La Segunda fue fundada en 1933 y ha crecido hasta convertirse en una de las aseguradoras más grandes del país.
La empresa ofrece una amplia gama de productos de seguros, incluyendo seguros de automóviles, seguros de hogar, seguros de vida y seguros comerciales.
La Segunda se enorgullece de su servicio al cliente y su compromiso de ofrecer productos de seguros de alta calidad.
La compañía tiene una red de más de 120 sucursales en toda Argentina y también ofrece soporte al cliente en línea y por teléfono.
Además de sus ofertas de seguros, La Segunda también está involucrada en varias iniciativas sociales y apoya a varias organizaciones benéficas.
La Segunda tiene un fuerte enfoque en la sostenibilidad y se compromete a reducir su impacto ambiental.
En general, La Segunda es una compañía de seguros respetada y bien establecida en Argentina, con una sólida reputación por su servicio de calidad y su compromiso con sus clientes y la comunidad.
Hasta que un día fueron atacados por un conocido vector con el ransomware LockBit, desde el cual piden 5 millones de dólares para rescatar la información y no publicarla.
Pero… ¿qué es LockBit?
LockBit es un tipo de ransomware que cifra los archivos de la víctima y exige un pago de rescate a cambio de la clave de descifrado. Fue descubierto por primera vez en 2019 y desde entonces ha sido utilizado en numerosos ataques a organizaciones en todo el mundo.
Al igual que otros ransomware, LockBit se propaga generalmente a través de correos electrónicos de phishing, archivos adjuntos maliciosos o software vulnerable.
Una vez que infecta un sistema, cifra los archivos en la máquina local y en cualquier unidad de red o almacenamiento en la nube conectado.
Luego, la víctima recibe un mensaje que exige el pago en Bitcoin u otra criptomoneda a cambio de la clave de descifrado.
Lo que hace que LockBit sea particularmente peligroso es su capacidad para propagarse rápida y eficientemente a través de una red, lo que le permite infectar rápidamente grandes cantidades de máquinas y causar un daño significativo.
También tiene la capacidad de eliminar copias de seguridad y copias de sombra, lo que hace que sea difícil para las víctimas recuperar sus datos sin pagar el rescate.
Como con cualquier ransomware, la mejor manera de protegerse contra LockBit es mantener copias de seguridad actualizadas de los datos importantes e implementar medidas de seguridad sólidas para prevenir la infección en primer lugar.
Esto incluye el uso de software antivirus, mantener el software actualizado con parches de seguridad y ser cauteloso al abrir correos electrónicos o archivos adjuntos sospechosos.
¿Quién está detrás de LockBit?
La identidad de los responsables detrás de LockBit sigue siendo desconocida. Al igual que otros tipos de ransomware, los operadores de LockBit suelen operar de forma anónima y ocultan su identidad y ubicación a través de herramientas de cifrado y redes privadas virtuales (VPN).
Sin embargo, se cree que LockBit es operado por un grupo de ciberdelincuentes que utilizan un modelo de negocio conocido como “ransomware-as-a-service” (RaaS), en el que venden el software malicioso a otros delincuentes que luego lo utilizan en sus propios ataques. Esto hace que sea difícil identificar a los responsables finales detrás de cada ataque de LockBit.
Esto implica que el actor puede ser extra nacional o quizás pueda ser un actor local, con sólidos conocimientos de los procesos internos de la compañía y alquiló el servicio.
Tomando en cuenta que la ciudad de Rosario, cabecera de la compañía, no descartaría que las diferentes facciones dedicadas al tráfico de sustancias prohibidas, con base en la ciudad, no este comenzado una operación cibercriminal, alquilando el servicio.
El día del Tsunami
El ataque habría iniciado su fase de cifrado de contenido, el pasado 11 de febrero, si bien el 12 a la mañana la compañía no informó nada, ya era un secreto a voces de lo ocurrido.
Las buenas prácticas de seguridad indican que lo adecuado frente a estos casos, es conformar un equipo de emergencia para manejar la crisis.
Este equipo debe tener 3 columnas claras, por un lado un equipo de comunicación acostumbrado a manejar crisis, un abogado que califique el riesgo legal de cada acción.
Por último, un especialista en ransomware conocido como “el negociador”, quien trata toda la comunicación con el grupo extorsivo.
La Segunda en lugar de apegarse a las buenas prácticas, optó por guardar silencio y practicar un salvataje interno.
Regresemos en el tiempo al 6 de Febrero
El CCN-CERT Español, publica un alerta de seguridad crítico en el cual expresa la necesidad urgente de parchar de forma inmediata VMware, para evitar ataques de este tipo.
Campaña de explotación de vulnerabilidades de VMware ESXi
Fecha de publicación: 06/02/2023
Nivel de peligrosidad: ALTA
El CCN-CERT, del Centro Criptológico Nacional de España, avisa de una campaña de explotación de vulnerabilidades que ha tenido como objetivo servidores VMware ESXi, sistema operativo que puede alojar varias máquinas virtuales.
Estos ataques aprovechan una vulnerabilidad descubierta el año 2021, catalogada bajo el CVE-2021-21974, y notificada por la compañía en su respectivo aviso de seguridad.
Varios investigadores de seguridad afirman que podrían haber más de 3200 servidores comprometidos.
Afectando a sistemas pertenecientes a distintas organizaciones ubicadas en varias partes del mundo, destacando Italia, Francia, Finlandia, EE. UU y Canadá.
El fabricante publicó una actualización de seguridad que soluciona el fallo.
La base de datos del NIST ha registrado la vulnerabilidad descrita, asignándole una puntuación de acuerdo con la escala CVSSv3 de 8.8.
VMware, por su parte, también calificó esta vulnerabilidad descubierta el pasado año 2021 como alta. Hasta la fecha, se conocen varios ataques de tipo ransomware que han afectado a varios países, en concreto servidores que no se actualizaron cuando se hizo pública la vulnerabilidad.
Por otro lado, se encuentra pública una prueba de concepto (PoC) con los detalles de la vulnerabilidad reportada:
•VMware ESXi OpenSLP Heap Overflow
Recursos afectados
Las vulnerabilidades reportadas afectan a las siguientes versiones:
•Versiones de VMware ESXi 7.x anteriores a ESXi70U1c-17325551
•Versiones de ESXi 6.7x anteriores a ESXi670-20212401-SG
•Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG
Solución a las vulnerabilidades
VMware ha publicado el parche correspondiente para corregir la vulnerabilidad en los productos afectados.
Como se ha indicado antes, se trata de una vulnerabilidad descubierta en el pasado y, para la cual, existe una solución desde el 23 de febrero de 2021.
Por lo tanto, si no se ha hecho con anterioridad, se recomienda aplicar el parche correspondiente lo antes posible, debido a la explotación de manera activa de la vulnerabilidad:
•VMware ESXi 7.x: Versión parcheada 7.0 U1c.
•VMware ESXi 6.7.x: Versión parcheada 6.7 U3l.
•VMware ESXi 6.5.x: Versión parcheada 6.5 U3n.
En aquellos casos que no sea posible aplicar la actualización, o en servidores con una versión inferior a 6.5x, se recomienda deshabilitar el servicio vulnerable del protocolo de ubicación de servicios (SLP) en los hipervisores ESXi:
•Iniciar sesión en los servidores ESXi mediante sesión SSH.
•Detener el servicio SLP (el servicio SLP solo se puede detener cuando el servicio no está en uso): /etc./init.d/slpd stop
•Ejecutar el siguiente comando para deshabilitar el servicio: esxcli network firewall ruleset set -r CIMSLP -e 0
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
¿VMware hizo los deberes?
Obviamente que sí, el 23 de febrero de 2021, si, dos años antes.
CVE-2021-21974 es un identificador de Vulnerabilidades y Exposiciones Comunes (CVE) asignado a una vulnerabilidad en VMware vSphere Client (HTML5).
VMware vSphere Client es una aplicación basada en web que permite a los administradores gestionar entornos VMware vSphere.
La vulnerabilidad identificada por CVE-2021-21974 es una vulnerabilidad de falsificación de solicitud en el lado del servidor (SSRF) que puede ser explotada por un atacante para enviar solicitudes no autorizadas desde el vSphere Client a un servidor interno o externo.
Un atacante con acceso al vSphere Client podría utilizar esta vulnerabilidad para acceder a datos sensibles o realizar acciones no autorizadas en nombre del usuario.
Esta vulnerabilidad afecta a las versiones 6.5, 6.7 y 7.0 de VMware vSphere Client (HTML5).
VMware publicó un aviso de seguridad y parches para la vulnerabilidad el 23 de febrero de 2021.
Se recomienda a los usuarios de las versiones afectadas de VMware vSphere Client que apliquen el parche correspondiente lo antes posible para protegerse contra esta vulnerabilidad.
Usemos el potencial, aparentemente este parche llegó tarde a La Segunda, nadie del departamento de seguridad lo vio, y la vulnerabilidad estuvo abierta durante dos años, hasta que llegó la noticia imprevista.
Tampoco seamos duros, tuvimos muchas emociones en estos dos años, la clasificación y las alegrías del Mundial de Qatar.
VMware queda libre de toda responsabilidad, un producto mal administrado es simplemente eso.
Los cibercriminales, infectaron una máquina, y a través de una vulnerabilidad de VMware, no parchada, escalaron las máquina virtuales y tomaron el control de toda la red y de la información de la compañía.
Apenas un par de días después de la crisis una luz asomó al final del túnel, reinstalaron el backup y se reinfectaron, evidentemente la luz era un tren y no la salida.
Nuevamente un management empresario que no supo entender a tiempo, que la seguridad es un driver del negocio, ante la desesperación comete otro error garrafal, contrata a una consultora internacional para resolver el problema.
Quizás no sea garrafal el error de contratar a una consultora que en los últimos años alcanzó el pináculo de la fama por haber sido víctima de ciertos vectores de ransomware.
Pero con el talento que existe en la provincia de Santa Fe, con profesionales World class, traer a estos muchachos de Deloitte, no resultó muy provechoso aparentemente, llevan algo más de 15 días y seguimos sin cerrar
¿Cómo se presenta Deloitte?
Deloitte es una de las mayores firmas de servicios profesionales del mundo, que presta servicios de consultoría, auditoría, asesoramiento financiero, fiscal y legal a empresas y organizaciones en todo el mundo.
Fundada en Londres en 1845, Deloitte opera actualmente en más de 150 países y cuenta con más de 330.000 profesionales en todo el mundo.
La empresa ofrece una amplia gama de servicios a clientes en una variedad de industrias, incluyendo servicios financieros, tecnología, atención médica, energía, consumo y productos industriales, entre otros.
Entre los servicios que Deloitte presta se incluyen consultoría de estrategia y operaciones, transformación digital, ciberseguridad, análisis de datos, asesoramiento fiscal y legal, contabilidad y auditoría, entre otros.
Deloitte es conocida por su enfoque en la innovación y la tecnología, y ha sido reconocida como una de las empresas más innovadoras del mundo en varias ocasiones.
La empresa también tiene un fuerte compromiso con la responsabilidad social corporativa y se dedica a apoyar a comunidades locales y globales en todo el mundo.
Una presentación aparentemente ambiciosa para el escaso resultado existente.
¿Cuáles son las buenas prácticas que la industria propone para evitar el ransomware?
El ransomware es un tipo de software malicioso que secuestra los archivos de un usuario y los mantiene como rehenes hasta que se paga un rescate.
Aquí hay 20 prácticas que puedes seguir para ayudar a prevenir el ransomware:
1. Mantén tu sistema operativo y software actualizados con las últimas actualizaciones y parches de seguridad.
2. Usa software antivirus y antimalware actualizado y configurado para actualizar automáticamente.
3. Realiza copias de seguridad de tus archivos importantes de manera regular y asegúrate de que estén almacenados en un lugar seguro.
4. Evita abrir correos electrónicos sospechosos y no descargues archivos adjuntos de remitentes desconocidos.
5. Utiliza contraseñas seguras y cámbialas regularmente.
6. Configura tu firewall para bloquear tráfico no autorizado.
7. Utiliza software de filtrado de correo electrónico para bloquear mensajes de spam y phishing.
8. Utiliza autenticación multifactor para proteger tus cuentas en línea.
9. No hagas clic en enlaces sospechosos o desconocidos.
10. Desactiva la opción “mostrar extensiones de archivo conocidas” para evitar que los usuarios confíen en extensiones de archivo maliciosas.
11. No descargues software de sitios web no confiables.
12. Desactiva los complementos de navegador no utilizados.
13. Limita el acceso a los recursos de red y de archivos solo a los usuarios que los necesitan.
14. Configura tus permisos de archivo y carpeta correctamente para evitar que se realice la escritura en lugares no deseados.
15. Desactiva la opción de ejecutar archivos en las carpetas temporales.
16. Configura tu software de copia de seguridad para que realice una verificación de integridad de los datos de manera regular.
17. Utiliza software de detección de intrusiones y monitorea tus registros de eventos.
18. Usa una cuenta de usuario no privilegiada para las tareas diarias.
19. Considera utilizar software de prevención de ejecución de datos para proteger tus sistemas de archivos maliciosos.
20. Educa a tus usuarios sobre cómo detectar correos electrónicos de phishing y sospechosos, y cómo evitar hacer clic en enlaces o descargar archivos sospechosos.
Parecen prácticas simples, con sentido común, pero si hubiesen segmentado la red de forma rigurosa, si hubiesen activado y configurado bien el software de seguridad que tienen, de Fortinet.
Seguramente nada de esto hubiese ocurrido.
Evidentemente faltó educación, faltaron certificaciones para especializar al personal para evitar estos problemas, faltó empatía con la provincia al rechazar ofertas locales por considerarlas precisamente “locales”.
En estos casos la arrogancia de la ignorancia y el silencio son los peores métodos de acción para un CEO, que apenas termine este incidente, debería renunciar.
Ya se filtraron los primeros 50Gb de información, las filtraciones van a continuar y la cantidad de perjuicios a los clientes asociados serán inmensos.
¿Qué puede hacer un cliente de La Segunda para protegerse ante esta filtración?
Si Usted sospecha que los datos de sus medios de pago pueden llevarlo a que roben de identidad, es importante que tome medidas inmediatas para minimizar el daño y proteger sus cuentas y datos personales.
A continuación, les detallo algunas acciones necesarias que les sugiero tomar:
Cambiar todas las contraseñas: La primera medida que debe tomar es cambiar todas las contraseñas de las cuentas relacionadas con la identidad robada.
Es recomendable utilizar contraseñas fuertes y diferentes para cada cuenta.
Notificar a las autoridades: Es importante denunciar el robo de identidad a las autoridades pertinentes, como la policía o la oficina del fiscal del estado.
Además, es recomendable contactar con el banco o entidad financiera si se ha robado información relacionada con sus cuentas bancarias o tarjetas de crédito.
Notificar a las empresas y organizaciones: Si el usuario ha compartido información personal con alguna empresa u organización, debe notificarles inmediatamente para que tomen las medidas necesarias.
Monitorear sus cuentas: El usuario debe monitorear sus cuentas bancarias y de tarjetas de crédito regularmente para detectar cualquier actividad sospechosa. Si se detecta algo inusual, se debe notificar a la entidad financiera de inmediato.
Obtener un informe de crédito: El usuario debe obtener un informe de crédito de las agencias de crédito para asegurarse de que no se hayan abierto nuevas cuentas de crédito a su nombre sin su conocimiento.
Bloquear o cancelar las tarjetas de crédito: Si el usuario sospecha que se han utilizado sus tarjetas de crédito sin su consentimiento, debe bloquearlas o cancelarlas inmediatamente.
Utilizar medidas de protección de identidad: El usuario puede considerar la posibilidad de utilizar medidas de protección de identidad, como servicios de vigilancia de crédito o congelación de crédito, para evitar futuros robos de identidad.
En general, es importante ser cauteloso y proteger su información personal en línea para evitar el robo de identidad.
Si sospecha que ha sido víctima de un robo de identidad, debe actuar rápidamente para minimizar el daño.
Cerrando este informe, me entero que la empresa Metrovías, estaría bajo ataque, esto quizás nunca termine.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad
Ciberdelincuentes reclutan a los mejores profesionales 2023
SideWinder APT dirigida a más de 60 empresas
Kaspersky predice 1 panorama de amenazas para el sector industrial
ChatGPT: cuando la IA esconde 1 troyano
Dark Caracal 2023: ahora en América Latina
La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda,
La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda, La Segunda,