Llegamos a ustedes gracias a:



Noticias

Action1 lanza el filtrado de actores de amenazas

Para bloquear el abuso de la plataforma de gestión remota

[07/12/2022] Action1 ha anunciado un nuevo filtrado de actores de amenazas basado en IA para detectar y bloquear el uso indebido de su plataforma de gestión remota. La empresa de gestión de parches, acceso remoto y monitorización y gestión remotas (RMM, por sus siglas en inglés) nativa de la nube declaró que su plataforma se ha actualizado para detectar comportamientos anómalos de los usuarios y bloquear automáticamente a los actores de amenazas para evitar que los atacantes exploten su herramienta para llevar a cabo actividades maliciosas. El lanzamiento se produce en medio de una tendencia de piratas informáticos que utilizan indebidamente plataformas legítimas de gestión de sistemas para desplegar ransomware o robar datos de entornos corporativos.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Plataforma Action1 mejorada para identificar y acabar con el abuso de RMM

En un comunicado, Action1 declaró que la nueva mejora ayuda a garantizar que cualquier intento de uso indebido de su plataforma de gestión remota se identifique y finalice antes de que los ciberdelincuentes logren sus objetivos. "Analiza la actividad de los usuarios en busca de patrones de comportamiento sospechosos, suspende automáticamente las cuentas potencialmente maliciosas y alerta al equipo de seguridad especializado de Action1 para que investigue el problema", añadió.

Action1 desarrolló esta mejora después de que su plataforma fuera objeto de abusos por parte de actores de amenazas a principios de este año. En consecuencia, la actualización ayudará a garantizar que Action1 se utiliza solo por buenas razones, mientras que miles de profesionales de TI utilizan la plataforma para automatizar el sistema operativo y la aplicación de parches de terceros y la gestión de puntos finales, según la empresa.

"La accesibilidad de las herramientas de acceso remoto y monitorización remota elimina la necesidad de que los actores maliciosos inviertan su propio tiempo y esfuerzo en desarrollar herramientas para gestionar los ataques, facilitando la ciberdelincuencia como el ransomware", declaró Mike Walters, vicepresidente de investigación de vulnerabilidades y amenazas de Action1. "Creemos que los proveedores deberían tomar más medidas para evitar el abuso de sus soluciones como parte de la lucha común contra esta amenaza".

El abuso de herramientas de gestión legítimas es una importante amenaza para la seguridad

La explotación de herramientas de gestión legítimas y de confianza supone, de hecho, una amenaza sustancial y continua para las empresas. En mayo, ThreatLocker advirtió de un fuerte aumento de los ataques que abusan de las herramientas RMM. "Hemos observado un gran aumento de atacantes que utilizan herramientas de gestión remota en los últimos días. Aunque en la mayoría de estos casos las herramientas contaban con autenticación de doble factor, los atacantes pudieron acceder a ellas y utilizarlas para lanzar ciberataques", escribió el proveedor en una alerta de seguridad.

Utilizando estas herramientas, un atacante puede emitir comandos para reiniciar la máquina de un usuario en modo seguro con conexión en red, una función disponible en muchas herramientas de gestión remota, añadió ThreatLocker. "Una máquina arrancada en modo seguro no carga el software de seguridad".

En noviembre, la Unit 42 de Palo Alto investigó varios incidentes relacionados con la campaña de extorsión de phishing de devolución de llamada del grupo Luna Moth, en la que los actores de amenazas utilizan herramientas de gestión de sistemas legítimas y de confianza para interactuar directamente con las computadoras de las víctimas con el fin de exfiltrar manualmente datos para extorsionarlas. "Como estas herramientas no son maliciosas, no es probable que sean detectadas por los productos antivirus tradicionales", escribieron los investigadores. La Unit 42 declaró que la campaña ha costado a las víctimas cientos de miles de dólares, ampliando su alcance.

"Los actores de amenazas hacen un uso extensivo de herramientas de TI comunes para implementar sus ataques para ahorrar recursos y permanecer bajo el radar de las tecnologías de seguridad", sostuvo Adam Khan, vicepresidente de operaciones de seguridad global, MSP Managed XDR en Barracuda. Por ejemplo, en el 2022, Barracuda XDR respondió a un ataque de ransomware en el que encontraron, entre otras cosas, las aplicaciones legítimas de escritorio remoto AnyDesk, Logmein y TeamViewer instaladas en las computadoras infectadas.

"De hecho, los últimos datos del Centro Global de Operaciones de Seguridad de Barracuda XDR muestran que las detecciones de la aplicación de escritorio remoto AnyDesk se encontraban entre las 10 principales firmas sospechosas detectadas en las redes de los clientes en el 2022", afirmó Khan. El compromiso con AnyDesk otorga potencialmente a los atacantes un punto de apoyo en una red objetivo que les permite obtener acceso remoto a cualquier parte del entorno y mantener la persistencia.

"Los defensores pueden protegerse reforzando las medidas de seguridad esenciales, como aplicar parches, conceder el nivel mínimo de privilegios de acceso necesarios, bloquear o restringir el acceso a servicios remotos, introducir la autenticación multifactor y realizar copias de seguridad offline de todos los datos críticos. Pero vale la pena hacer más", afirmó Khan. "¿Cuál es el contexto de lo que parece una actividad totalmente benigna? ¿Cuándo, dónde y cómo se utiliza la herramienta? ¿Es algo esperado y coherente con las pautas conocidas? Si no lo es, haga sonar la alarma, ya que puede haber tropezado con un ataque activo en curso y el reloj está en marcha".