Los ciudadanos rusos se convierten en víctimas colaterales de los ciberdelicuentes.
Seguridad IT

La ciberguerra a pie de calle

457 3 minutos de lectura

La guerra está teniendo consecuencias desastrosas en todos los ámbitos, también en el cibernético. Por ello, y ante el incremento de campañas de phishing y malware promovidaspor atacantes rusos contra empresas de su propio país, Netskope, el líder en SASE, muestra cómo mitigar el riesgo de que se utilicen instancias en la nube falsas para entregar contenido malicioso.

Hasta el momento, la mayoría de los actores de amenazas de origen rusohabían optado por respetar a las organizaciones locales, a excepción de algunos, como el operador de ransomware OldGremlin, que lleva desde la primavera de 2020 lanzando ofensivas contra dichas empresas.

Ahora, y aprovechando el hecho de que los ciudadanos están más expuestos de lo habitual, debido a que muchos proveedores de seguridad han suspendido sus operaciones en este mercado, este grupo ha resurgido con dos nuevas campañas de phishing, que se benefician de las sanciones que actualmente afectan al país.

CAT

La primera de ellas, lanzada el pasado 22 de marzo, aprovecha la suspensión de las operaciones de Visa y Mastercard en Rusia, para engañar al usuario y que éste rellene un formulario para solicitar una nueva tarjeta. El supuesto documento es en realidad un documento de Office malicioso ubicado en Dropbox y que, una vez ejecutado, carga una plantilla alojada en el mismo servicio. A través de una puerta trasera denominada TinyFluff, los atacantes pueden controlar el endpoint comprometido y realizar actividades maliciosas como el robo de información y de archivos, y la descarga de archivos arbitrarios.

El 25 de marzo se descubrió una versión adicional y simplificada de esta campaña, y a pesar de que esta segunda operación entrega una versión más simple del TinyFluff, igualmente explota Dropbox para entregar los archivos utilizados en la etapa inicial del ataque.

Paolo Passeri, director de Ciber-inteligencia de Netskope, comenta: ‘Una vez más, los atacantes han utilizado un servicio en la nube conocido para entregar contenido malicioso, y en este caso específico también están aprovechando la situación geopolítica que está provocando que tanto las organizaciones como los individuos sean más vulnerables’.

Sin embargo, esta no es la única campaña reciente que ha explotado Dropbox, en un ejemplo completamente diferente los actores de la amenaza apuntaron al sector bancario africano a través del RemcosRAT entregado desde Dropbox (de nuevo), y un viejo conocido como OneDrive. Curiosamente en esta segunda campaña la carga útil se entrega a través del descargador GuLoader que, al menos en este caso, no se entrega a través de un servicio en la nube, sino por medio de Técnicas HTML Smuggling.

Tráfico web seguro con Netskope

Para ayudar a estas empresas, Netskope consigue minimizar el riesgo de que se utilicen instancias en la nube falsas para entregar contenido malicioso. De este modo, y durante la cadena de un ataque, a través de su Proxy Web SWG de próxima generación (Next Gen Secure Web Gateway (SWG), Netskope permite:

  • Bloquear el acceso (y, en general, aplicar controles granulares) a docenas de servicios en la nube como Dropbox, donde pueden utilizarse instancias tanto personales como no corporativas.
  • Evitar la descarga de un documento malicioso desde una página web o un servicio en la nube mediante el Motor de Protección contra Amenazas (ThreatProtectionEngine), que ofrece varios motores, entre ellos el AV basado en firmas, la heurística avanzada, el sandboxing y un escáner basado en ML para documentos y ejecutables de Office.
  • Impedir cualquier redirección dentro de la cadena killchain, gracias al motor de filtrado de contenidos, el cual incluye 16 categorías de riesgos de seguridad granulares, como phishing y puntos de distribución de malware.
  • Reforzar la neutralización de los ataques, a través de Cloud Threat Exchange, un componente de Netskope Cloud Exchange, que posibilita la compartición bidireccional automatizada de IoC (hashes, IPs, dominios y URLs) con terceros, como las tecnologías EDR y los feeds de inteligencia de amenazas.

Obtener mayor información sobre seguridad con Netskope Advanced Analytics, que proporciona un panel de protección contra amenazas específico con datos detallados sobre el tráfico malicioso ubicado en las instancias de la nube y en las páginas web no corporativas, los usuarios más atacados, las principales aplicaciones explotadas para distribuir contenido malicioso, etc. Una valiosa herramienta para los equipos SOC y los responsables de responder a los incidentes.

¡MANTENGÁMONOS EN CONTACTO!

Nos encantaría que estuvieras al día de nuestras últimas noticias y ofertas 😎

Autorizo al Prensario y a los anunciantes a almacenar los datos solicitados y acepto que puedan enviarme comunicaciones de sus productos y servicios. *

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Etiquetas
457 3 minutos de lectura
Mostrar más

Publicaciones relacionadas

Edwin Guerrero, de OpenText: ‘Cuidamos la infraestructura de software desde un ángulo de 360 grados’

04/24/2024

Pamela Skokanov, de IBM: ‘Hoy el riesgo no sólo radica en el hackeo de una cuenta, hay todo un mercado destinado al robo de identidades’

04/24/2024

Emiliano Piscitelli, CEO de BeyGoo: ‘La IA es fundamental en nuestra plataforma’

04/24/2024
Moderación: Juan Harán, Manager of Corporate Communications ESET Latinoamérica. Fabiana Ramirez, Security Researcher ESET Latinoamérica Romina Garrido, Directora de Protección de Datos. Prieto Abogados.

Las empresas de Chile requieren urgente la Ley de Protección de Datos

04/24/2024
Botón volver arriba