{"id":107800,"date":"2021-09-16T12:02:55","date_gmt":"2021-09-16T15:02:55","guid":{"rendered":"https:\/\/www.elsindical.com.ar\/notas\/?p=107800"},"modified":"2021-09-16T12:02:56","modified_gmt":"2021-09-16T15:02:56","slug":"cifrado-intermitente-la-nueva-tecnica-que-los-cibercriminales-utilizan-para-evadir-la-seguridad","status":"publish","type":"post","link":"https:\/\/www.elsindical.com.ar\/notas\/cifrado-intermitente-la-nueva-tecnica-que-los-cibercriminales-utilizan-para-evadir-la-seguridad\/","title":{"rendered":"Cifrado intermitente: la nueva t\u00e9cnica que los cibercriminales utilizan para evadir la seguridad"},"content":{"rendered":"\n
\"\"<\/a><\/figure>\n\n\n\n

Sophos, empresa de ciberseguridad de \u00faltima generaci\u00f3n, revel\u00f3 en una reciente investigaci\u00f3n<\/a> la forma en que los operadores detr\u00e1s del ransomware<\/em> LockFile cifran los archivos vulnerados en paquetes de 16 bytes, para evadir la detecci\u00f3n de amenazas.<\/p>\n\n\n\n

Los investigadores de Sophos llamaron a este novedoso enfoque \u201ccifrado intermitente\u201d<\/strong>, ya que ayuda al ransomware<\/em> a evitar que se activen las se\u00f1al de alerta en los equipos de ciberseguridad, esto ya que los archivos cifrados se ve estad\u00edsticamente muy similares a su original. Esta es la primera vez que los investigadores de Sophos han visto este enfoque utilizado en ransomware.<\/em><\/p>\n\n\n\n

\u201cLos operadores de ransomware utilizan generalmente el cifrado parcial para acelerar el proceso de cifrado y hemos visto que BlackMatter, DarkSide y LockBit 2.0 implementan esta t\u00e9cnica\u201d, <\/em>dijo Mark Loman, director de ingenier\u00eda de Sophos. \u201cLo que distingue a LockFile es que, a diferencia de los dem\u00e1s, no cifra los primeros bloques. En cambio, cifra los 16 bytes restantes de un documento. Esto significa que un archivo, como un documento de texto, permanece parcialmente legible y se parece estad\u00edsticamente al original. Este truco puede tener \u00e9xito contra el software de detecci\u00f3n de ransomware que se basa en inspeccionar el contenido mediante an\u00e1lisis estad\u00edstico para detectar el cifrado<\/em>\u201d, explica.<\/p>\n\n\n\n

El especialista se\u00f1ala que los operadores detr\u00e1s de LockFile se han mostrado muy ansiosos por utilizar este enfoque para aprovechar las vulnerabilidades recientemente dadas a conocer, como los errores ProxyShell.<\/a> El mensaje desde Sophos para los defensores es que el panorama de las amenazas cibern\u00e9ticas nunca se detiene y los adversarios aprovechar\u00e1n r\u00e1pidamente todas las oportunidades o herramientas posibles para lanzar un ataque.<\/p>\n\n\n\n

Otro hallazgo clave de Sophos es que el ransomware LockFile utiliza un proceso relativamente poco com\u00fan conocido como \u201centrada\/salida (E\/S) mapeada en memoria\u201d. Esta t\u00e9cnica permite que el ransomware<\/em> cifre de forma invisible los documentos y los almacena en cach\u00e9 de la memoria de la computadora, sin crear tr\u00e1fico detectable para las soluciones de ciberseguridad Esta t\u00e9cnica tambi\u00e9n ha sido utilizada por WastedLocker y Maze<\/p>\n\n\n\n

A diferencia de otras amenazas dirigidas por humanos, LockFile no necesita conectarse a un centro de comando y control para comunicarse. Esto le ayuda a mantener la actividad de ataque bajo el radar de detecci\u00f3n durante el mayor tiempo posible. Una vez que ha cifrado todos los documentos en la m\u00e1quina, se borra. Esto significa que, despu\u00e9s del ataque, no hay un c\u00f3digo binario de ransomware<\/em> que el software de protecci\u00f3n de endpoints<\/em> pueda encontrar o limpiar. Adicionalmente, LockFile evita encriptar cerca de 800 archivos diferentes por extensi\u00f3n, lo que vuelve m\u00e1s confuso el trabajo para los equipos de ciberseguridad.<\/p>\n\n\n\n

\u00bfQu\u00e9 hacer ante LockFile?<\/strong><\/h4>\n\n\n\n

Sophos recomienda, primero, implementar la protecci\u00f3n en capas. Dado que m\u00e1s ataques de ransomware<\/em> tambi\u00e9n implican extorsi\u00f3n, se debe utilizar la protecci\u00f3n en capas para bloquear a los atacantes en tantos puntos como sea posible. Tambi\u00e9n se recomienda combinar el trabajo de expertos humanos y tecnolog\u00eda anti-ransomware<\/em> ya que la tecnolog\u00eda proporciona la escala y la automatizaci\u00f3n que necesita una estrategia de defensa, mientras que los expertos humanos son los m\u00e1s capaces de detectar las t\u00e1cticas, t\u00e9cnicas y procedimientos reveladores que indican que un atacante est\u00e1 intentando ingresar al entorno.<\/p>\n\n\n\n

Las empresas deben asegurarse de que las herramientas, los procesos y el personal adecuados est\u00e9n disponibles para supervisar, investigar y responder a las amenazas observadas en el entorno. Los atacantes de ransomware a menudo programan su ataque durante las horas de menor actividad, los fines de semana o durante las vacaciones, asumiendo que poco o ning\u00fan personal est\u00e1 mirando.<\/p>\n\n\n\n

Se deben establecer contrase\u00f1as seguras que sirven como una de las primeras l\u00edneas de defensa. Tambi\u00e9n se debe utilizar la autenticaci\u00f3n multifactor (MFA), ya que incluso las contrase\u00f1as seguras pueden verse comprometidas. Cualquier forma de autenticaci\u00f3n multifactor es mejor para asegurar el acceso a recursos cr\u00edticos como correo electr\u00f3nico, herramientas de administraci\u00f3n remota y activos de red.<\/p>\n\n\n\n

Las compa\u00f1\u00edas deben realizar constantes escaneos de su red desde el exterior e identificar los puertos com\u00fanmente utilizados, como las herramientas de acceso remoto. Si una m\u00e1quina necesita volverse accesible mediante una herramienta de administraci\u00f3n remota, esa herramienta debe ser colocada detr\u00e1s de una VPN o una otra soluci\u00f3n segura. Tambi\u00e9n es fundamental que se generen copias de seguridad sin conexi\u00f3n de informaci\u00f3n y mantenerlas actualizadas.<\/p>\n\n\n\n

Hacer un inventario de los activos y cuentas es importante ya que los dispositivos sin parches en la red aumentan el riesgo y crean una situaci\u00f3n en la que las actividades maliciosas podr\u00edan pasar desapercibidas. Es vital tener un inventario actualizado de todas las computadoras y dispositivos IOT conectados. Utilizar exploraciones de red y comprobaciones f\u00edsicas para localizarlos y catalogarlos se vuelve crucial. Finalmente se debe mantener todo con los parches actualizados y verificar dos veces que esas protecciones se hayan instalado correctamente.<\/p>\n\n\n\n

Fuente: Itseller<\/p>\n","protected":false},"excerpt":{"rendered":"

Sophos, empresa de ciberseguridad de \u00faltima generaci\u00f3n, revel\u00f3 en una reciente investigaci\u00f3n la forma en que los operadores detr\u00e1s del ransomware LockFile cifran los archivos vulnerados en paquetes de 16 bytes, para evadir la detecci\u00f3n de amenazas. Los investigadores de Sophos llamaron a este novedoso enfoque \u201ccifrado intermitente\u201d, ya que ayuda al ransomware a evitar…<\/p>\n","protected":false},"author":1,"featured_media":107801,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29],"tags":[35535,35534,2450,35536,613],"class_list":["post-107800","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-informatica","tag-cibercriminales","tag-cifrado-intermitente","tag-diario-el-sindical","tag-lockfile","tag-seguridad"],"_links":{"self":[{"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/posts\/107800","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/comments?post=107800"}],"version-history":[{"count":1,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/posts\/107800\/revisions"}],"predecessor-version":[{"id":107802,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/posts\/107800\/revisions\/107802"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/media\/107801"}],"wp:attachment":[{"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/media?parent=107800"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/categories?post=107800"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/tags?post=107800"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}