Estimada comunidad en esta ocasión traemos un resumen de incidentes de seguridad informática ocurridos en el mes de Junio 2022, estar informados y alertas es importante, también nos ayuda a saber cómo actuar en dado caso de un ataque, ser resilientes y estar un paso adelante de los ciberdelincuentes.
Costa Rica (01 Junio 2022)
Costa Rica sufrió en la madrugada del martes un nuevo ataque informático, esta vez contra los servidores de la Caja Costarricense de Seguro Social (CCSS). El presidente ejecutivo de la Caja, Álvaro Ramos, calificó el ataque como "violento", aunque aclaró que las bases de datos de la institución, encargada de la sanidad pública y de las pensiones, que ya había sido hackeada anteriormente, no se vieron comprometidas. "La institución reaccionó de inmediato y procedió a apagar los sistemas críticos, incluso los no tan críticos", agregó. Sin embargo, la CCSS informó que el ciberataque afectará la atención en su red de hospitales.
Sydney (02 Junio 2022)
Los datos personales de casi 200.000 trabajadores lesionados se compartieron por error con 587 empleadores y corredores de seguros en una importante violación de datos de privacidad por parte de la Aseguradora estatal Icare el mes pasado. Una fuente de alto nivel con conocimiento directo de la violación dijo que los detalles de 193,000 empleados estaban contenidos en hojas de cálculo que se enviaron por error como archivos adjuntos a los empleadores equivocados.
Icare contactó a los trabajadores afectados la semana pasada para disculparse y atribuir el error a un “error humano”. En la carta, vista por el Herald, la ejecutiva del grupo de compensación laboral Mary Maini dijo que estaba “muy arrepentida” por la violación del 10 de mayo. También publicó una breve declaración en su sitio web. Icare “sin darse cuenta envió un informe que contenía una cantidad limitada de información relacionada con su reclamo de compensación laboral a otro empleador, que no debería haberlo recibido”, escribió.
México (03 Junio 2022)
Foxconn, el gigante en el ensamblaje de teléfonos inteligentes, confirmó que un ataque de ransomware, sucedido a finales de mayo, interrumpió las operaciones en una de sus plantas de producción en Baja California, México, y desde entonces han estado trabajando para recuperar las operaciones de forma gradual, según un vocero de la compañía. “Se estima que el ataque de ciberseguridad tendrá poco impacto en las operaciones generales del grupo. La información relevante sobre el incidente también se proporcionará de forma instantánea a nuestra agencia, clientes y proveedores”, señaló el vocero en un comunicado a TechCrunch.
Estados Unidos (14 Junio 2022)
Montrose Environmental Group, un proveedor de servicios ambientales, reveló que fue atacado por un ataque de ransomware el fin de semana pasado que interrumpió sus operaciones de prueba de laboratorio. En un comunicado emitido el martes (14 de junio), la compañía con sede en Arkansas dijo: "Creemos que el incidente afectó principalmente a computadoras y servidores dentro de nuestra red de laboratorio de análisis de entalpía", y agregó que espera que "ciertos resultados de laboratorio dentro de nuestro negocio de entalpía se retrasen".
La naturaleza del ataque de ransomware, “así como la información de las fuerzas del orden y expertos independientes en seguridad cibernética, nos llevan a creer que este ataque ha sido llevado a cabo por malos actores altamente sofisticados”, dijo Montrose. Al descubrir la intrusión en la red, Montrose suspendió los sistemas afectados, notificó a las autoridades y comenzó a remediar el incidente con la ayuda de expertos en ciberseguridad y TI internos y externos. En la actualidad, Montrose no "cree que nuestros datos de respaldo y los sistemas empresariales basados en la nube , incluido el correo electrónico, se hayan visto afectados, y estamos trabajando activamente para restaurar los sistemas afectados lo antes posible". Montrose agregó: “En caso de que la investigación identifique cualquier acceso u otros impactos a datos o información de terceros, notificaremos a los terceros afectados y a los organismos reguladores correspondientes”. Montrose concluyó que anticipa "un impacto limitado y una rápida recuperación del ataque", aunque "las circunstancias pueden cambiar a medida que aprendemos más sobre el incidente".
Uganda (14 Junio 2022)
La Bolsa de Valores de Uganda, también conocida como la principal bolsa de valores de Uganda, ha sido sorprendida filtrando datos financieros y confidenciales altamente confidenciales de sus clientes y entidades comerciales en todo el mundo. Esto fue revelado a Hackread.com por Anurag Sen , un destacado investigador de seguridad de TI conocido por identificar servidores expuestos y alertar a las autoridades pertinentes antes de que sea demasiado tarde. Todo comenzó con el escaneo de Anurag en busca de bases de datos mal configuradas en Shodan y notó un servidor que exponía más de 32 GB de datos al acceso público. Según Anurag, el servidor pertenecía al Easy Portal de Uganda Security Exchange. Para su información, Easy Portal es un portal de autoservicio en línea que permite a los usuarios y entidades comerciales ver el rendimiento de las acciones, ver estados de cuenta y controlar el saldo de su cuenta.
Tras profundizar en el enorme conjunto de datos, Anurag concluyó que los registros expuestos eran de naturaleza sensible. La peor parte de la fuga de datos es el hecho de que el servidor quedó expuesto sin ninguna autenticación de seguridad. Anurag y Hackread.com contactaron a Uganda Securities Exchange, Uganda CERT (Equipo de respuesta de emergencia informática) y varias otras instituciones gubernamentales a través de Twitter, teléfono y correo electrónico, sin embargo, ninguna de las autoridades respondió. El 12 de junio de 2022, el valor de 32 GB de datos se redujo a MB. Podría ser que las autoridades quisieran mantener el incidente en secreto para evitar las críticas de los medios locales y las entidades afectadas por la violación. Sin embargo, en el momento de publicar este artículo, el servidor expuesto estaba protegido y sus direcciones IP ya no eran accesibles al público.
Fuente: https://www.hackread.com/scoop-uganda-security-exchange-leaking-sensitive-records/?web_view=true
África (15 Junio 2022)
Shoprite Holdings, la cadena de supermercados más grande de África que opera casi tres mil tiendas en doce países del continente, ha sido atacada por un ransomware. El viernes pasado, la empresa reveló que sufrió un incidente de seguridad y advirtió a los clientes en Esuatini, Namibia y Zambia que su información personal podría haberse visto comprometida debido a un ataque cibernético. "Se implementaron medidas de seguridad adicionales para proteger contra una mayor pérdida de datos mediante la modificación de los procesos de autenticación y las estrategias de prevención y detección de fraudes para proteger los datos de los clientes", menciona el comunicado de la firma.
La pandilla de ransomware conocida como RansomHouse asumió la responsabilidad del ataque y publicó una muestra de evidencia de 600 GB de datos que afirma que robó del minorista durante el ataque. Aún así, el problema de los datos robados permanece, y Shoprite ha advertido a los clientes en el anuncio que la posibilidad de que esos datos sean utilizados por partes no autorizadas es significativa. El consejo que se brinda a los clientes es que permanezcan atentos a las comunicaciones no solicitadas, cambien las contraseñas de sus cuentas y eviten compartir información personal por teléfono, SMS o correo electrónico.
Italia (17 Junio 2022)
La Universidad de Pisa, en Italia, también ha sido víctima de una de estas amenazas. Tras este incidente está el grupo de ransomware BlackCat, también denominado ALPHV, que fue considerado el más peligroso y sofisticado del año pasado por algunos expertos.
Los ciberdelincuentes habían dado al centro hasta ayer, día 16 de junio, para que pagara el rescate exigido. Esta ascendía nada menos que a 4,5 millones de dólares. "Esta cantidad es necesaria para poder recuperar el acceso a los archivos que han quedado cifrados y, por lo tanto, se han vuelto inutilizables", señalaba el aviso. En el caso de no recibir el dinero BlackCat ha amenazado con difundir los datos, lo que se conoce como 'doble extorsión' o 'triple extorsión'. Con el fin de que pudieran responder a las demandas de rescate, los actores de amenazas le dieron a la víctima acceso a un hilo de chat en el navegador privado Tor, usado para entrar en la Dark Web. Por ahora la Universidad de Pisa no ha hecho declaraciones sobre este incidente ni ha revelado su alcance.
Fuente: https://www.escudodigital.com/ciberseguridad/universidad-pisa-sufre-ataque-ransomware_52039_102.html
Estados Unidos (23 Junio 2022)
La compañía dijo el miércoles en un comunicado de prensa escrito en japonés que el ataque, dirigido a Nichirin-Flex USA, fue descubierto el 14 de junio. Se está investigando el impacto total del ciberataque, incluso si los datos se han visto comprometidos. El incidente obligó a la empresa a cerrar algunos sistemas de control de producción y cambiar a procesos manuales. Nichirin fabrica mangueras para automóviles y motocicletas, así como productos para uso residencial. La empresa tiene operaciones en todo el mundo, con sitios de producción en China y otras partes de Asia, América del Norte y Europa. “Los ciberdelincuentes continúan apuntando a organizaciones con infraestructura más antigua, falta de inversión en seguridad cibernética en términos de producto y personal. Estas industrias continúan superando al resto del mercado en términos de ataques. Debería servir como un recordatorio de que incluso los contribuyentes más pequeños a la cadena de suministro deben hacer su parte para defenderse de los ciberataques”.
Irán (27 Junio 2022)
Una de las principales compañías siderúrgicas de Irán dijo el lunes que se vio obligada a detener la producción después de ser atacada por un ataque cibernético que también tuvo como objetivo otras dos plantas, lo que aparentemente marca uno de los mayores ataques de este tipo en el sector industrial estratégico del país en la historia reciente. El gobierno iraní no reconoció la interrupción ni culpó a ningún grupo específico por el ataque contra la empresa estatal Khuzestan Steel Co.
Mientras tanto, Khuzestan Steel Co. dijo que la fábrica tuvo que dejar de trabajar hasta nuevo aviso “debido a problemas técnicos” luego de “ataques cibernéticos”. El sitio web de la compañía estuvo caído el lunes. Sin embargo, el CEO Amin Ebrahimi afirmó que Khuzestan Steel logró frustrar el ataque cibernético y evitar daños a la producción que afectarían las cadenas de suministro y los clientes.
Fuente: https://www.securityweek.com/cyberattack-forces-iran-steel-company-halt-production?&web_view=true
¿Qué hacer ante un incidente de ciberseguridad?
Una vez que el ciberdelincuente ha conseguido sus objetivos ¿Cómo gestionamos el incidente?
Debemos de disponer de un protocolo interno de gestión de incidentes, que nos permita definir y establecer las medidas que se van a adoptar frente a un incidente de seguridad informática.
Detectar, informar y evaluar qué tipo de incidente se presentó. Es importante disponer de las herramientas necesarias para analizar, cómo y cuándo se ha producido el incidente, la información que ha podido sustraer, averiguar dónde se ha hecho pública, etc.
Evaluación inicial y toma de decisiones. Una vez que se ha analizado el incidente y se ha determinado como ha sucedido, es importante aplicar los controles y las medidas necesarias para resolverlo y fijar las acciones destinadas a cerrar la filtración y evitar nuevas fugas de información. En esta fase, se establecen los posibles planes de comunicación tanto a nivel interno, como a los clientes afectados y a las autoridades correspondientes.
Seguimiento de las medidas aplicadas: monitorizar y realizar una mejora continua, para asegurar que las medidas de protección y prevención aplicadas son las adecuadas para evitar un incidente de seguridad con las mismas características.
La gestión del incidente es un proceso delicado, político, estresante y de toma de decisiones difíciles en algunos de los casos. Se recomienda que la gestión la haga un tercero ya que, tendrá mucha experiencia. Además, contará con la diversidad de perfiles necesarios para abordarlo: abogados, especialistas en ciberseguridad, peritos tecnológicos… y sobre todo ya que abordará el proceso desde una posición externa, pragmática y no contaminada por lo sucedido.
Si requieren apoyo pueden escribir a info@cybernuvol.com
#NoticiasCiberseguridad2022 #SeguridadInformaticaMexico #SeguridadInformaticaColombia #SeguridadInformaticaPanama #ServiciosdeCiberseguridad #IncidentesInformaticosdeCiberseguridad #ResumendeNoticiasCiberseguridad2022 #CISO #CSO #CiberseguridadenMexico #CiberseguridadenPanama #CiberseguridadenColombia #AtaqueCibernetico #DefendersedeCiberataques #EvitarRansomware #Ciberdelitos #NoticiasdeCiberseguridad2022 #Junio2022 #RamsonwareBlackCat #ErrorHumanoCiberseguridad #EmpresasdeCiberseguridadenMexico #EthicalHackersMexico #EspecialistasdeSeguridadInformaticaMexico