Proteger a los trabajadores a distancia

Como se ha mencionado en artículos anteriores, Securonix, ha dedicado todo un grupo de trabajo a perfilar las principales amenazas que están apareciendo bajo la apariencia de COVID-19 con nombres de dominio o correos electrónicos. El investigación de amenazas equipo ha ha observado que los actores de amenazas maliciosas intentan explotar un número cada vez mayor de los vectores de ciberataque asociados como:

  1. Ransomware que utiliza el arma COVID-19/documentos relacionados con el coronavirus que interrumpen las operaciones críticas de la sanidad y otras empresas;
  2. Personalizado COVID-19 Ataques de phishing temáticos con documentos maliciosos para robar credenciales de personal remoto e infiltrarse en diversas organizaciones;
  3. Malware que utiliza falsos mapas de coronavirus en vivo / aplicaciones de monitoreo a medida con fines maliciosos, Secuestradores de DNS que cambian importante registros;
  4. Malicioso y troyanizado aplicaciones/.apks relacionado con el coronavirus que explota los dispositivos BYOD/Android de los trabajadores remotos;
  5. Ataques que explotan servidores de acceso remoto/VPN aprovechando el aumento mundial del número de usuarios remotos.

Securonix‘s El Equipo de Investigación de Amenazas ha estado investigando activamente y vigilando de cerca los ciberataques y la actual cambio hacia un mano de obra remota para ayudar a las empresas a mejorar la seguridad de los usuarios remotos para aumentar el posibilidades de detectar ambos ciberataques críticos actuales y futuros en un entorno cambiante. Esto es para para minimizarse la probabilidad de interrupciones que afectarán a a las operaciones principales de la empresa.

Para ayudar a las empresas, Securonix has compiló una serie de detalles relevantes y recomendaciones para ayudar las empresas a gestionar el seguimiento de un personal remoto, incluyendo algunos detalles sobre los ciberataques observados y ejemplos de amenazas en la naturaleza con el fin de ayudar snte las operaciones de seguridad/SOC, las operaciones de TI, los equipos de amenazas internas, y Recursos humanos.

Más del ransomware apareceParece que ser una variante de la SNSLocker, propagado a través de un COVID-19 informe de situación (sitrep) correo electrónico:

COVID-19 Correo electrónico de phishing

Figura 1: Correo electrónico de phishing de una falsa infección por COVID-19

Una vez que el usuario abre el documento, los datos sensibles son inmediatamente encriptados por el ransomware:

Investigación de amenazas de Securonix

Figura 2: Ransomware de documento de Excel con temática Covid19/Coronavirus

También hemos visto un aumento en el robo de credenciales relacionado con COVID-19. Estos son a menudo empujado a través de varios correos electrónicos, tal as falso correo electrónico de notificación de infección por COVID-19. Si se abre, el el implante descarga un malware de segunda fase con múltiples variantes que aparecen conen algunos de los registros observados que se muestran en la Figura 3. Una vez instalados en su dispositivo, tienen el potencial de realizar acciones maliciosas como Robar las cookies del navegador web, enumerar la información del sistema y las acciones; Robo de carteras de criptomonedas; y Exfiltración de información robada.

COVID-19 SCAM

Figura 3: Correo electrónico de phishing con falsa infección por COVID-19 – Arma inicial del exploit doc cargando una DLL maliciosa

Hay varias fuentes de registro/datos recomendadas para ayudar a los equipos de seguridad a las variantes de ciberataques relevantes como parte de la supervisión del personal remoto/WFH. Firstly, Securonix recomienda utilizar los registros del servidor VPN. Para permitir la visibilidad adecuada, las empresas deben considerar la revisión de las políticas de VPN para asegurar que la división-tunelización para lograr el mayor nivel de visibilidad posible. En segundo lugar, los registros de aplicaciones en la nube/software como servicio (SaaS) deben ser utilizados por los usuarios del personal remoto. En tercer lugar, los registros de inicio de sesión único (SSO) y 2FA/MFA deberían utilizarse para limitar el acceso no autorizado. Por último, los registros de EDR/estaciones de trabajo remotas, los registros de la pasarela de correo electrónico, CASB y otros registros pueden utilizarse para mantener la seguridad.

¿Cuáles son algunos de los casos de uso prioritario recomendados?

Algunos de los más importantes casos de uso recomendados por Securonix incluyen:

  • Evento de gravedad inusual para su dispositivo de servidor VPN; Autentificación de la cuenta desde una geolocalización rara;
  • Conexión VPN desde un proxy anónimo;
  • Conexión a un dominio raro para un grupo de pares seguido de una descarga de un ejecutable;
  • Correos electrónicos de typosquatted dominio;
  • Número anormal de correos electrónicos o datos enviados a un destinatario externo poco frecuente;
  • Duración inusual de la sesión VPN o acceso a datos
  • Aumento inusual de acceso a datos sensibles para un usuario

Este tiempo anormal es difícil para los equipos de seguridad y los individuos; sin embargo, este tiempo llegará a su fin. Mientras tanto, debemos trabajar todos juntos para garantizar que los datos más sensibles estén protegidos en todo momento. Esta es una tarea continua; sin embargo, es algo que debe completarse si queremos ganar la persistente batalla contra los ciberdelincuentes.