Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive

Aumentan los presupuestos de ciberseguridad para sistemas de control industrial y tecnología operativa: Instituto SANS

Introducción

Nozomi Networks y el Instituto SANS publicaron una encuesta que muestra que las empresas están invirtiendo más en la ciberseguridad del sistema de control industrial (ICS) para adaptarse al panorama de amenazas cibernéticas cada vez más elaborado.

La encuesta 2021 SANS ICS / OT obtuvo 480 respuestas, y el 47% informó que sus presupuestos de seguridad ICS aumentaron en los últimos dos años. Otro 32% dijo que no había habido cambios.

Casi la mitad de los encuestados dijeron que no sabían si sus organizaciones sufrieron un incidente de ciberseguridad, mientras que solo el 15% admitió haber tenido uno en los últimos 12 meses.

De los que dijeron que se ocuparon de incidentes de ciberseguridad, más de la mitad dijeron que pudieron detectar el compromiso entre 6 y 24 horas. El treinta por ciento pudo detectar el compromiso en menos de seis horas.

 

 

Fuente:  https://www.zdnet.com/article/cybersecurity-budgets-for-industrial-control-systems-increasing-sans-institute/

 

Tags:

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

Vulnerabilidades en Cisco

Resumen
Cisco ha reportado una vulnerabilidad de severidad crítica por la que un atacante remoto no autenticado podría leer o escribir archivos arbitrarios.

Prioridad
Critica

Detalle
Un control de acceso inadecuado podría permitir a un atacante, remoto y no autenticado, leer o escribir archivos arbitrarios, cargando un archivo en un dispositivo a través de un punto final específico de la API de los productos afectados. Se ha asignado el identificador CVE-2021-1577 para esta vulnerabilidad.

Referencias (CVE)
CVE-2021-1577

Productos Afectados

  • Actualizar a la versión corregida según corresponda:
  • para versiones anteriores a la 3.2, 4.0, 4.1 y 5.0, migrar a una versión corregida;
  • para la versión 3.2, actualizar a la 3.2 (10e);
  • para la versión 4.2, actualizar a la 4.2 (6h);
  • para la versión 5.1, actualizar a la 5.1 (3e).

Recomendaciones
Versiones de software 3.2 y anteriores, 4.0, 4.1, 4.2, 5.0 y 5.1 de los siguientes productos:
Cisco APIC;
Cisco Cloud APIC..

 

Fuente:  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-frw-Nt3RYxR2

 

Tags:

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

Vulnerabilidades en WMWare

Resumen
VMWare ha informado sobre nuevas fallas de seguridad que afectan a sus productos, que pueden conducir a la divulgación de información y elevación de privilegios.

Prioridad
Critica

Detalle
Las vulnerabilidades se deben a fallas presentes en la API de vRealize Operations Manager, las cuales incluyen:

• vulnerabilidad de lectura arbitraria de archivos
• vulnerabilidad de lectura de archivos de registro
• vulnerabilidad de control de acceso
• vulnerabilidad de falsificación de solicitudes del lado del servidor

Referencias (CVE)

CVE-2021-22022

CVE-2021-22023

CVE-2021-22024

CVE-2021-22025

CVE-2021-22026

CVE-2021-22027

Productos Afectados

Se recomienda aplicar las actualizaciones de seguridad emitidas por el proveedor, realizando respaldos y pruebas de compatibilidad previamente

  • vRealize_Operations_Manager_ProxyRC-8.4.0-to-8.4.0.18456797.pak

  • vRealize_Operations_Manager_ProxyRC-8.4.0-to-8.4.0.18456797.pak

  • vRealize_Operations_Manager-VA-8.xa-8.3.0.18439213.pak

  • vRealize_Operations_Manager-VA-8.xa-8.2.0.18439239.pak

  • vRealize_Operations_Manager-VA-8.xa-8.1.1.18442224.pak

  • vRealize_Operations_Manager-VA-8.xa-8.0.1.18442173.pak

  • vRealize_Operations_Manager-VA-7.5.0.18439326.pak

Recomendaciones

vRealize Operations Manager versiones 8.4.0, 8.3.0, 8.2.0, 8.1.1, 8.1.0, 8.0.1, 8.0.0, 7.5.0.

VMware Cloud Foundation (vROps) versiones 4.X, 3.X

vRealize Suite Lifecycle Manager (vROps) versión 8.X.

 

Fuente:  https://www.vmware.com/security/advisories.html

 

Tags:

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive

 

Introducción

El Centro de Respuesta a Incidentes Informáticos de la ARCOTEL – EcuCERT, dentro de su gestión y como parte del apoyo recibió de su red de confianza nacional la notificación de posibles afectaciones a organizaciones en el país, por la contaminación con el ransomware de la familia RANSOMEXX, por lo que a fin de que se tomen las respectivas medidas preventivas y correctivas emite esta alerta, con información técnica para su mitigación.

Este ransomware inició con el nombre de Defray en 2018, pero se volvió más peligroso en junio de 2020 cuando cambió su nombre a RansomEXX (Ransom X, AKA Defray777, Ransom.exx o RansomExx) y comenzó a apuntar a grandes entidades corporativas.

RansomEXX ingresa a una red a través de credenciales comprometidas por ataques previos tipo phishing, ataques de fuerza bruta a conexiones de escritorio remoto RDP y/o mediante la utilización de exploits hacia sistemas no parchados.
Una vez que obtienen el acceso, se propaga silenciosamente por toda la red, mientras roba archivos no cifrados para usarlos en intentos de extorsión posteriores.
Finalmente, luego de obtener acceso a una contraseña de administrador, implementa el ransomware en la red y cifran todos sus dispositivos.

Descripción técnica
Cuando se ejecuta RansomEXX, este interrumpe una variedad de procesos de seguridad, herramientas de administración remota y servidores de bases de datos. Luego, toma más medidas para obstruir los intentos de recuperación, incluido el borrado de los registros de eventos de Windows, la eliminación de diarios NTFS, la desactivación de Restaurar sistema y el Entorno de recuperación de Windows, la eliminación de catálogos de copia de seguridad de Windows y la limpieza del espacio libre en el almacenamiento local.
Cuando RansomEXX cifra los datos, agrega una extensión personalizada asociada con la víctima a los nombres de archivo afectados. Una nota de rescate llamada ! [Extensión] _READ_ME! .Txt se guarda en cada directorio cifrado. Esta nota incluye el nombre de la organización de la víctima, una dirección de correo electrónico para contactar e instrucciones sobre cómo pagar el rescate. Mientras se ejecuta, RansomEXX muestra una consola en pantalla con información sobre el proceso de cifrado.
La muestra hash MD5 encontrada aa1ddf0c8312349be614ff43e80a262f , es un ejecutable ELF de 64 bits, que implementa su esquema criptográfico utilizando funciones de la biblioteca de código abierto mbedtls.
Cuando se inicia, el troyano genera una clave de 256 bits y la utiliza para cifrar todos los archivos que pertenecen a la víctima a los que puede acceder, utilizando el cifrado de bloque AES en modo ECB; la clave AES está encriptada por una clave pública RSA-4096 incrustada en el cuerpo del troyano y adjunta a cada archivo encriptado. El malware lanza un hilo que regenera y vuelve a cifrar la clave AES cada 0,18 segundos; sin embargo, según un análisis de la implementación, las claves en realidad solo difieren cada segundo.
Además de cifrar los archivos y dejar notas de rescate, la muestra no tiene ninguna de las funciones adicionales que otros actores de amenazas tienden a usar en sus troyanos: sin comunicación C&C, sin terminación de procesos en ejecución, sin trucos anti-análisis, etc.

 

 

 Fuente: Agencia de Regulación y Control de las Telecomunicaciones

 Para saber más: https://celecloud.celec.gob.ec/s/znpDCpL57fbSMjB

 

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive

 

Recientemente, se ha descubierto que los ciberdelincuentes están utilizando correos electrónicos con errores tipográficos y falsificados para usar una cuenta comprometida para enviar correos electrónicos con spear phishing a las empresas que trabajan con la víctima. 

La campaña de phishing se propaga a través de correos electrónicos adaptados a los empleados de cada empresa a la que se dirige.

El contenido y el remitente de los correos electrónicos están diseñados para que parezca que se envían desde otra empresa de la industria correspondiente que ofrece una asociación comercial u oportunidad. Cada correo electrónico tiene un archivo adjunto, generalmente un archivo IMG, ISO o CAB. Los atacantes suelen utilizar estos formatos de archivo para evadir la detección de los antivirus para correos electrónicos. En la mayoría de estos correos electrónicos, el nombre y el ícono del archivo imitan un PDF. El propósito es hacer que el archivo parezca menos sospechoso, incitando a la víctima a abrirlo y leerlo. Una vez que se abre el archivo adjunto, el malware puede robar información privada, registrar pulsaciones de teclado y robar datos de navegación.

Estos correos electrónicos utilizan tácticas de ingeniería social como referencias a ejecutivos, direcciones físicas, logotipos y correos electrónicos de empresas legítimas. También incluyen solicitudes de cotizaciones, contratos y licitaciones para proyectos reales relacionados con el negocio de la empresa víctima.

 

 

 Fuente: embluemail.com

 Para saber más: https://app.embluemail.com/Online/VON.aspx?data=pJwm0txU6ODN6Stwybx6zYVY6RfcNeLfJKYfwRRPiAzqZXlCEh6e4il9KTkwWifRQCukGuJYw7UiEjfTKc7hTKmj%2BCtt5%2F6szBi0YL5Pwoh1EeMM16EwQvJJzEbEoEKo!-!FS46CP0tPkuP7hqo1zfGmFJ2o8w0lkO4x4HPXss4wNzBuzlqyKCtw87pGDsDDNAT

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Search