Además de proteger sus datos directamente, en Acronis también monitoreamos las amenazas, desarrollamos soluciones para nuevas vulnerabilidades y preparamos recomendaciones para garantizar la protección de varios sistemas. Con este fin, se creó recientemente la red global de Centros de Operaciones de Protección Cibernética (CPOC) de Acronis. Estos centros analizan constantemente el tráfico para detectar nuevos tipos de malware, virus y criptojacking.
Hoy queremos hablar sobre los resultados de los CPOC, que ahora se publican regularmente en el canal de Acronis en YouTube. Y aquí están las 5 noticias más recientes sobre incidentes que podrían haberse evitado con al menos una protección básica contra Ransomware y phishing.
El ransomware Black Kingdom ha aprendido a comprometer a los usuarios de Pulse VPN
El proveedor de VPN Pulse Secure, del que depende el 80% de las compañías Fortune 500, ha sido víctima de ataques de ransomware Black Kingdom. Explotan una vulnerabilidad del sistema que les permite leer el archivo y extraer información de la cuenta del mismo. Después de eso, el nombre de usuario y la contraseña robados se utilizan para acceder a la red comprometida.
Aunque Pulse Secure ya ha lanzado un parche para abordar esta vulnerabilidad, las empresas que aún no han instalado la actualización tienen un mayor riesgo.
Sin embargo, las pruebas han demostrado que las soluciones que utilizan inteligencia artificial para identificar amenazas, como Acronis Active Protection, evitan que Black Kingdom infecte las computadoras de los usuarios finales. Entonces, si la compañía tiene dicha protección o un sistema con un mecanismo de control de actualización incorporado (por ejemplo, Acronis Cyber Protect), no tiene que preocuparse por Black Kingdom.
El ataque del ransomware en Knoxville resultó en la desconexión de la red
El 12 de junio de 2020, se llevó a cabo un ataque masivo de ransomware en la ciudad de Knoxville (EE. UU., Tennessee), que provocó el cierre de las redes informáticas. Incluidos los agentes de la ley han perdido la capacidad de responder a incidentes con la excepción de emergencias y amenazas a la vida de las personas. E incluso días después del final del ataque, todavía se publicó un anuncio en el sitio web de la ciudad de que los servicios en línea no estaban disponibles.
La investigación inicial reveló que el ataque fue el resultado de un ataque masivo de phishing que envió correos electrónicos falsos a los trabajadores del servicio de la ciudad. Utilizaron ransomware como Maze, DoppelPaymer o NetWalker. Como en el ejemplo anterior, si las autoridades de la ciudad usaran los medios para contrarrestar el Ransomware, tal ataque no sería posible de llevar a cabo, porque los sistemas de protección de IA detectan instantáneamente las variantes del ransomware usado.
MaxLinear informó un ataque de Maze y una violación de datos
El fabricante de sistemas integrados en un chip MaxLinear ha confirmado que las redes de la compañía han sido atacadas por el ransomware Maze. aproximadamente 1 TB de datos fueron robados, incluidos los datos personales y la información financiera de los empleados. Los organizadores del ataque ya han publicado 10 GB de estos datos.
Como resultado, MaxLinear tuvo que desconectar todas las redes de la compañía y también contratar consultores para realizar una investigación. Repitámoslo una vez más utilizando este ataque como ejemplo: Maze es una versión bastante conocida y reconocida de un programa de ransomware. En el caso de utilizar sistemas de protección contra Ransomware MaxLinear, sería posible ahorrar mucho dinero y evitar dañar la reputación de la empresa.
Malware filtrado a través de alertas falsas de Google
Los atacantes han comenzado a utilizar las Alertas de Google para enviar notificaciones falsas sobre violaciones de datos. Como resultado, al recibir mensajes alarmantes, los usuarios asustados fueron a sitios falsos y descargaron malware con la esperanza de "solucionar el problema".
Las notificaciones maliciosas funcionan en Chrome y Firefox. Sin embargo, los servicios de filtrado de URL, incluido el servicio Acronis Cyber Protect, impidieron que los usuarios de redes protegidas hicieran clic en enlaces infectados.
El Departamento de Salud de los Estados Unidos informa 393 violaciones de seguridad de la HIPAA el año pasado
El Departamento de Salud y Servicios Humanos (HHS) informó 393 filtraciones de información confidencial de salud del paciente que condujeron a violaciones de los requisitos de la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) para el período comprendido entre junio de 2019 y junio de 2020. Incluyendo 142 incidentes fueron el resultado de ataques de phishing contra District Medical Group y Marinette Wisconsin, de los cuales se filtraron 10190 y 27137 registros médicos electrónicos, respectivamente.
Desafortunadamente, la práctica ha demostrado que incluso los usuarios especialmente entrenados y entrenados a quienes se les ha dicho repetidamente sobre la inadmisibilidad de hacer clic en enlaces o abrir archivos adjuntos de cartas sospechosas pueden convertirse en víctimas. Y sin sistemas automatizados para bloquear la actividad sospechosa y el filtrado de URL para evitar la navegación a sitios falsos, es muy difícil defenderse contra ataques sofisticados que utilizan muy buenas excusas, buzones creíbles y un alto nivel de ingeniería social.
Si está interesado en noticias sobre las últimas amenazas, puede suscribirse al canal Acronis de YouTube, donde compartimos los últimos resultados de monitoreo de CPOC casi en tiempo real. También puede suscribirse a nuestro blog en Habr.com porque transmitiremos las actualizaciones más interesantes y los resultados de la investigación aquí.