirus de puerta de enlace, el bloqueo de extensiones de archivo peligrosas, el uso de filtrado HTTPS y bloqueo de puertos innecesarios).
Cerrar puertas abiertas: bloquee los puertos innecesarios en los puntos finales, por ejemplo.
Adhiérase a la regla «3-2-1» para las copias de seguridad: mantenga tres copias de sus datos en dos tipos de medios diferentes, una de ellas fuera del sitio.

8 pasos para la respuesta al ransomware

1. Aislar el sistema
2. Identifique el punto de entrada y luego ciérrelo.
3. Identificar la hora de entrada.
4. Prepara un nuevo dispositivo a partir de la imagen.
5. Escanee las copias de seguridad para asegurarse de que no haya infección.
6. Restaurar archivos a un tiempo antes de la infección.
7. Investigar todos los sistemas en contacto con el recurso afectado.
8. Realizar una revisión posterior al incidente.

Fuente: searchsecurity

Agencia federal comprometida por actor cibernético malicioso

Informe de análisis (AR20-268A)
Agencia federal comprometida por actor cibernético malicioso

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) respondió al reciente ciberataque de un actor de amenazas en la red empresarial de una agencia federal. Al aprovechar las credenciales comprometidas, el actor de la amenaza cibernética implantó malware sofisticado, incluido el malware de varias etapas que eludió la protección antimalware de la agencia afectada, y obtuvo acceso persistente a través de dos proxies Socket Secure (SOCKS) inversos que explotaban las debilidades del firewall de la agencia.

Descripción
CISA se dio cuenta, a través de EINSTEIN, el sistema de detección de intrusos de CISA que monitorea las redes civiles federales, de un potencial compromiso de la red de una agencia federal. En coordinación con la agencia afectada, CISA llevó a cabo un compromiso de respuesta a incidentes, confirmando la actividad maliciosa. La siguiente información se deriva exclusivamente del compromiso de respuesta a incidentes y proporciona las tácticas, técnicas y procedimientos del actor de amenazas, así como indicadores de compromiso que CISA observó como parte del compromiso.

Actividad del actor de amenazas
El actor de la amenaza cibernética tenía credenciales de acceso válidas para cuentas de administrador de dominio y cuentas de Microsoft Office 365 (O365) de varios usuarios, que aprovecharon para el acceso inicial [TA0001] a la red de la agencia (cuentas válidas [T1078]). Primero, el actor de amenazas inició sesión en la cuenta O365 de un usuario desde la dirección de Protocolo de Internet (IP) 91.219.236 [.] 166 y luego buscó páginas en un sitio de SharePoint y descargó un archivo (Datos de repositorios de información: SharePoint [T1213.002]). El actor de la amenaza cibernética se conectó varias veces mediante el Protocolo de control de transmisión (TCP) desde la dirección IP 185.86.151 [.] 223 al servidor de red privada virtual (VPN) de la organización víctima (Exploit Public-Facing Application [T1190]).

Los analistas de CISA no pudieron determinar cómo el actor de amenazas cibernéticas obtuvo inicialmente las credenciales. Es posible que el actor cibernético haya obtenido las credenciales de un servidor VPN de agencia sin parches al explotar una vulnerabilidad conocida — CVE-2019-11510 — en Pulse Secure (Explotación para acceso de credenciales [T1212]). En abril de 2019, Pulse Secure lanzó parches para varias vulnerabilidades críticas, incluida CVE-2019-11510, que permite la recuperación remota y no autenticada de archivos, incluidas las contraseñas. [1] CISA ha observado una amplia explotación de CVE-2019-11510 en todo el gobierno federal. [2]

Después del acceso inicial, el actor de amenazas realizó Discovery [TA0007] iniciando sesión en una cuenta de correo electrónico de O365 de la agencia desde 91.219.236 [.] 166 y viendo y descargando archivos adjuntos de correo electrónico de la mesa de ayuda con «Acceso a la intranet» y «Contraseñas de VPN» en la línea de asunto. , a pesar de tener acceso privilegiado (Colección de correo electrónico [T1114], Credenciales no seguras: Credenciales en archivos [T1552.001]). (Nota: estos correos electrónicos no contenían contraseñas). El actor inició sesión en la misma cuenta de correo electrónico a través del Protocolo de escritorio remoto (RDP) desde la dirección IP 207.220.1 [.] 3 (Servicios remotos externos [T1133]). El actor enumeró la clave de la directiva de grupo y de Active Directory y cambió una clave de registro para la directiva de grupo (manipulación de cuentas [T1098]). Inmediatamente después, el actor de amenazas usó procesos comunes de línea de comandos de Microsoft Windows (conhost, ipconfig, net, query, netstat, ping y whoami, plink.exe) para enumerar el sistema y la red comprometidos (Command and Scripting Interpreter [T1059], System Descubrimiento de configuración de red [T1016]).

El actor de la amenaza cibernética intentó varias veces conectarse al servidor privado virtual (VPS) IP 185.86.151 [.] 223 a través de un cliente de Windows Server Message Block (SMB). Aunque se conectaron y desconectaron varias veces, las conexiones finalmente tuvieron éxito. Durante el mismo período, el actor utilizó un alias de cuenta de identificador seguro que había creado previamente para iniciar sesión en VPS 185.86.151 [.] 223 a través de un recurso compartido SMB. El atacante luego ejecutó plink.exe en un servidor de archivos de la víctima (Command and Scripting Interpreter [T1059]). (plink.exe es una versión de línea de comandos de PuTTy que se utiliza para la administración remota).

El actor de amenazas cibernéticas estableció Persistencia [TA0003] y Comando y Control [TA0011] en la red de la víctima al (1) crear un túnel / proxy SOCKS inverso de Secure Socket Shell (SSH) persistente, (2) ejecutar inetinfo.exe (un único, malware de varias etapas utilizado para eliminar archivos) y (3) configurar un recurso compartido remoto montado localmente en la dirección IP 78.27.70 [.] 237 (Proxy [T1090]). El recurso compartido de archivos montado permitió al actor moverse libremente durante sus operaciones y dejar menos artefactos para el análisis forense. Consulte la sección Malware de actor de amenazas para obtener más información sobre el túnel SSH / proxy SOCKS inverso e inetinfo.exe.

El actor de ciberamenazas creó una cuenta local, que utilizó para la recopilación de datos [TA0009], la filtración [TA0010], la persistencia [TA0003] y el comando y control [TA0011] (Crear cuenta [T1136]). El actor de la ciberamenaza utilizó la cuenta local para:

Busque directorios en un servidor de archivos de la víctima (Datos de la unidad de red compartida [T1039]).
Copie un archivo desde el directorio de inicio de un usuario a su recurso compartido remoto montado localmente (Data Staged [T1074]).
Los analistas de CISA detectaron que el actor de amenazas cibernéticas interactuaba con otros archivos en los directorios de inicio de los usuarios, pero no pudieron confirmar si fueron exfiltrados.
Cree un proxy SMB SOCKS inverso que permitiera la conexión entre un VPS controlado por un actor de amenazas cibernéticas y el servidor de archivos de la organización víctima (consulte la sección Malware del actor de amenazas para obtener más información) (Proxy [T1090]).
Interactúe con el módulo de PowerShell Invoke-TmpDavFS.psm (consulte la sección Malware de actor de amenazas para obtener más información).
Extraiga datos de un directorio de cuentas y un directorio de servidor de archivos usando tsclient (tsclient es un cliente de Microsoft Windows Terminal Services) (datos del sistema local [T1005], datos de la unidad compartida de red [T1039]).
Cree dos archivos Zip comprimidos con varios archivos y directorios (Archivar datos recopilados [T1560]); Es probable que el actor de la amenaza cibernética haya exfiltrado estos archivos Zip, pero esto no se puede confirmar porque el actor enmascaró su actividad.

Malware de actor de amenazas
Túnel SSH persistente / proxy SOCKS inverso
Mientras estaba conectado como «Administrador», el actor de la amenaza cibernética creó dos tareas programadas (consulte la tabla 1) que funcionaron en conjunto para establecer un túnel SSH persistente y un proxy SOCKS inverso. El proxy permitía conexiones entre un servidor remoto controlado por un atacante y uno de los servidores de archivos de la organización víctima (Tarea / Trabajo programado [T1053], Proxy [T1090]). El proxy SOCKS inverso se comunicó a través del puerto 8100 (puerto no estándar [T1571]). Este puerto normalmente está cerrado, pero el malware del atacante lo abrió.

Dropper Malware: inetinfo.exe
El actor de amenazas creó una Tarea programada para ejecutar inetinfo.exe (Tarea programada / Trabajo [T1053]). inetinfo.exe es un malware único de varias etapas que se utiliza para eliminar archivos (figura 2). Eliminó los archivos system.dll y 363691858 y una segunda instancia de inetinfo.exe. El system.dll de la segunda instancia de inetinfo.exe descifró 363691858 como binario de la primera instancia de inetinfo.exe. El binario 363691858 descifrado se inyectó en la segunda instancia de inetinfo.exe para crear y conectarse a un túnel con nombre local. El binario inyectado luego ejecutó el código de shell en la memoria que se conectó a la dirección IP 185.142.236 [.] 198, lo que resultó en la descarga y ejecución de una carga útil.

El actor de la amenaza cibernética pudo superar la protección antimalware de la agencia e inetinfo.exe escapó de la cuarentena. Los analistas de CISA determinaron que el actor de la amenaza cibernética accedió a la clave de licencia del software y la guía de instalación del producto anti-malware y luego visitó un directorio utilizado por el producto para el análisis de archivos temporales. Después de acceder a este directorio, el actor de amenazas cibernéticas pudo ejecutar inetinfo.exe (Impedir defensas: Desactivar o modificar herramientas [T1562.001]).

Proxy inverso SMB SOCKS
La secuencia de comandos de PowerShell HardwareEnumeration.ps1 creó un proxy SMB SOCKS inverso que permitió la conexión entre el VPS IP 185.193.127 [.] 18 controlado por el atacante y el servidor de archivos de la organización víctima a través del puerto 443 (Intérprete de comandos y secuencias de comandos: Power Shell [T1059.001], Proxy [T1090]). El script de PowerShell HardwareEnumeration.ps1 se ejecutó diariamente a través de una Tarea programada (Tarea programada / Trabajo [T1053]).

HardwareEnumeration.ps1 es una copia de Invoke-SocksProxy.ps1, una herramienta gratuita creada y distribuida por un investigador de seguridad en GitHub. [3] Invoke-SocksProxy.ps1 crea un proxy inverso desde la máquina local a la infraestructura del atacante a través del puerto SMB TCP 445 (puerto no estándar [T1571]). Es probable que el guión se haya modificado con las necesidades de configuración del actor de amenazas cibernéticas.

Módulo de PowerShell: invoke-TmpDavFS.psm
invoke-TmpDavFS.psm es un módulo de PowerShell que crea un servidor Web Distributed Authoring and Versioning (WebDAV) que se puede montar como un sistema de archivos y se comunica a través del puerto TCP 443 y el puerto TCP 80. invoke-TmpDavFS.psm se distribuye en GitHub.

Solución
Indicadores de compromiso
Los analistas de CISA identificaron varias direcciones IP involucradas en las múltiples etapas del ataque descrito.

185.86.151 [.] 223 – Mando y Control (C2)
91.219.236 [.] 166 – C2
207.220.1 [.] 3 – C2
78.27.70 [.] 237 – Exfiltración de datos
185.193.127 [.] 18 – Persistencia
Supervisar el tráfico de red para detectar actividad inusual
CISA recomienda que las organizaciones monitoreen el tráfico de la red para detectar la siguiente actividad inusual.

Puertos abiertos inusuales (por ejemplo, puerto 8100)
Grandes archivos salientes
Protocolos inesperados y no aprobados, especialmente salientes a Internet (por ejemplo, SSH, SMB, RDP)
Si los defensores de la red notan alguna de las actividades anteriores, deben investigar.

Prevención
CISA recomienda que las organizaciones implementen las siguientes recomendaciones para protegerse contra la actividad identificada en este informe.

Implementar un firewall empresarial
Las organizaciones deben implementar un firewall empresarial para controlar lo que está permitido dentro y fuera de su red.

Si la organización elige no implementar un firewall empresarial, debe trabajar con su proveedor de servicios de Internet para asegurarse de que el firewall esté configurado correctamente.

Bloquear puertos no utilizados
Las organizaciones deben realizar una encuesta del tráfico dentro y fuera de su empresa para determinar los puertos necesarios para las funciones organizativas. Luego deben configurar su firewall para bloquear puertos innecesarios. La organización debe desarrollar un proceso de control de cambios para realizar cambios de control en esas reglas. Cabe destacar que los puertos SMB, SSH y FTP que no se utilicen deben bloquearse.

Recomendaciones adicionales
CISA recomienda que las organizaciones implementen las siguientes mejores prácticas.

Implemente la autenticación de múltiples factores, especialmente para cuentas privilegiadas.
Utilice cuentas administrativas independientes en estaciones de trabajo de administración independientes.
Implementar el principio de privilegio mínimo en el acceso a los datos.
Asegure RDP y otras soluciones de acceso remoto utilizando autenticación multifactor y «cajas de salto» para el acceso.
Implemente y mantenga herramientas de defensa de endpoints en todos los endpoints.
Mantenga el software actualizado.

Fuente: CISA

 

¿Qué es la mitigación de DDoS y cómo funciona?

Los ataques distribuidos de denegación de servicio (DDoS) son un método favorito de los atacantes para interrumpir o debilitar los firewalls, los servicios en línea y los sitios web mediante sistemas abrumadores con tráfico malicioso o solicitudes de transacciones. Los atacantes DDoS logran esto al coordinar un ejército de máquinas comprometidas, o ‘bots’, en una red de dispositivos que controlan desde una ubicación remota que enfoca un flujo de actividad hacia un solo objetivo. Estas botnets pueden usarse para perpetrar ataques DDoS con una variedad de técnicas maliciosas que incluyen:

  • Saturación de ancho de banda con grandes volúmenes de tráfico
  • Llenar los recursos del sistema con solicitudes de conexión semiabiertas
  • Bloquear servidores de aplicaciones web con voluminosas solicitudes de información aleatoria

¿Qué es la mitigación de DDoS?
La mitigación de DDoS es la práctica de bloquear y absorber picos maliciosos en el tráfico de red y el uso de aplicaciones causados por ataques DDoS, al tiempo que permite que el tráfico legítimo fluya sin obstáculos.

Las estrategias y tecnologías de mitigación de DDoS están destinadas a contrarrestar los riesgos comerciales planteados por la gama completa de métodos de ataque DDoS que pueden emplearse contra una organización. Están diseñados principalmente para preservar la disponibilidad de los recursos que los atacantes buscan interrumpir. Pero la mitigación de DDoS también está destinada a acelerar la cantidad de tiempo que se necesita para responder a DDoS, que los malos utilizan con frecuencia como táctica de distracción para llevar a cabo otros tipos de ataques, como la exfiltración, en otras partes de la red.

Técnicas y estrategias para la mitigación de DDoS
Existen varias estrategias y técnicas cruciales que normalmente contribuyen a la capacidad de mitigación de DDoS para reducir el impacto de estos ataques.

La base de la mitigación de DDoS ciertamente se basa en la construcción de una infraestructura sólida. Tener en cuenta la resiliencia y la redundancia a través de los siguientes son los primeros pasos cruciales para la mitigación de DDoS:

  • Fortalecimiento de las capacidades de ancho de banda
  • Segmentar redes y centros de datos de forma segura
  • Establecimiento de duplicación y conmutación por error
  • Configurar aplicaciones y protocolos para la resiliencia
  • Reforzar la disponibilidad y el rendimiento a través de recursos como las redes de entrega de contenido (CDN)

Sin embargo, la arquitectura más robusta y los servicios CDN por sí solos no son rival para los ataques DDoS modernos, que requieren más capas de protección para una mitigación DDoS efectiva. Los investigadores de seguridad se encuentran cada vez más con volúmenes masivos de ataques DDoS de más de 500 Gps e incluso más de 1 TBps y ataques intensamente largos que pueden durar días e incluso semanas. Además, los atacantes están aumentando la cadencia de los ataques y la diversidad de protocolos y tipos de sistemas a los que se dirigen con sus intentos de DDoS.

Sin algún medio para detectar y bloquear el tráfico DDoS malintencionado, los recursos del sistema más resistentes, incluso aquellos respaldados por servicios CDN, pueden agotarse fácilmente con técnicas modernas de DDoS, sin dejar ninguno para satisfacer las solicitudes de actividad y conexiones legítimas.

Esta es la razón por la que la mitigación de DDoS eficaz requiere algún método para eliminar el tráfico incorrecto lo más rápido posible sin impedir el tráfico legítimo, las solicitudes de conexión o las transacciones de aplicaciones.

Además, la mayoría de las organizaciones refuerzan sus estrategias de mitigación de DDoS mediante una planificación eficaz de la respuesta a incidentes. Esto incluye el desarrollo de libros de jugadas para numerosos escenarios de ataque y capacidades de pruebas de estrés periódicas para garantizar que las defensas puedan funcionar como se espera.

¿Qué personas o tecnologías se necesitan para responder a un ataque?
Los equipos de seguridad que ejecutan programas de mitigación de DDoS suelen buscar tecnología o servicios que les ayuden a determinar automáticamente la diferencia entre picos de tráfico legítimos y ataques DDoS reales.

Análisis de tráfico

La mayoría de las estrategias de mitigación de DDoS se basan en el monitoreo del tráfico 24×7 para estar atento a las amenazas y detectar los primeros signos de actividad DDoS antes de que se convierta en una bola de nieve en volúmenes inmanejables o persista a través de técnicas DDoS lentas y bajas que pueden degradar el rendimiento sin tomar un sistema por completo. desconectado. Las organizaciones que no tienen el personal para proporcionar monitoreo en la nube con frecuencia recurren a proveedores de servicios administrados para cumplir con ese rol. La mitigación de DDoS administrada puede marcar la diferencia al minimizar el costo del tiempo de inactividad y la productividad tras un ataque.

Detección de anomalías

Las capacidades de monitoreo generalmente están respaldadas por tecnología de detección de anomalías que está ajustada a las líneas base y políticas de la red, así como a las fuentes de inteligencia de amenazas que rastrean los últimos indicadores de compromiso (IOC) asociados con las tácticas de ataque DDoS más recientes. Estas detecciones luego desencadenan respuestas reactivas de expertos en mitigación de DDoS y / o tecnología automatizada.

Cambio de ruta y limpieza

Muchas organizaciones utilizan una combinación de soluciones locales, como dispositivos de mitigación de DDoS, firewalls y dispositivos de gestión de amenazas unificados para bloquear la actividad DDoS a medida que se detecta. Sin embargo, esto requiere un ajuste significativo del dispositivo y el hardware limita la cantidad de tráfico que estos dispositivos pueden desviar o absorber.

Como resultado, muchas organizaciones están recurriendo a soluciones de mitigación de DDoS basadas en la nube o proveedores de soluciones de seguridad administradas. Cuando el monitoreo y la detección de anomalías detectan tráfico o actividad maliciosa, la infraestructura de mitigación de DDoS idealmente redirigirá ese tráfico a través del sistema de filtrado basado en la nube antes de cruzar el borde de la red, dejando que el tráfico legítimo continúe sin cesar a través de los sistemas existentes como de costumbre. La limpieza realizada por ese recurso externo ayuda a las organizaciones a bloquear y absorber mejor la actividad DDoS de alto volumen, manteniendo el tiempo de actividad incluso frente a la orientación de botnets masivas.

Si bien gran parte de la respuesta inicial al ataque se automatiza a través de la tecnología, la mitigación DDoS eficaz también requiere un equipo bien capacitado para realizar cambios sobre la marcha cuando los escenarios de ataque arrojan volúmenes, técnicas o ataques extendidos inusuales en la red. Además de las capacidades de respuesta a incidentes, las organizaciones pueden necesitar apoyarse en analistas de seguridad para realizar revisiones post mortem que podrían ayudarlas a ajustar la planificación de mitigación de DDoS en el futuro o el ajuste de herramientas.

Fuente: ATT

Te podemos ayudar a monitorear e identificar ataques de DDOs. Somos un Cyber SOC certificado CERT y PCI. Contactanos! #Yaakov´sGrooup tiene la solución ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

La empresa de servicios Tyler Technologies golpeada en un aparente ataque de ransomwar

Tyler Technologies, una empresa con sede en Texas que se anuncia como el mayor proveedor de servicios de software y tecnología para el sector público de los Estados Unidos, está luchando contra una intrusión en la red que ha interrumpido sus operaciones. La compañía se negó a discutir la causa exacta de la interrupción, pero su respuesta hasta ahora está sacada del libro de jugadas para responder a incidentes de ransomware.

Tyler Technologies [NYSE: TYL], con sede en Plano, Texas, tiene unos 5.300 empleados y generó ingresos de más de $ 1 mil millones en 2019. Vende una amplia gama de servicios a los gobiernos estatales y locales, que incluyen software de tasación e impuestos, software integrado para tribunales y agencias de justicia, sistemas de software financiero empresarial, software de seguridad pública, soluciones de software de gestión de registros / documentos y soluciones de software de transporte para escuelas.

Hoy temprano, el contenido normal en tylertech.com fue reemplazado por un aviso que decía que el sitio estaba fuera de línea. En un comunicado proporcionado a KrebsOnSecurity después de que los mercados cerraron en horario central, Tyler Tech dijo esta mañana que la compañía se dio cuenta de que un intruso no autorizado había obtenido acceso a su teléfono y sistemas de tecnología de la información.

«Tras el descubrimiento y por precaución, cerramos los puntos de acceso a los sistemas externos e inmediatamente comenzamos a investigar y solucionar el problema», dijo Matt Bieri, director de información de Tyler. “Desde entonces, hemos contratado a expertos externos en seguridad informática y forenses para realizar una revisión detallada y ayudarnos a restaurar de forma segura los equipos afectados. Estamos implementando sistemas de monitoreo mejorados y hemos notificado a las fuerzas del orden «.

“En este momento y con base en la evidencia disponible para nosotros hasta la fecha, todo indica que el impacto de este incidente se limita a nuestra red interna y sistemas telefónicos”, continúa su declaración. «Actualmente no tenemos ninguna razón para creer que los datos del cliente, los servidores del cliente o los sistemas alojados se hayan visto afectados».

Si bien puede ser reconfortante escuchar lo último, la realidad es que aún es temprano en la investigación de la empresa. Además, el ransomware ha dejado atrás el mero hecho de mantener como rehenes los sistemas de TI de una empresa víctima a cambio de un pago de extorsión: en estos días, los proveedores de ransomware descargarán la mayor cantidad de datos personales y financieros que puedan antes de liberar su malware, y luego a menudo exigen un segundo rescate. pago a cambio de la promesa de eliminar la información robada o de abstenerse de publicarla en línea.

Tyler Technologies se negó a decir cómo la intrusión está afectando a sus clientes. Pero varios lectores que trabajan en puestos de TI en los sistemas del gobierno local que dependen de Tyler Tech dijeron que la interrupción había interrumpido la capacidad de las personas para pagar sus facturas de agua o pagos judiciales.

“Tyler tiene acceso a muchos de estos servidores en ciudades y condados para soporte remoto, por lo que fue muy considerado por su parte mantener a todos en la oscuridad y posiblemente expuestos si los atacantes se escapaban con credenciales de soporte remoto mientras esperaban que el mercado de valores cerca ”, dijo un lector que pidió permanecer en el anonimato.

Dependiendo de cuánto tiempo le tome a Tyler recuperarse de este incidente, podría tener un gran impacto en la capacidad de muchos estados y localidades para procesar pagos por servicios o proporcionar varios recursos gubernamentales en línea.

Tyler Tech ha girado en torno a la amenaza del ransomware como un punto de venta para muchos de sus servicios, utilizando su presencia en las redes sociales para promover guías de supervivencia de ransomware y listas de verificación de respuesta a incidentes. Con suerte, la compañía estaba siguiendo algunos de sus propios consejos y resistirá esta tormenta rápidamente.

Fuente: krebsonsecurity.com

#Yaakov´sGrooup tiene la solución ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Articulo Recomendado sobre redes sociales

Les recomendamos el artículo del hacker conocido como «Alex» / @mangopdf  (inglés) donde muestra como navegando en Instagram  encuentra el número de pasaporte del ex primer ministro australiano Tony Abbott. Se debe tener mucho cuidado de la información que se comparte en redes sociales. ¡usen el sentido común digital!

https://mango.pdf.zone/finding-former-australian-prime-minister-tony-abbotts-passport-number-on-instagram

Alerta (AA20-266A) Malware LokiBot

Esta alerta utiliza el marco de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT & CK®). Consulte los marcos de ATT & CK para empresas para conocer todas las técnicas de actores de amenazas mencionadas.

Este producto fue escrito por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) con contribuciones del Centro de Análisis e Intercambio de Información Multi-Estado (MS-ISAC).

CISA ha observado un aumento notable en el uso de malware LokiBot por parte de ciberatacadores malintencionados desde julio de 2020. A lo largo de este período, el sistema de detección de intrusiones EINSTEIN de CISA, que protege las redes del poder ejecutivo civil federal, ha detectado actividad maliciosa persistente de LokiBot. LokiBot utiliza un malware de robo de información y credenciales, a menudo enviado como un archivo adjunto malicioso y conocido por ser simple pero efectivo, lo que lo convierte en una herramienta atractiva para una amplia gama de actores cibernéticos en una amplia variedad de casos de uso de compromiso de datos.

 

Detalles técnicos

LokiBot, también conocido como Lokibot, Loki PWS y Loki-bot, emplea malware troyano para robar información confidencial como nombres de usuario, contraseñas, billeteras de criptomonedas y otras credenciales.

El malware roba credenciales mediante el uso de un registrador de teclas para monitorear la actividad del navegador y el escritorio (Credenciales de las tiendas de contraseñas [T1555]).

(Credenciales de almacenes de contraseñas: Credenciales de navegadores web [T1555.003])

(Captura de entrada: registro de teclas [T1056.001])

LokiBot también puede crear una puerta trasera en los sistemas infectados para permitir que un atacante instale cargas útiles adicionales (Ejecución activada por evento: Funciones de accesibilidad [T1546.008]).

Los actores cibernéticos maliciosos generalmente usan LokiBot para atacar los sistemas operativos Windows y Android y distribuir el malware a través de correo electrónico, sitios web maliciosos, texto y otros mensajes privados (Ejecución del usuario: Archivo malicioso [T1204.002]). Consulte la figura 1 para conocer las técnicas empresariales utilizadas por LokiBot.

Desde que se informó por primera vez sobre LokiBot en 2015, los ciber actores lo han utilizado en una variedad de aplicaciones específicas, incluidas las siguientes.

Febrero de 2020: Trend Micro identificó a los actores cibernéticos que usaban LokiBot para hacerse pasar por un lanzador de Fortnite, un videojuego popular.

Agosto de 2019: los investigadores de FortiGuard SE descubrieron una campaña de malspam que distribuía cargas útiles de robo de información de LokiBot en un ataque de phishing contra una empresa de fabricación de EE. UU.

Agosto de 2019: los investigadores de Trend Micro informaron que el código fuente del malware LokiBot estaba oculto en archivos de imagen distribuidos como archivos adjuntos en correos electrónicos de phishing.

Junio ​​de 2019: Netskope descubrió que LokiBot se distribuía en una campaña de malspam utilizando archivos de imagen ISO adjuntos.

Abril de 2019: Netskope descubrió una campaña de phishing utilizando archivos adjuntos de correo electrónico maliciosos con el malware LokiBot para crear puertas traseras en los sistemas Windows infectados y robar información confidencial.

Febrero de 2018: Trend Micro descubrió que CVE-2017-11882 estaba siendo explotado en un ataque utilizando el servicio Windows Installer para entregar malware LokiBot.

Octubre de 2017: SfyLabs identificó a los ciber actores que usaban LokiBot como un troyano bancario de Android que se convierte en ransomware.

Mayo de 2017: Fortinet informó que actores maliciosos usaban un archivo PDF para difundir una nueva variante de LokiBot capaz de robar credenciales de más de 100 herramientas de software diferentes.

Marzo de 2017: Check Point descubrió el malware LokiBot preinstalado en dispositivos Android.

Diciembre de 2016: los investigadores de Dr.Web identificaron una nueva variante de LokiBot dirigida a las bibliotecas centrales de Android.

Febrero de 2016: los investigadores descubrieron que el troyano Android LokiBot infectaba los procesos centrales del sistema operativo Android.

 

Técnicas MITRE ATT & CK

Según MITRE, LokiBot utiliza las técnicas ATT & CK enumeradas en la tabla 1.

Tecnica Uso
Descubrimiento de la configuración de la red del sistema LokiBot tiene la capacidad de descubrir el nombre de dominio del host infectado.
Archivos o información ofuscados LokiBot ha ofuscado cadenas con codificación base64.
Archivos o información ofuscados: paquete de software LokiBot ha utilizado varios métodos de empaquetado para la ofuscación.
Descubrimiento de propietario / usuario del sistema LokiBot tiene la capacidad de descubrir el nombre de usuario en el host infectado.
Exfiltración sobre canal C2 LokiBot tiene la capacidad de iniciar el contacto con el comando y el control para exfiltrar los datos robados.
Inyección de proceso: Proceso de vaciado LokiBot ha utilizado el proceso de vaciado para inyectar en el proceso legítimo de Windows vbc.exe.
Captura de entrada: registro de teclas LokiBot tiene la capacidad de capturar información en el host comprometido a través del registro de teclas.
Protocolo de capa de aplicación: protocolos web LokiBot ha utilizado el Protocolo de transferencia de hipertexto para comando y control.
Descubrimiento de información del sistema LokiBot tiene la capacidad de descubrir el nombre de la computadora y el nombre / versión del producto de Windows.
Ejecución del usuario: archivo malicioso LokiBot se ha ejecutado a través de documentos maliciosos contenidos en correos electrónicos de spearphishing.
Credenciales de tiendas de contraseñas LokiBot ha robado credenciales de múltiples aplicaciones y fuentes de datos, incluidas las credenciales del sistema operativo Windows, los clientes de correo electrónico, el Protocolo de transferencia de archivos y los clientes del Protocolo de transferencia segura de archivos.
Credenciales de almacenes de contraseñas: Credenciales de navegadores web LokiBot ha demostrado la capacidad de robar credenciales de múltiples aplicaciones y fuentes de datos, incluidos Safari y Chromium y navegadores web basados en Mozilla Firefox.
Ocultar artefactos: archivos y directorios ocultos LokiBot tiene la capacidad de copiarse a sí mismo en un archivo y directorio ocultos.
   

 

Detección

Firmas

CISA desarrolló la siguiente firma Snort para su uso en la detección de la actividad de la red asociada con la actividad de LokiBot.

alert tcp any any -> any $HTTP_PORTS (msg:»Lokibot:HTTP URI POST contains ‘/*/fre.php’ post-infection»; flow:established,to_server; flowbits:isnotset,.tagged; content:»/fre.php»; http_uri; fast_pattern:only; urilen:<50,norm; content:»POST»; nocase; http_method; pcre:»/\/(?:alien|loky\d|donep|jemp|lokey|new2|loki|Charles|sev7n|dbwork|scroll\/NW|wrk|job|five\d?|donemy|animation\dkc|love|Masky|v\d|lifetn|Ben)\/fre\.php$/iU»; flowbits:set,.tagged;classtype:http-uri; metadata:service http; metadata:pattern HTTP-P001,)

 

Mitigaciones

CISA y MS-ISAC recomiendan que el gobierno federal, estatal, local, tribal, territorial, los usuarios del sector privado y los administradores de red consideren la aplicación de las siguientes mejores prácticas para fortalecer la postura de seguridad de los sistemas de su organización. Los propietarios y administradores del sistema deben revisar cualquier cambio de configuración antes de la implementación para evitar impactos no deseados.

 

Mantenga las firmas y los motores antivirus actualizados. Consulte Protección contra códigos maliciosos.

Mantenga actualizados los parches del sistema operativo. Consulte Comprensión de parches y actualizaciones de software.

Desactive los servicios para compartir archivos e impresoras. Si se requieren estos servicios, utilice contraseñas seguras o autenticación de Active Directory.

Aplique la autenticación multifactor. Consulte Complemento de contraseñas para obtener más información.

Restrinja la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.

Haga cumplir una política de contraseña segura. Consulte Elección y protección de contraseñas.

Tenga cuidado al abrir archivos adjuntos de correo electrónico, incluso si se espera el archivo adjunto y el remitente parece ser conocido. Consulte Uso de precaución con archivos adjuntos de correo electrónico.

Habilite un firewall personal en las estaciones de trabajo de la agencia, configurado para rechazar solicitudes de conexión no solicitadas.

Desactive los servicios innecesarios en las estaciones de trabajo y los servidores de la agencia.

Escanee y elimine archivos adjuntos de correo electrónico sospechosos; asegúrese de que el archivo adjunto escaneado sea su «tipo de archivo verdadero» (es decir, que la extensión coincida con el encabezado del archivo).

Monitorear los hábitos de navegación web de los usuarios; restringir el acceso a sitios con contenido desfavorable.

Tenga cuidado al utilizar medios extraíbles (por ejemplo, unidades de memoria USB, unidades externas, CD).

Escanee todo el software descargado de Internet antes de ejecutarlo.

Mantenga el conocimiento de la situación de las amenazas más recientes e implemente listas de control de acceso adecuadas.

Visite las páginas de técnicas de MITRE ATT & CK (vinculadas en la tabla 1 anterior) para obtener estrategias adicionales de detección y mitigación.

Para obtener información adicional sobre la prevención y el manejo de incidentes de malware, consulte la publicación especial 800-83 del Instituto Nacional de Estándares y Tecnología, Guía para la prevención y el manejo de incidentes de malware para computadoras de escritorio y portátiles.

 

Recursos:

Center for Internet Security Security Event Primer – Malware: https://www.cisecurity.org/white-papers/security-event-primer-malware/
MITRE ATT&CK – LokiBot: https://attack.mitre.org/software/S0447/
MITRE ATT&CK for Enterprise: https://attack.mitre.org/matrices/enterprise/

 

Fuente: CISA

México es el segundo país más atacado en en América Latina por Hackers

La ciberseguridad se ha colocado en el centro de la confianza para enfrentar los riesgos de la digitalización en el contexto de la pandemia en México, de acuerdo con Alejandro Canales, directivo de la SSPC.

La crisis derivada de la pandemia del nuevo coronavirus ha acelerado el futuro de las Tecnologías de Información y Comunicación, y por ende se ha posicionado a la ciberseguridad en el centro de la confianza para enfrentar los riesgos de la digitalización.

En este contexto, es que Alejandro Canales Cruz, director general de Gestión de Servicios, Ciberseguridad y Desarrollo Tecnológico de la Secretaría de Seguridad y Protección Ciudadana, pone el foco en que México es el segundo país a nivel Latinoamérica que recibe más ciberataques.

«Nuestro país no está lejos de esta situación, desafortunadamente nos ubicamos entre los primeros 15 países a nivel mundial que reciben ciberataques y en América Latina somos el segundo», sostuvo durante su participación en EF Meet Point Virtual: Ciberseguridad, ¿de qué tamaño es el problema?

Canales Cruz señaló que si bien el uso de las TIC’s ya son una tendencia en países de primer mundo, en México se volvieron «esenciales de la noche a la mañana» de la mano de los bloqueos y medidas sanitarias por la pandemia.

«En nuestro caso hoy tuvo una gran relevancia porque gracias a ellas continuamos nuestro desarrollo socioeconómico», sin embargo, aseguró, este uso trae consigo riesgos y amenazas que sin duda pueden afectar la seguridad pública y nacional.

El experto dijo que entre las instancias del Gobierno federal que han sufrido algún tipo de ataque se encuentran: la Embajada de México en Guatemala, Petróleos Mexicanos (Pemex), la Secretaría del Trabajo y Prevención Social, el Consejo Nacional Para Prevenir la Discriminación.

Así como la Condusef, el Banco de México, el Servicio de Administración Tributaria y la Secretaría de Hacienda.

«Algunos de los casos más sonados justamente fue el de Pemex, que fue un ataque por ransomware, la Secretaría de Economía, que tuvo un ataque a su red interna», dijo.

El directivo de la Secretaría de Seguridad y Protección Ciudadana detalló, con base a datos de la empresa Sophos, que el 73 por ciento de las organizaciones en México han experimentado por lo menos un incidente.

«En México, de ese 73 por ciento, el malware ocupa un 34 por ciento, el ransomware, 25 por ciento; la exposición de datos internos, 28 por ciento; el robo credenciales, 19 por ciento; entre otros», afirmó.

Recordó también que en el pasado se registraron también ataques contra la banca, por los sistemas SWIFT y SPEI.

Algunos casos de ciberataques a nivel mundial:

* Bolsa de Valores de Nueva Zelanda – Ataque de negación de servicio

*Mapfre – Ataque de ransomware

*Empresa de energía en Portugal – Ransomware

«Es algo que lamentablemente parece común, este tipo de ataques a nivel internacional «, aseguró.

Fuente: El Financiero

Primera muerte reportada luego de un ataque de ransomware en un hospital alemán

La muerte ocurrió después de que un paciente fuera desviado a un hospital cercano después de que el Hospital de la Universidad de Duesseldorf sufriera un ataque de ransomware.

 

Las autoridades alemanas están investigando la muerte de un paciente tras un ataque de ransomware en un hospital de Duesseldorf.

La paciente, identificada solo como una mujer que necesitaba atención médica urgente, murió después de ser trasladada a un hospital en la ciudad de Wuppertal, a más de 30 km de su destino inicial previsto, el Hospital Universitario de Duesseldorf.

El hospital de Duesseldorf no pudo recibirla porque estaba en medio de un ataque de ransomware que afectó su red e infectó a más de 30 servidores internos el 10 de septiembre de la semana pasada.

El incidente marca la primera muerte humana reportada causada indirectamente por un ataque de ransomware.

La muerte del paciente está siendo investigada actualmente por las autoridades alemanas. Si se descubre que el ataque de ransomware y el tiempo de inactividad del hospital fueron directamente culpables de la muerte de la mujer, la policía alemana dijo que planea convertir su investigación en un caso de asesinato.

Según el medio de comunicación alemán RTL, la banda de ransomware retiró su demanda de rescate después de que la policía alemana se acercó. Desde entonces, el hospital ha recibido un descifrado y está restaurando sus sistemas.

En un tweet el día de hoy, los funcionarios del hospital culparon a la infección del ransomware a una vulnerabilidad en un software comercial ampliamente utilizado.

En un tuit posterior, los mismos funcionarios dijeron que notificaron a las autoridades alemanas, como la agencia alemana de ciberseguridad BSI, que son responsables de emitir las advertencias de seguridad adecuadas.

Un día antes, la BSI había emitido una advertencia, de la nada, pidiendo a las empresas alemanas que actualizaran sus puertas de enlace de red Citrix para la vulnerabilidad CVE-2019-19871, un punto de entrada conocido para bandas de ransomware.

The Associated Press también informó hoy que todo el ataque de ransomware en la red del hospital parece haber sido un accidente, con la nota de rescate dirigida a la universidad local (Duesseldorf Heinrich Heine University), y no al hospital, que era solo una parte de la red más grande.

Fuente: ZDNET

Exploit para la vulnerabilidad del protocolo remoto de Netlogon, CVE-2020-1472

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) tiene conocimiento del código de explotación disponible públicamente para CVE-2020-1472, una vulnerabilidad de elevación de privilegios en Netlogon de Microsoft. Aunque Microsoft proporcionó parches para CVE-2020-1472 en agosto de 2020, los sistemas sin parches serán un objetivo atractivo para los actores maliciosos. Los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso de administrador de dominio.

CISA anima a los usuarios y administradores a revisar el Aviso de seguridad de agosto de Microsoft para CVE-2020-1472 y el artículo para obtener más información y aplicar las actualizaciones necesarias.

El FBI dice que los ataques de relleno de credenciales están detrás de algunos ataques bancarios recientes

El FBI está dando una señal de alarma sobre el creciente número de ataques de relleno de credenciales dirigidos a instituciones financieras.

El FBI envió una alerta de seguridad privada al sector financiero de EE. UU. La semana pasada advirtiendo a las organizaciones sobre el creciente número de ataques de relleno de credenciales que se han dirigido a sus redes y han provocado violaciones y pérdidas financieras considerables.

El relleno de credenciales es un término relativamente nuevo en la industria de la seguridad cibernética.

Se refiere a un tipo de ataque automatizado en el que los piratas informáticos toman colecciones de nombres de usuario y contraseñas que se filtraron en línea a través de violaciones de datos en otras empresas y las prueban contra cuentas en otros servicios en línea.

Estos ataques tienen como objetivo identificar cuentas en las que los usuarios reutilizaron contraseñas y luego obtener acceso no autorizado al perfil del usuario y los recursos adjuntos.

Los ataques de relleno de credenciales no siempre fueron un problema, pero se convirtieron en uno a fines de la década de 2010 después de que los piratas informáticos filtraran miles de millones de nombres de usuario y combinaciones de contraseñas de cientos de empresas durante los últimos cinco años.

Lentamente, los piratas informáticos comenzaron a recopilar estas credenciales filtradas y a probarlas con varios servicios en línea. Al principio, apuntaron a cuentas de juegos en línea y pedidos de alimentos, pero a medida que la táctica demostró ser cada vez más exitosa, los grupos de piratería más profesionales cambiaron a cuentas dirigidas a servicios bancarios en línea e intercambios de criptomonedas, con el objetivo de robar activos financieros.

EL RELLENO DE CREDENCIALES ES AHORA UN PRINCIPAL PROBLEMA PARA LOS BANCOS

Según un aviso de seguridad del FBI, los ataques de relleno de credenciales han aumentado en los últimos años y ahora se han convertido en un problema importante para las organizaciones financieras.

«Desde 2017, el FBI ha recibido numerosos informes sobre ataques de relleno de credenciales contra instituciones financieras estadounidenses, que detallan colectivamente casi 50.000 compromisos de cuentas», dijo el FBI.

«Las víctimas incluían bancos, proveedores de servicios financieros, compañías de seguros y firmas de inversión».

Los funcionarios del FBI dijeron que muchos de estos ataques tenían como objetivo interfaces de programación de aplicaciones (API), ya que estos sistemas «tienen menos probabilidades de requerir autenticación multifactor (MFA)» y están menos monitoreados que los sistemas de inicio de sesión orientados al usuario.

El FBI también señaló que algunos ataques de relleno de credenciales han sido tan masivos, con solicitudes de autenticación empaquetadas sin períodos de enfriamiento, que derribaron los sistemas de autenticación en algunas organizaciones financieras, y algunos objetivos creían que estaban siendo atacados por DDOS y no bajo un relleno de credenciales. ataque: incidentes que la unidad de ciberseguridad de F5 Networks también informó el año pasado.

Los ataques de relleno de credenciales tampoco se dirigieron solo a los perfiles de usuario, dijo el FBI, sino que también se dirigieron a las cuentas de los empleados, y los atacantes también tenían como objetivo acceder a cuentas con altos privilegios.

Algunos de estos ataques fracasaron, pero otros también tuvieron éxito y provocaron pérdidas multimillonarias en algunas organizaciones durante el año pasado.

Según el FBI, los incidentes importantes recientes incluyeron:

En julio de 2020, una institución financiera estadounidense de tamaño medio informó que su plataforma de banca por Internet había experimentado un «aluvión constante» de intentos de inicio de sesión con varios pares de credenciales, lo que creía que era indicativo del uso de bots. Entre enero y agosto de 2020, actores no identificados utilizaron software de agregación para vincular cuentas controladas por actores a cuentas de clientes pertenecientes a la misma institución, lo que resultó en más de $ 3.5 millones en retiros de cheques fraudulentos y transferencias ACH. Sin embargo, la presentación de informes no indica si el aumento de inicios de sesión y las transacciones fraudulentas podrían atribuirse a los mismos actores.

Entre junio de 2019 y enero de 2020, una empresa de inversión con sede en Nueva York y una plataforma internacional de transferencia de dinero experimentaron ataques de relleno de credenciales contra sus API móviles, según una fuente financiera confiable. Aunque ninguna entidad informó ningún fraude, uno de los ataques resultó en una interrupción prolongada del sistema que impidió la recaudación de casi $ 2 millones en ingresos.

Entre junio y noviembre de 2019, un pequeño grupo de ciberdelincuentes apuntó a una institución de servicios financieros y a tres de sus clientes, lo que resultó en el compromiso de más de 4.000 cuentas bancarias en línea, según una fuente financiera creíble. Luego, los ciberdelincuentes utilizaron los servicios de pago de facturas para enviar pagos fraudulentos —unos 40.000 dólares en total— a ellos mismos, que luego transfirieron a cuentas bancarias extranjeras. Según un estudio de caso de 2020 sobre una de las empresas, los investigadores de seguridad identificaron más de 1,500 direcciones de correo electrónico y 6,000 contraseñas expuestas en más de 80 violaciones de datos. Algunas de las credenciales pertenecían al liderazgo de la empresa, administradores de sistemas y otros empleados con acceso privilegiado.

El aviso de seguridad del FBI, que puede leer en su totalidad aquí, advierte a las instituciones financieras que tomen medidas de protección sobre la creciente amenaza del relleno de credenciales.

La alerta incluye estrategias de detección básicas y consejos de mitigación que se pueden aplicar universalmente en todos los sectores, y no solo para las empresas activas en la vertical financiera.

Fuente: ZDNET