Proteger una red empresarial de los ciberataques nunca ha sido un trabajo fácil. Ahora, solo se ha vuelto mas difícil con el incremento rápido de ciberataques dirigidos. A menudo, estos ataques son letales porque involucran múltiples etapas y están diseñados específicamente para dirigirse a una empresa o varias empresas en un sector.

Esto es diferente a las infecciones de malware del pasado, en las que el objetivo de un atacante era simplemente propagar malware. Detectarlo era posible con una solución antivirus, sin embargo, con malware dirigido no es tan simple.

Operación Spalax

Desde el año pasado, muchas organizaciones gubernamentales y privadas en Colombia han sido víctimas de una serie de ciberataques dirigidos. Los investigadores de seguridad de ESET que los han analizado, descubrieron que estos ataques se dirigen principalmente a industrias del sector de la energía y la metalúrgica.

Aunque no se sabe quién está detrás de ellos, los investigadores llaman a estos ataques Operación Spalax. Según sus análisis, el objetivo de estos atacantes es espiar a sus víctimas y robar sus datos sensibles. En algunos casos, los atacantes no habían sido descubiertos por meses después del ataque inicial.

Como la mayoría de los ataques dirigidos, Operación Spalax también utiliza correos electrónicos de phishing para obtener acceso a las computadoras de la víctima. Estos correos electrónicos a menudo están diseñados para inducir el pánico de manera que las personas descarguen el adjunto que contiene el malware.

Algunos correos electrónicos parecen una multa por infracciones de tráfico, una notificación para una prueba COVID obligatoria, o una citación para una audiencia en tribunales.

En algunos casos, las víctimas recibieron un correo electrónico que decía que estaban siendo investigadas por malversación de fondos públicos. Podemos asumir con certeza que este correo electrónico había sido creado específicamente para víctimas potenciales en organizaciones gubernamentales.

 

Fuente: welivesecurity.com

Este es uno de los correos electrónicos de phishing analizado por los investigadores de ESET. El correo electrónico está diseñado para que parezca de SIMIT, el sistema de información de infracciones de tránsito en Colombia.

Para ser más creíble, se simula una multa por una cantidad significativa de dinero: novecientos setenta y cinco mil ochocientos pesos colombianos. Se supone que la “prueba de la violación” está en el adjunto.

Este diseño y contenido es más sofisticado que los correos electrónicos de phishing que prometen cosas gratis como boletos de avión o descuentos. Una vez que el usuario hace clic en el adjunto, se instala un Remote Access Trojan (RAT) en la computadora de la víctima. Una vez instalado, el malware puede capturar keystrokes, robar datos sensibles en la computadora, activar el micrófono y ademas extraer información copiada en el clipboard.

Defienda a su organización de la Operación Spalax

Los ataques dirigidos como Operación Spalax a menudo empiezan con un correo electrónico de phishing. Para luchar contra ciberataques como ese, es importante instruir a sus usuarios para que estén atentos a correos electrónicos como infracciones de tránsito, audiencia en tribunales, o pruebas COVID obligatorias, ya que se han detectado en la mayoría de los ataques de Operación Spalax.

La mejor forma de defenderse de los ataques es evitar el anzuelo. Sin embargo, siempre existe la posibilidad de que un usuario descargue accidentalmente un adjunto malicioso.

Según Fortinet, América Latina sufrió más de 41 billones de intentos de ciberataques en 2020. Por lo tanto, no solo es importante defenderse de los ciberataques, es igualmente importante tener sistemas para detectar una brecha de seguridad a tiempo. Aquí es donde, la gestión y análisis de logs se vuelven cruciales.

Los dispositivos de red como workstations, servidores, routers y firewalls generan un gran volumen de logs todos los días para cada evento que ocurre dentro de una red. Aquí es donde se puede encontrar todas las respuestas a los desafíos de seguridad de su red. Una de las dificultades que podría encontrar con la gestión de logs probablemente sea el volumen de logs generados, ya que incluso en una empresa pequeña, es probable que se produzcan miles de logs por segundo.

Cómo Log360 puede ayudarle a detectar ataques dirigidos como Operación Spalax:

Log360, la solución integral de administración de eventos e información de seguridad puede ayudarle superar los desafíos de gestión de logs y seguridad de red. La solución recoge todos los logs de su red para dar información crítica en forma de informes, gráficos, y alertas.

Además de análisis de logs, Log360 se integra con feeds de amenazas (threat feeds) como AlienVault OTX  y se actualiza dinámicamente cada día con millones de direcciones IP, URLs e incluso dominios de phishing que están siendo utilizados en ataques dirigidos como Operación Spalax.

AlienVault OTX tiene un feed de amenazas (threat feed) especialmente para los dominios que han sido utilizados en  Operación Spalax como se muestra en la imagen de arriba.

Si uno de los dominios maliciosos es descubierto dentro de su red, obtendrá alertas en tiempo real.

Con esto, podría investigar la fuente de la brecha y tomar acciones para eliminar el software espía de los sistemas afectadas.  La solución también tiene algoritmos de machine learning integrados para detectar anomalías en el comportamiento de los dispositivos y usuarios. Con módulos como estos, Log360 podría ayudarle asegurar su red contra ciberataques dirigidos, cumplir con los mandatos reglamentarios como GDPR, PCI DSS, FISMA y mucho mas.

También puede evaluarlo al descargar la prueba gratuita de 30 días. Además, puede programar una demostración gratuita en la que nuestros expertos en productos responderán a sus preguntas sobre la solución y le presentarán las ventajas de utilizar Log360 en su organización.