Cyber ​​Security Today, 15 de diciembre de 2021: la búsqueda del error Log4Shell continúa y las lecciones de un ataque de ransomware en hospitales en Irlanda

La búsqueda del error Log4Shell continúa y las lecciones de un ataque de ransomware en hospitales en Irlanda.

Bienvenido a Cyber ​​Security Today. Es miércoles 15 de diciembre. Soy Howard Solomon, escritor colaborador sobre ciberseguridad para ITWorldCanada.com.

El personal de TI sigue buscando en busca de evidencia de la vulnerabilidad Log4Shell en sus sistemas. Se enfrentan a dos problemas: primero, podría ser una caza larga. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Estima que cientos de millones de dispositivos son vulnerables a la falla en la capacidad de registro Log4j2 basada en Java. El Instituto SANS ofrece este consejo: enumere todos los dispositivos conectados a Internet con log4j2 instalado, asegúrese de monitorear todas las alertas de ellos y configure un firewall de aplicaciones web para reducir la superficie de ataque y el volumen de alteraciones. Si ha estado pensando en trasladar aplicaciones basadas en Java a otra tecnología, ahora es el momento de hacerlo.

El segundo problema es que su sistema de TI puede haber sido penetrado tan pronto como el primer día del mes. Los investigadores de seguridad de Cloudflare y Cisco Systems supuestamente encontraron evidencia de un intento de explotación tan atrás. Entonces, si el entorno de TI de su organización está expuesto a la vulnerabilidad, además de cerrar la puerta, busque evidencia de compromiso. Los investigadores señalan que Los atacantes ya están intentando aprovechar la vulnerabilidad para instalar aplicaciones de ransomware y criptominería. El Centro Canadiense de Seguridad Cibernética advertido que log4j2 se utiliza en muchas aplicaciones y marcos de trabajo empresariales de terceros.

NOTA PARA LOS DESARROLLADORES: Si su aplicación incluye log4j2, instale la última versión, que es 2.16. Desactiva la vulnerabilidad por completo.

Comienza una gran cantidad de ciberataques exitosos con un empleado haciendo clic en un enlace malicioso en un correo electrónico. Así es exactamente como comenzó el ataque de ransomware al sistema de salud de Irlanda en mayo pasado. según un informe publicado este mes. Aquí hay una breve descripción de lo que sucedió: El 18 de marzo, el empleado abrió un archivo de Microsoft Excel infectado adjunto a un correo electrónico de phishing. Eso permitió que el atacante pusiera en peligro esa computadora y comenzara a mirar a su alrededor. Trece días después, el software antivirus de la red de salud detectó dos herramientas de software que suelen utilizar los delincuentes llamados Cobalt Strike y Mimikatz. Mimikatz se utiliza para robar contraseñas. Pero el antivirus estaba configurado en modo monitor, por lo que no bloqueó el uso de esas herramientas. Tampoco hubo ninguna detección por parte del proveedor de respuesta a incidentes de la red. Casi dos meses después del compromiso inicial, el atacante comenzó a comprometer otros sistemas. Un hospital detectó la herramienta Cobalt Strike en dos de sus sistemas, pero no actuó. En los seis hospitales se vieron comprometidos a principios de mayo. El 12 de mayo se detectó actividad sospechosa y se advirtió al sistema de salud, pero ya era demasiado tarde para detener el ataque de ransomware en seis hospitales dos días después. El Departamento de Salud de Irlanda, sin embargo, actuó lo suficientemente rápido para salvar la mayoría de sus sistemas. La banda de ransomware Conti finalmente lanzó claves de descifrado después de un alboroto público. Pero se necesitaron meses para limpiar el sistema de salud a un costo de alrededor de $ 600 millones. Tendré una historia más larga sobre el informe en ITWorldCanada.com. Pero el informe dice que hay varias lecciones: una es que la madurez en seguridad cibernética del sistema de salud irlandés era baja. Fundamentalmente, el sistema tenía una red de TI plana. Una red segmentada es mejor para evitar que los compromisos se propaguen. El sistema se basaba en un único producto antivirus que no se parcheaba regularmente en la red. Además, el monitoreo de seguridad no pudo detectar, investigar y responder de manera efectiva a las alertas de ciberseguridad.

Por fin, ayer fue el martes de parches mensual de Microsoft, cuando se lanzaron parches de seguridad para los productos de Microsoft. Asegúrese de que sus sistemas se hayan actualizado. Los parches corrigen una serie de vulnerabilidades críticas. Apple lanzó actualizaciones para iOS, iPadOS, macOS y otros sistemas operativos. Y google está lanzando una actualización al navegador Chrome para solucionar una serie de problemas, uno de los cuales es crítico.

Eso es todo por ahora Recuerde que los enlaces a los detalles sobre las historias de los podcasts están en la versión de texto en ITWorldCanada.com. Ahí es donde también encontrarás otras historias mías.

Siga Cyber ​​Security Today en Apple Podcasts, Google Podcasts o agréguenos a su Flash Briefing en su altavoz inteligente.