CISA ha publicado los primeros resultados de sus notificaciones previas al ransomware que se introdujeron a principios de 2023. Y parecen estar funcionando.
CISA (Cybersecurity and Infrastructure Security Agency) ha publicado los primeros resultados de sus notificaciones previas al ransomware que se introdujeron a principios de 2023.
Aunque esta iniciativa es relativamente señorita, CISA dice que ha notificado a más de 60 entidades en los sectores de energía, vigor, agua/aguas residuales, educación y otros sobre posibles intrusiones previas al ransomware, y hemos confirmado que muchas de ellas identificaron y remediaron la intrusión ayer de que ocurriera el enigmático o la pérdida de datos.
Para desarrollar las notificaciones previas al ransomware, CISA estableció el Joint Cyber Defense Collaborative (JCDC) para “homogeneizar a los ciberdefensores de organizaciones de todo el mundo”. El equipo recopila, analiza y comparte de forma proactiva información procesable sobre riesgos cibernéticos.
El éxito de la operación depende de algunos factores secreto:
- Compartir inteligencia por parte de la comunidad de investigación de seguridad cibernética, los proveedores de infraestructura y las empresas de inteligencia de amenazas cibernéticas sobre la posible actividad de ransomware en etapa original.
- Hacer conseguir esa información a la estructura víctima y alabar orientación específica sobre cómo contener la amenaza.
- El tiempo que tardan los ciberdelincuentes desde la brecha de seguridad original hasta el ataque de ransomware completo.
Básicamente, cuanta más información brinden las organizaciones sobre la actividad de ransomware en etapa original, mejor será la información que pueda proporcionar el JCDC. Esta información todavía ayuda a suministrar actualizadas listas como el catálogo de vulnerabilidades conocidas por ser explotadas y ayuda a crear advertencias de vulnerabilidad de ransomware que informan a las organizaciones que una vulnerabilidad utilizada por los actores de amenazas de ransomware está presente en su red.
Pero, ¿cómo funcionan las notificaciones previas al ransomware en la vida vivo?
Tomemos como ejemplo el correo fingido del IRS del que informamos la semana pasada. Mis colegas encontraron un correo electrónico enviado con el título “Formularios de impuestos W-9 del IRS” que parece favor sido enviado desde el “Centro en renglón del IRS”. En sinceridad, el adjunto contiene una macro maliciosa. Habilitar el contenido del archivo adjunto hará que Emotet se descargue en el sistema.
El JCDC puede, a su vez, compartir esta información con posibles víctimas. “¿Ha conocido este correo? ¿Determinado abrió el archivo adjunto? ¿Utilizó el botonadura “Habilitar contenido”? Esto es lo que puede hacer para evitar que sus sistemas se cifren. Estas son las tácticas, técnicas y procedimientos (TTP) y Indicadores de compromiso (IOC) que debe averiguar Y este llamado a la argumento puede ser asaz específico porque saben que cualquier víctima potencial debería averiguar Emotet.
Para muchas organizaciones sin fines de beneficio que no pueden sufragar su propio equipo de seguridad o un servicio extranjero de detección y respuesta administrada (MDR), esto es muy útil y, como concluye CISA, ha demostrado su utilidad. Si perfectamente el servicio de notificaciones previas al ransomware está dirigido a organizaciones de EE. UU., JCDC trabaja con socios internacionales del Equipo de preparación para emergencias informáticas (CERT) para permitir una notificación oportuna cuando se manejo de una empresa fuera de los EE. UU.
Cuanta más información compartimos, mejor será la información que JCDC puede proporcionar. Se insta a cualquier estructura o individuo con información sobre la actividad de ransomware en etapa original a comunicarse con [email protected]. Si su estructura está interesada en participar en estos esfuerzos de colaboración para detener el ransomware, visite cisa.gov/JCDC-faqs o envíe un correo electrónico a [email protected].
Cada incidente de ransomware de EE. UU. debe informarse al gobierno de EE. UU. Puede encontrar información sobre cómo informar en stopransomware.gov.
Cómo evitar el ransomware
- Sitiar formas comunes de entrada. Cree un plan para parchear las vulnerabilidades en los sistemas con comunicación a Internet rápidamente; deshabilite o endurezca el comunicación remoto como RDP y VPN; use software de seguridad de punto final que pueda detectar exploits y malware utilizados para entregar ransomware.
- Detectar intrusiones. Haga más difícil que los intrusos operen interiormente de su estructura segmentando las redes y asignando derechos de comunicación con prudencia. Use EDR o MDR para detectar actividad inusual ayer de que ocurra un ataque.
- Detener el enigmático solapado. Implemente el software de detección y respuesta de puntos finales como Malwarebytes EDR que utiliza múltiples técnicas de detección diferentes para identificar el ransomware y la reversión del ransomware para restaurar los archivos dañados del sistema.
- Cree copias de seguridad fuera del sitio y fuera de renglón. Mantenga las copias de seguridad fuera del sitio y fuera de renglón, fuera del magnitud de los atacantes. Pruébelos regularmente para cerciorarse de que puede restaurar las funciones comerciales esenciales rápidamente.
- No te ataquen dos veces. Una vez que haya accidental el brote y detenido el primer ataque, debe eliminar todo vestigio de los atacantes, su malware, sus herramientas y sus métodos de entrada, para evitar ser atacado nuevamente.
Malwarebytes elimina todos los restos de ransomware y evita que se vuelva a infectar. ¿Quiere entender más sobre cómo podemos ayudar a proteger su negocio? Obtenga una prueba gratuita a continuación.
PROBAR AHORA
