![\"La](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/02\/La-Segunda-e1677608654477.jpeg\" "\\"\\"")
<\/a>Pero\u2026 \u00bfqu\u00e9 es LockBit?<\/h3>\n
LockBit es un tipo de ransomware que cifra los archivos de la v\u00edctima y exige un pago de rescate a cambio de la clave de descifrado. Fue descubierto por primera vez en 2019 y desde entonces ha sido utilizado en numerosos ataques a organizaciones en todo el mundo.<\/p>\n
Al igual que otros ransomware, LockBit se propaga generalmente a trav\u00e9s de correos electr\u00f3nicos de phishing, archivos adjuntos maliciosos o software vulnerable.<\/p>\n
Una vez que infecta un sistema, cifra los archivos en la m\u00e1quina local y en cualquier unidad de red o almacenamiento en la nube conectado.<\/p>\n
Luego, la v\u00edctima recibe un mensaje que exige el pago en Bitcoin u otra criptomoneda a cambio de la clave de descifrado.<\/p>\n
Lo que hace que LockBit sea particularmente peligroso es su capacidad para propagarse r\u00e1pida y eficientemente a trav\u00e9s de una red, lo que le permite infectar r\u00e1pidamente grandes cantidades de m\u00e1quinas y causar un da\u00f1o significativo.<\/p>\n
Tambi\u00e9n tiene la capacidad de eliminar copias de seguridad y copias de sombra, lo que hace que sea dif\u00edcil para las v\u00edctimas recuperar sus datos sin pagar el rescate.<\/p>\n
Como con cualquier ransomware, la mejor manera de protegerse contra LockBit es mantener copias de seguridad actualizadas de los datos importantes e implementar medidas de seguridad s\u00f3lidas para prevenir la infecci\u00f3n en primer lugar.<\/p>\n
Esto incluye el uso de software antivirus, mantener el software actualizado con parches de seguridad y ser cauteloso al abrir correos electr\u00f3nicos o archivos adjuntos sospechosos.<\/p>\n
\u00bfQui\u00e9n est\u00e1 detr\u00e1s de LockBit?<\/h3>\n![\"La](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/02\/Cibercrimen-1-e1677608744692.png\" "\\"\\"")
<\/a>La Segunda<\/figcaption><\/figure>\nLa identidad de los responsables detr\u00e1s de LockBit sigue siendo desconocida. Al igual que otros tipos de ransomware, los operadores de LockBit suelen operar de forma an\u00f3nima y ocultan su identidad y ubicaci\u00f3n a trav\u00e9s de herramientas de cifrado y redes privadas virtuales (VPN).<\/p>\n
Sin embargo, se cree que LockBit es operado por un grupo de ciberdelincuentes que utilizan un modelo de negocio conocido como “ransomware-as-a-service” (RaaS), en el que venden el software malicioso a otros delincuentes que luego lo utilizan en sus propios ataques. Esto hace que sea dif\u00edcil identificar a los responsables finales detr\u00e1s de cada ataque de LockBit.<\/p>\n
Esto implica que el actor puede ser extra nacional o quiz\u00e1s pueda ser un actor local, con s\u00f3lidos conocimientos de los procesos internos de la compa\u00f1\u00eda y alquil\u00f3 el servicio.<\/p>\n
Tomando en cuenta que la ciudad de Rosario, cabecera de la compa\u00f1\u00eda, no descartar\u00eda que las diferentes facciones dedicadas al tr\u00e1fico de sustancias prohibidas, con base en la ciudad, no este comenzado una operaci\u00f3n cibercriminal, alquilando el servicio.<\/p>\n
El d\u00eda del Tsunami<\/h3>\n
El ataque habr\u00eda iniciado su fase de cifrado de contenido, el pasado 11 de febrero, si bien el 12 a la ma\u00f1ana la compa\u00f1\u00eda no inform\u00f3 nada, ya era un secreto a voces de lo ocurrido.<\/p>\n
Las buenas pr\u00e1cticas de seguridad indican que lo adecuado frente a estos casos, es conformar un equipo de emergencia para manejar la crisis.<\/p>\n
Este equipo debe tener 3 columnas claras, por un lado un equipo de comunicaci\u00f3n acostumbrado a manejar crisis, un abogado que califique el riesgo legal de cada acci\u00f3n.<\/p>\n
Por \u00faltimo, un especialista en ransomware conocido como \u201cel negociador\u201d, quien trata toda la comunicaci\u00f3n con el grupo extorsivo.<\/p>\n
La Segunda en lugar de apegarse a las buenas pr\u00e1cticas, opt\u00f3 por guardar silencio y practicar un salvataje interno.<\/p>\n
Regresemos en el tiempo al 6 de Febrero<\/h3>\n
El CCN-CERT Espa\u00f1ol, publica un alerta de seguridad cr\u00edtico en el cual expresa la necesidad urgente de parchar de forma inmediata VMware, para evitar ataques de este tipo.<\/p>\n
Campa\u00f1a de explotaci\u00f3n de vulnerabilidades de VMware ESXi<\/h3>\n
Fecha de publicaci\u00f3n: 06\/02\/2023<\/p>\n
Nivel de peligrosidad: ALTA<\/strong><\/p>\nEl CCN-CERT, del Centro Criptol\u00f3gico Nacional de Espa\u00f1a, avisa de una campa\u00f1a de explotaci\u00f3n de vulnerabilidades que ha tenido como objetivo servidores VMware ESXi, sistema operativo que puede alojar varias m\u00e1quinas virtuales.<\/p>\n
Estos ataques aprovechan una vulnerabilidad descubierta el a\u00f1o 2021, catalogada bajo el CVE-2021-21974, y notificada por la compa\u00f1\u00eda en su respectivo aviso de seguridad.<\/p>\n
Varios investigadores de seguridad afirman que podr\u00edan haber m\u00e1s de 3200 servidores comprometidos.<\/p>\n
Afectando a sistemas pertenecientes a distintas organizaciones ubicadas en varias partes del mundo, destacando Italia, Francia, Finlandia, EE. UU y Canad\u00e1.<\/p>\n
El fabricante public\u00f3 una actualizaci\u00f3n de seguridad que soluciona el fallo.<\/p>\n
La base de datos del NIST ha registrado la vulnerabilidad descrita, asign\u00e1ndole una puntuaci\u00f3n de acuerdo con la escala CVSSv3 de 8.8.<\/p>\n
VMware, por su parte, tambi\u00e9n calific\u00f3 esta vulnerabilidad descubierta el pasado a\u00f1o 2021 como alta. Hasta la fecha, se conocen varios ataques de tipo ransomware que han afectado a varios pa\u00edses, en concreto servidores que no se actualizaron cuando se hizo p\u00fablica la vulnerabilidad.<\/p>\n
Por otro lado, se encuentra p\u00fablica una prueba de concepto (PoC) con los detalles de la vulnerabilidad reportada:<\/p>\n
\u2022VMware ESXi OpenSLP Heap Overflow<\/p>\n
Recursos afectados<\/p>\n
Las vulnerabilidades reportadas afectan a las siguientes versiones:<\/p>\n
\u2022Versiones de VMware ESXi 7.x anteriores a ESXi70U1c-17325551<\/p>\n
\u2022Versiones de ESXi 6.7x anteriores a ESXi670-20212401-SG<\/p>\n
\u2022Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG<\/p>\n
Soluci\u00f3n a las vulnerabilidades<\/p>\n
VMware ha publicado el parche correspondiente para corregir la vulnerabilidad en los productos afectados.<\/p>\n
Como se ha indicado antes, se trata de una vulnerabilidad descubierta en el pasado y, para la cual, existe una soluci\u00f3n desde el 23 de febrero de 2021.<\/p>\n
Por lo tanto, si no se ha hecho con anterioridad, se recomienda aplicar el parche correspondiente lo antes posible, debido a la explotaci\u00f3n de manera activa de la vulnerabilidad:<\/p>\n
\u2022VMware ESXi 7.x: Versi\u00f3n parcheada 7.0 U1c.<\/p>\n
\u2022VMware ESXi 6.7.x: Versi\u00f3n parcheada 6.7 U3l.<\/p>\n
\u2022VMware ESXi 6.5.x: Versi\u00f3n parcheada 6.5 U3n.<\/p>\n
En aquellos casos que no sea posible aplicar la actualizaci\u00f3n, o en servidores con una versi\u00f3n inferior a 6.5x, se recomienda deshabilitar el servicio vulnerable del protocolo de ubicaci\u00f3n de servicios (SLP) en los hipervisores ESXi:<\/p>\n
\u2022Iniciar sesi\u00f3n en los servidores ESXi mediante sesi\u00f3n SSH.<\/p>\n
\u2022Detener el servicio SLP (el servicio SLP solo se puede detener cuando el servicio no est\u00e1 en uso): \/etc.\/init.d\/slpd stop<\/p>\n
\u2022Ejecutar el siguiente comando para deshabilitar el servicio: esxcli network firewall ruleset set -r CIMSLP -e 0<\/p>\n
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualizaci\u00f3n mencionada con el fin de evitar la exposici\u00f3n a ataques externos y la toma de control de los sistemas inform\u00e1ticos.<\/p>\n
\u00bfVMware hizo los deberes?<\/h3>\n
Obviamente que s\u00ed, el 23 de febrero de 2021, si, dos a\u00f1os antes.<\/p>\n
CVE-2021-21974 es un identificador de Vulnerabilidades y Exposiciones Comunes (CVE) asignado a una vulnerabilidad en VMware vSphere Client (HTML5).<\/p>\n
VMware vSphere Client es una aplicaci\u00f3n basada en web que permite a los administradores gestionar entornos VMware vSphere.<\/p>\n
La vulnerabilidad identificada por CVE-2021-21974 es una vulnerabilidad de falsificaci\u00f3n de solicitud en el lado del servidor (SSRF) que puede ser explotada por un atacante para enviar solicitudes no autorizadas desde el vSphere Client a un servidor interno o externo.<\/p>\n
Un atacante con acceso al vSphere Client podr\u00eda utilizar esta vulnerabilidad para acceder a datos sensibles o realizar acciones no autorizadas en nombre del usuario.<\/p>\n
Esta vulnerabilidad afecta a las versiones 6.5, 6.7 y 7.0 de VMware vSphere Client (HTML5).<\/p>\n
VMware public\u00f3 un aviso de seguridad y parches para la vulnerabilidad el 23 de febrero de 2021.<\/p>\n
Se recomienda a los usuarios de las versiones afectadas de VMware vSphere Client que apliquen el parche correspondiente lo antes posible para protegerse contra esta vulnerabilidad.<\/p>\n
Usemos el potencial, aparentemente este parche lleg\u00f3 tarde a La Segunda, nadie del departamento de seguridad lo vio, y la vulnerabilidad estuvo abierta durante dos a\u00f1os, hasta que lleg\u00f3 la noticia imprevista.<\/p>\n
Tampoco seamos duros, tuvimos muchas emociones en estos dos a\u00f1os, la clasificaci\u00f3n y las alegr\u00edas del Mundial de Qatar.<\/p>\n
VMware queda libre de toda responsabilidad, un producto mal administrado es simplemente eso.<\/p>\n
Los cibercriminales, infectaron una m\u00e1quina, y a trav\u00e9s de una vulnerabilidad de VMware, no parchada, escalaron las m\u00e1quina virtuales y tomaron el control de toda la red y de la informaci\u00f3n de la compa\u00f1\u00eda.<\/p>\n
Apenas un par de d\u00edas despu\u00e9s de la crisis una luz asom\u00f3 al final del t\u00fanel, reinstalaron el backup y se reinfectaron, evidentemente la luz era un tren y no la salida.<\/p>\n
Nuevamente un management empresario que no supo entender a tiempo, que la seguridad es un driver del negocio, ante la desesperaci\u00f3n comete otro error garrafal, contrata a una consultora internacional para resolver el problema<\/a>.<\/p>\nQuiz\u00e1s no sea garrafal el error de contratar a una consultora que en los \u00faltimos a\u00f1os alcanz\u00f3 el pin\u00e1culo de la fama por haber sido v\u00edctima de ciertos vectores de ransomware.<\/p>\n
Pero con el talento que existe en la provincia de Santa Fe, con profesionales World class, traer a estos muchachos de Deloitte, no result\u00f3 muy provechoso aparentemente, llevan algo m\u00e1s de 15 d\u00edas y seguimos sin cerrar<\/p>\n
\u00bfC\u00f3mo se presenta Deloitte?<\/h3>\n
Deloitte es una de las mayores firmas de servicios profesionales del mundo, que presta servicios de consultor\u00eda, auditor\u00eda, asesoramiento financiero, fiscal y legal a empresas y organizaciones en todo el mundo.<\/p>\n
Fundada en Londres en 1845, Deloitte opera actualmente en m\u00e1s de 150 pa\u00edses y cuenta con m\u00e1s de 330.000 profesionales en todo el mundo.<\/p>\n
La empresa ofrece una amplia gama de servicios a clientes en una variedad de industrias, incluyendo servicios financieros, tecnolog\u00eda, atenci\u00f3n m\u00e9dica, energ\u00eda, consumo y productos industriales, entre otros.<\/p>\n
Entre los servicios que Deloitte presta se incluyen consultor\u00eda de estrategia y operaciones, transformaci\u00f3n digital, ciberseguridad, an\u00e1lisis de datos, asesoramiento fiscal y legal, contabilidad y auditor\u00eda, entre otros.<\/p>\n
Deloitte es conocida por su enfoque en la innovaci\u00f3n y la tecnolog\u00eda, y ha sido reconocida como una de las empresas m\u00e1s innovadoras del mundo en varias ocasiones.<\/p>\n
La empresa tambi\u00e9n tiene un fuerte compromiso con la responsabilidad social corporativa y se dedica a apoyar a comunidades locales y globales en todo el mundo.<\/p>\n
Una presentaci\u00f3n aparentemente ambiciosa para el escaso resultado existente<\/a>.<\/p>\n\u00bfCu\u00e1les son las buenas pr\u00e1cticas que la industria propone para evitar el ransomware?<\/h3>\n![\"La](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/02\/Barometro-de-riesgos-la-tecnologia-sigue-siendo-un-driver-del-negocio-1.jpg\" "\\"\\"")
<\/a>La Segunda<\/figcaption><\/figure>\nEl ransomware es un tipo de software malicioso que secuestra los archivos de un usuario y los mantiene como rehenes hasta que se paga un rescate.<\/p>\n
Aqu\u00ed hay 20 pr\u00e1cticas que puedes seguir para ayudar a prevenir el ransomware:<\/p>\n
1.\u00a0\u00a0\u00a0 Mant\u00e9n tu sistema operativo y software actualizados con las \u00faltimas actualizaciones y parches de seguridad.<\/p>\n
2.\u00a0\u00a0\u00a0 Usa software antivirus y antimalware actualizado y configurado para actualizar autom\u00e1ticamente.<\/p>\n
3.\u00a0\u00a0\u00a0 Realiza copias de seguridad de tus archivos importantes de manera regular y aseg\u00farate de que est\u00e9n almacenados en un lugar seguro.<\/p>\n
4.\u00a0\u00a0\u00a0 Evita abrir correos electr\u00f3nicos sospechosos y no descargues archivos adjuntos de remitentes desconocidos.<\/p>\n
5.\u00a0\u00a0\u00a0 Utiliza contrase\u00f1as seguras y c\u00e1mbialas regularmente.<\/p>\n
6.\u00a0\u00a0\u00a0 Configura tu firewall para bloquear tr\u00e1fico no autorizado.<\/p>\n
7.\u00a0\u00a0\u00a0 Utiliza software de filtrado de correo electr\u00f3nico para bloquear mensajes de spam y phishing.<\/p>\n
8.\u00a0\u00a0\u00a0 Utiliza autenticaci\u00f3n multifactor para proteger tus cuentas en l\u00ednea.<\/p>\n
9.\u00a0\u00a0\u00a0 No hagas clic en enlaces sospechosos o desconocidos.<\/p>\n
10. Desactiva la opci\u00f3n “mostrar extensiones de archivo conocidas” para evitar que los usuarios conf\u00eden en extensiones de archivo maliciosas.<\/p>\n
11. No descargues software de sitios web no confiables.<\/p>\n
12. Desactiva los complementos de navegador no utilizados.<\/p>\n
13. Limita el acceso a los recursos de red y de archivos solo a los usuarios que los necesitan.<\/p>\n
14. Configura tus permisos de archivo y carpeta correctamente para evitar que se realice la escritura en lugares no deseados.<\/p>\n
15. Desactiva la opci\u00f3n de ejecutar archivos en las carpetas temporales.<\/p>\n
16. Configura tu software de copia de seguridad para que realice una verificaci\u00f3n de integridad de los datos de manera regular.<\/p>\n
17. Utiliza software de detecci\u00f3n de intrusiones y monitorea tus registros de eventos.<\/p>\n
18. Usa una cuenta de usuario no privilegiada para las tareas diarias.<\/p>\n
19. Considera utilizar software de prevenci\u00f3n de ejecuci\u00f3n de datos para proteger tus sistemas de archivos maliciosos.<\/p>\n
20. Educa a tus usuarios sobre c\u00f3mo detectar correos electr\u00f3nicos de phishing y sospechosos, y c\u00f3mo evitar hacer clic en enlaces o descargar archivos sospechosos.<\/p>\n
Parecen pr\u00e1cticas simples, con sentido com\u00fan, pero si hubiesen segmentado la red de forma rigurosa, si hubiesen activado y configurado bien el software de seguridad que tienen, de Fortinet.<\/p>\n
Seguramente nada de esto hubiese ocurrido.<\/p>\n
Evidentemente falt\u00f3 educaci\u00f3n, faltaron certificaciones para especializar al personal para evitar estos problemas, falt\u00f3 empat\u00eda con la provincia al rechazar ofertas locales por considerarlas precisamente \u201clocales\u201d.<\/p>\n
En estos casos la arrogancia de la ignorancia y el silencio son los peores m\u00e9todos de acci\u00f3n para un CEO, que apenas termine este incidente, deber\u00eda renunciar.<\/p>\n
Ya se filtraron los primeros 50Gb de informaci\u00f3n, las filtraciones van a continuar y la cantidad de perjuicios a los clientes asociados ser\u00e1n inmensos.<\/p>\n
\u00bfQu\u00e9 puede hacer un cliente de La Segunda para protegerse ante esta filtraci\u00f3n?<\/p>\n
Si Usted sospecha que los datos de sus medios de pago pueden llevarlo a que roben de identidad, es importante que tome medidas inmediatas para minimizar el da\u00f1o y proteger sus cuentas y datos personales.<\/p>\n
A continuaci\u00f3n, les detallo algunas acciones necesarias que les sugiero tomar:<\/strong><\/h3>\nCambiar todas las contrase\u00f1as:<\/strong> La primera medida que debe tomar es cambiar todas las contrase\u00f1as de las cuentas relacionadas con la identidad robada.<\/p>\nEs recomendable utilizar contrase\u00f1as fuertes y diferentes para cada cuenta.<\/p>\n
Notificar a las autoridades:<\/strong> Es importante denunciar el robo de identidad a las autoridades pertinentes, como la polic\u00eda o la oficina del fiscal del estado.<\/p>\nAdem\u00e1s, es recomendable contactar con el banco o entidad financiera si se ha robado informaci\u00f3n relacionada con sus cuentas bancarias o tarjetas de cr\u00e9dito.<\/p>\n
Notificar a las empresas y organizaciones:<\/strong> Si el usuario ha compartido informaci\u00f3n personal con alguna empresa u organizaci\u00f3n, debe notificarles inmediatamente para que tomen las medidas necesarias.<\/p>\nMonitorear sus cuentas:<\/strong> El usuario debe monitorear sus cuentas bancarias y de tarjetas de cr\u00e9dito regularmente para detectar cualquier actividad sospechosa. Si se detecta algo inusual, se debe notificar a la entidad financiera de inmediato.<\/p>\nObtener un informe de cr\u00e9dito:<\/strong> El usuario debe obtener un informe de cr\u00e9dito de las agencias de cr\u00e9dito para asegurarse de que no se hayan abierto nuevas cuentas de cr\u00e9dito a su nombre sin su conocimiento.<\/p>\nBloquear o cancelar las tarjetas de cr\u00e9dito:<\/strong> Si el usuario sospecha que se han utilizado sus tarjetas de cr\u00e9dito sin su consentimiento, debe bloquearlas o cancelarlas inmediatamente.<\/p>\nUtilizar medidas de protecci\u00f3n de identidad:<\/strong> El usuario puede considerar la posibilidad de utilizar medidas de protecci\u00f3n de identidad, como servicios de vigilancia de cr\u00e9dito o congelaci\u00f3n de cr\u00e9dito, para evitar futuros robos de identidad.<\/p>\nEn general, es importante ser cauteloso y proteger su informaci\u00f3n personal en l\u00ednea para evitar el robo de identidad.<\/p>\n
Si sospecha que ha sido v\u00edctima de un robo de identidad, debe actuar r\u00e1pidamente para minimizar el da\u00f1o.<\/p>\n
Cerrando este informe, me entero que la empresa Metrov\u00edas, estar\u00eda bajo ataque, esto quiz\u00e1s nunca termine.<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/strong><\/p>\nLea m\u00e1s sobre ciberseguridad<\/p>\n
Ciberdelincuentes reclutan a los mejores profesionales 2023<\/a><\/p>\n
<\/a>La identidad de los responsables detr\u00e1s de LockBit sigue siendo desconocida. Al igual que otros tipos de ransomware, los operadores de LockBit suelen operar de forma an\u00f3nima y ocultan su identidad y ubicaci\u00f3n a trav\u00e9s de herramientas de cifrado y redes privadas virtuales (VPN).<\/p>\n
Sin embargo, se cree que LockBit es operado por un grupo de ciberdelincuentes que utilizan un modelo de negocio conocido como “ransomware-as-a-service” (RaaS), en el que venden el software malicioso a otros delincuentes que luego lo utilizan en sus propios ataques. Esto hace que sea dif\u00edcil identificar a los responsables finales detr\u00e1s de cada ataque de LockBit.<\/p>\n
Esto implica que el actor puede ser extra nacional o quiz\u00e1s pueda ser un actor local, con s\u00f3lidos conocimientos de los procesos internos de la compa\u00f1\u00eda y alquil\u00f3 el servicio.<\/p>\n
Tomando en cuenta que la ciudad de Rosario, cabecera de la compa\u00f1\u00eda, no descartar\u00eda que las diferentes facciones dedicadas al tr\u00e1fico de sustancias prohibidas, con base en la ciudad, no este comenzado una operaci\u00f3n cibercriminal, alquilando el servicio.<\/p>\n
El d\u00eda del Tsunami<\/h3>\n
El ataque habr\u00eda iniciado su fase de cifrado de contenido, el pasado 11 de febrero, si bien el 12 a la ma\u00f1ana la compa\u00f1\u00eda no inform\u00f3 nada, ya era un secreto a voces de lo ocurrido.<\/p>\n
Las buenas pr\u00e1cticas de seguridad indican que lo adecuado frente a estos casos, es conformar un equipo de emergencia para manejar la crisis.<\/p>\n
Este equipo debe tener 3 columnas claras, por un lado un equipo de comunicaci\u00f3n acostumbrado a manejar crisis, un abogado que califique el riesgo legal de cada acci\u00f3n.<\/p>\n
Por \u00faltimo, un especialista en ransomware conocido como \u201cel negociador\u201d, quien trata toda la comunicaci\u00f3n con el grupo extorsivo.<\/p>\n
La Segunda en lugar de apegarse a las buenas pr\u00e1cticas, opt\u00f3 por guardar silencio y practicar un salvataje interno.<\/p>\n
Regresemos en el tiempo al 6 de Febrero<\/h3>\n
El CCN-CERT Espa\u00f1ol, publica un alerta de seguridad cr\u00edtico en el cual expresa la necesidad urgente de parchar de forma inmediata VMware, para evitar ataques de este tipo.<\/p>\n
Campa\u00f1a de explotaci\u00f3n de vulnerabilidades de VMware ESXi<\/h3>\n
Fecha de publicaci\u00f3n: 06\/02\/2023<\/p>\n
Nivel de peligrosidad: ALTA<\/strong><\/p>\n El CCN-CERT, del Centro Criptol\u00f3gico Nacional de Espa\u00f1a, avisa de una campa\u00f1a de explotaci\u00f3n de vulnerabilidades que ha tenido como objetivo servidores VMware ESXi, sistema operativo que puede alojar varias m\u00e1quinas virtuales.<\/p>\n Estos ataques aprovechan una vulnerabilidad descubierta el a\u00f1o 2021, catalogada bajo el CVE-2021-21974, y notificada por la compa\u00f1\u00eda en su respectivo aviso de seguridad.<\/p>\n Varios investigadores de seguridad afirman que podr\u00edan haber m\u00e1s de 3200 servidores comprometidos.<\/p>\n Afectando a sistemas pertenecientes a distintas organizaciones ubicadas en varias partes del mundo, destacando Italia, Francia, Finlandia, EE. UU y Canad\u00e1.<\/p>\n El fabricante public\u00f3 una actualizaci\u00f3n de seguridad que soluciona el fallo.<\/p>\n La base de datos del NIST ha registrado la vulnerabilidad descrita, asign\u00e1ndole una puntuaci\u00f3n de acuerdo con la escala CVSSv3 de 8.8.<\/p>\n VMware, por su parte, tambi\u00e9n calific\u00f3 esta vulnerabilidad descubierta el pasado a\u00f1o 2021 como alta. Hasta la fecha, se conocen varios ataques de tipo ransomware que han afectado a varios pa\u00edses, en concreto servidores que no se actualizaron cuando se hizo p\u00fablica la vulnerabilidad.<\/p>\n Por otro lado, se encuentra p\u00fablica una prueba de concepto (PoC) con los detalles de la vulnerabilidad reportada:<\/p>\n \u2022VMware ESXi OpenSLP Heap Overflow<\/p>\n Recursos afectados<\/p>\n Las vulnerabilidades reportadas afectan a las siguientes versiones:<\/p>\n \u2022Versiones de VMware ESXi 7.x anteriores a ESXi70U1c-17325551<\/p>\n \u2022Versiones de ESXi 6.7x anteriores a ESXi670-20212401-SG<\/p>\n \u2022Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG<\/p>\n Soluci\u00f3n a las vulnerabilidades<\/p>\n VMware ha publicado el parche correspondiente para corregir la vulnerabilidad en los productos afectados.<\/p>\n Como se ha indicado antes, se trata de una vulnerabilidad descubierta en el pasado y, para la cual, existe una soluci\u00f3n desde el 23 de febrero de 2021.<\/p>\n Por lo tanto, si no se ha hecho con anterioridad, se recomienda aplicar el parche correspondiente lo antes posible, debido a la explotaci\u00f3n de manera activa de la vulnerabilidad:<\/p>\n \u2022VMware ESXi 7.x: Versi\u00f3n parcheada 7.0 U1c.<\/p>\n \u2022VMware ESXi 6.7.x: Versi\u00f3n parcheada 6.7 U3l.<\/p>\n \u2022VMware ESXi 6.5.x: Versi\u00f3n parcheada 6.5 U3n.<\/p>\n En aquellos casos que no sea posible aplicar la actualizaci\u00f3n, o en servidores con una versi\u00f3n inferior a 6.5x, se recomienda deshabilitar el servicio vulnerable del protocolo de ubicaci\u00f3n de servicios (SLP) en los hipervisores ESXi:<\/p>\n \u2022Iniciar sesi\u00f3n en los servidores ESXi mediante sesi\u00f3n SSH.<\/p>\n \u2022Detener el servicio SLP (el servicio SLP solo se puede detener cuando el servicio no est\u00e1 en uso): \/etc.\/init.d\/slpd stop<\/p>\n \u2022Ejecutar el siguiente comando para deshabilitar el servicio: esxcli network firewall ruleset set -r CIMSLP -e 0<\/p>\n El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualizaci\u00f3n mencionada con el fin de evitar la exposici\u00f3n a ataques externos y la toma de control de los sistemas inform\u00e1ticos.<\/p>\n Obviamente que s\u00ed, el 23 de febrero de 2021, si, dos a\u00f1os antes.<\/p>\n CVE-2021-21974 es un identificador de Vulnerabilidades y Exposiciones Comunes (CVE) asignado a una vulnerabilidad en VMware vSphere Client (HTML5).<\/p>\n VMware vSphere Client es una aplicaci\u00f3n basada en web que permite a los administradores gestionar entornos VMware vSphere.<\/p>\n La vulnerabilidad identificada por CVE-2021-21974 es una vulnerabilidad de falsificaci\u00f3n de solicitud en el lado del servidor (SSRF) que puede ser explotada por un atacante para enviar solicitudes no autorizadas desde el vSphere Client a un servidor interno o externo.<\/p>\n Un atacante con acceso al vSphere Client podr\u00eda utilizar esta vulnerabilidad para acceder a datos sensibles o realizar acciones no autorizadas en nombre del usuario.<\/p>\n Esta vulnerabilidad afecta a las versiones 6.5, 6.7 y 7.0 de VMware vSphere Client (HTML5).<\/p>\n VMware public\u00f3 un aviso de seguridad y parches para la vulnerabilidad el 23 de febrero de 2021.<\/p>\n Se recomienda a los usuarios de las versiones afectadas de VMware vSphere Client que apliquen el parche correspondiente lo antes posible para protegerse contra esta vulnerabilidad.<\/p>\n Usemos el potencial, aparentemente este parche lleg\u00f3 tarde a La Segunda, nadie del departamento de seguridad lo vio, y la vulnerabilidad estuvo abierta durante dos a\u00f1os, hasta que lleg\u00f3 la noticia imprevista.<\/p>\n Tampoco seamos duros, tuvimos muchas emociones en estos dos a\u00f1os, la clasificaci\u00f3n y las alegr\u00edas del Mundial de Qatar.<\/p>\n VMware queda libre de toda responsabilidad, un producto mal administrado es simplemente eso.<\/p>\n Los cibercriminales, infectaron una m\u00e1quina, y a trav\u00e9s de una vulnerabilidad de VMware, no parchada, escalaron las m\u00e1quina virtuales y tomaron el control de toda la red y de la informaci\u00f3n de la compa\u00f1\u00eda.<\/p>\n Apenas un par de d\u00edas despu\u00e9s de la crisis una luz asom\u00f3 al final del t\u00fanel, reinstalaron el backup y se reinfectaron, evidentemente la luz era un tren y no la salida.<\/p>\n Nuevamente un management empresario que no supo entender a tiempo, que la seguridad es un driver del negocio, ante la desesperaci\u00f3n comete otro error garrafal, contrata a una consultora internacional para resolver el problema<\/a>.<\/p>\n Quiz\u00e1s no sea garrafal el error de contratar a una consultora que en los \u00faltimos a\u00f1os alcanz\u00f3 el pin\u00e1culo de la fama por haber sido v\u00edctima de ciertos vectores de ransomware.<\/p>\n Pero con el talento que existe en la provincia de Santa Fe, con profesionales World class, traer a estos muchachos de Deloitte, no result\u00f3 muy provechoso aparentemente, llevan algo m\u00e1s de 15 d\u00edas y seguimos sin cerrar<\/p>\n Deloitte es una de las mayores firmas de servicios profesionales del mundo, que presta servicios de consultor\u00eda, auditor\u00eda, asesoramiento financiero, fiscal y legal a empresas y organizaciones en todo el mundo.<\/p>\n Fundada en Londres en 1845, Deloitte opera actualmente en m\u00e1s de 150 pa\u00edses y cuenta con m\u00e1s de 330.000 profesionales en todo el mundo.<\/p>\n La empresa ofrece una amplia gama de servicios a clientes en una variedad de industrias, incluyendo servicios financieros, tecnolog\u00eda, atenci\u00f3n m\u00e9dica, energ\u00eda, consumo y productos industriales, entre otros.<\/p>\n Entre los servicios que Deloitte presta se incluyen consultor\u00eda de estrategia y operaciones, transformaci\u00f3n digital, ciberseguridad, an\u00e1lisis de datos, asesoramiento fiscal y legal, contabilidad y auditor\u00eda, entre otros.<\/p>\n Deloitte es conocida por su enfoque en la innovaci\u00f3n y la tecnolog\u00eda, y ha sido reconocida como una de las empresas m\u00e1s innovadoras del mundo en varias ocasiones.<\/p>\n La empresa tambi\u00e9n tiene un fuerte compromiso con la responsabilidad social corporativa y se dedica a apoyar a comunidades locales y globales en todo el mundo.<\/p>\n Una presentaci\u00f3n aparentemente ambiciosa para el escaso resultado existente<\/a>.<\/p>\n El ransomware es un tipo de software malicioso que secuestra los archivos de un usuario y los mantiene como rehenes hasta que se paga un rescate.<\/p>\n Aqu\u00ed hay 20 pr\u00e1cticas que puedes seguir para ayudar a prevenir el ransomware:<\/p>\n 1.\u00a0\u00a0\u00a0 Mant\u00e9n tu sistema operativo y software actualizados con las \u00faltimas actualizaciones y parches de seguridad.<\/p>\n 2.\u00a0\u00a0\u00a0 Usa software antivirus y antimalware actualizado y configurado para actualizar autom\u00e1ticamente.<\/p>\n 3.\u00a0\u00a0\u00a0 Realiza copias de seguridad de tus archivos importantes de manera regular y aseg\u00farate de que est\u00e9n almacenados en un lugar seguro.<\/p>\n 4.\u00a0\u00a0\u00a0 Evita abrir correos electr\u00f3nicos sospechosos y no descargues archivos adjuntos de remitentes desconocidos.<\/p>\n 5.\u00a0\u00a0\u00a0 Utiliza contrase\u00f1as seguras y c\u00e1mbialas regularmente.<\/p>\n 6.\u00a0\u00a0\u00a0 Configura tu firewall para bloquear tr\u00e1fico no autorizado.<\/p>\n 7.\u00a0\u00a0\u00a0 Utiliza software de filtrado de correo electr\u00f3nico para bloquear mensajes de spam y phishing.<\/p>\n 8.\u00a0\u00a0\u00a0 Utiliza autenticaci\u00f3n multifactor para proteger tus cuentas en l\u00ednea.<\/p>\n 9.\u00a0\u00a0\u00a0 No hagas clic en enlaces sospechosos o desconocidos.<\/p>\n 10. Desactiva la opci\u00f3n “mostrar extensiones de archivo conocidas” para evitar que los usuarios conf\u00eden en extensiones de archivo maliciosas.<\/p>\n 11. No descargues software de sitios web no confiables.<\/p>\n 12. Desactiva los complementos de navegador no utilizados.<\/p>\n 13. Limita el acceso a los recursos de red y de archivos solo a los usuarios que los necesitan.<\/p>\n 14. Configura tus permisos de archivo y carpeta correctamente para evitar que se realice la escritura en lugares no deseados.<\/p>\n 15. Desactiva la opci\u00f3n de ejecutar archivos en las carpetas temporales.<\/p>\n 16. Configura tu software de copia de seguridad para que realice una verificaci\u00f3n de integridad de los datos de manera regular.<\/p>\n 17. Utiliza software de detecci\u00f3n de intrusiones y monitorea tus registros de eventos.<\/p>\n 18. Usa una cuenta de usuario no privilegiada para las tareas diarias.<\/p>\n 19. Considera utilizar software de prevenci\u00f3n de ejecuci\u00f3n de datos para proteger tus sistemas de archivos maliciosos.<\/p>\n 20. Educa a tus usuarios sobre c\u00f3mo detectar correos electr\u00f3nicos de phishing y sospechosos, y c\u00f3mo evitar hacer clic en enlaces o descargar archivos sospechosos.<\/p>\n Parecen pr\u00e1cticas simples, con sentido com\u00fan, pero si hubiesen segmentado la red de forma rigurosa, si hubiesen activado y configurado bien el software de seguridad que tienen, de Fortinet.<\/p>\n Seguramente nada de esto hubiese ocurrido.<\/p>\n Evidentemente falt\u00f3 educaci\u00f3n, faltaron certificaciones para especializar al personal para evitar estos problemas, falt\u00f3 empat\u00eda con la provincia al rechazar ofertas locales por considerarlas precisamente \u201clocales\u201d.<\/p>\n En estos casos la arrogancia de la ignorancia y el silencio son los peores m\u00e9todos de acci\u00f3n para un CEO, que apenas termine este incidente, deber\u00eda renunciar.<\/p>\n Ya se filtraron los primeros 50Gb de informaci\u00f3n, las filtraciones van a continuar y la cantidad de perjuicios a los clientes asociados ser\u00e1n inmensos.<\/p>\n \u00bfQu\u00e9 puede hacer un cliente de La Segunda para protegerse ante esta filtraci\u00f3n?<\/p>\n Si Usted sospecha que los datos de sus medios de pago pueden llevarlo a que roben de identidad, es importante que tome medidas inmediatas para minimizar el da\u00f1o y proteger sus cuentas y datos personales.<\/p>\n Cambiar todas las contrase\u00f1as:<\/strong> La primera medida que debe tomar es cambiar todas las contrase\u00f1as de las cuentas relacionadas con la identidad robada.<\/p>\n Es recomendable utilizar contrase\u00f1as fuertes y diferentes para cada cuenta.<\/p>\n Notificar a las autoridades:<\/strong> Es importante denunciar el robo de identidad a las autoridades pertinentes, como la polic\u00eda o la oficina del fiscal del estado.<\/p>\n Adem\u00e1s, es recomendable contactar con el banco o entidad financiera si se ha robado informaci\u00f3n relacionada con sus cuentas bancarias o tarjetas de cr\u00e9dito.<\/p>\n Notificar a las empresas y organizaciones:<\/strong> Si el usuario ha compartido informaci\u00f3n personal con alguna empresa u organizaci\u00f3n, debe notificarles inmediatamente para que tomen las medidas necesarias.<\/p>\n Monitorear sus cuentas:<\/strong> El usuario debe monitorear sus cuentas bancarias y de tarjetas de cr\u00e9dito regularmente para detectar cualquier actividad sospechosa. Si se detecta algo inusual, se debe notificar a la entidad financiera de inmediato.<\/p>\n Obtener un informe de cr\u00e9dito:<\/strong> El usuario debe obtener un informe de cr\u00e9dito de las agencias de cr\u00e9dito para asegurarse de que no se hayan abierto nuevas cuentas de cr\u00e9dito a su nombre sin su conocimiento.<\/p>\n Bloquear o cancelar las tarjetas de cr\u00e9dito:<\/strong> Si el usuario sospecha que se han utilizado sus tarjetas de cr\u00e9dito sin su consentimiento, debe bloquearlas o cancelarlas inmediatamente.<\/p>\n Utilizar medidas de protecci\u00f3n de identidad:<\/strong> El usuario puede considerar la posibilidad de utilizar medidas de protecci\u00f3n de identidad, como servicios de vigilancia de cr\u00e9dito o congelaci\u00f3n de cr\u00e9dito, para evitar futuros robos de identidad.<\/p>\n En general, es importante ser cauteloso y proteger su informaci\u00f3n personal en l\u00ednea para evitar el robo de identidad.<\/p>\n Si sospecha que ha sido v\u00edctima de un robo de identidad, debe actuar r\u00e1pidamente para minimizar el da\u00f1o.<\/p>\n Cerrando este informe, me entero que la empresa Metrov\u00edas, estar\u00eda bajo ataque, esto quiz\u00e1s nunca termine.<\/p>\n <\/p>\n Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/strong><\/p>\n Lea m\u00e1s sobre ciberseguridad<\/p>\n Ciberdelincuentes reclutan a los mejores profesionales 2023<\/a><\/p>\n\u00bfVMware hizo los deberes?<\/h3>\n
\u00bfC\u00f3mo se presenta Deloitte?<\/h3>\n
\u00bfCu\u00e1les son las buenas pr\u00e1cticas que la industria propone para evitar el ransomware?<\/h3>\n
<\/a>A continuaci\u00f3n, les detallo algunas acciones necesarias que les sugiero tomar:<\/strong><\/h3>\n