Alta

Descripció:

S’ha detectat una campanya d’enviament de correus electrònics fraudulents de tipus distribució de malware que tracten de suplantar al Banc Santander a través d’una suposada factura electrònica.

Recursos afectats:

Qualsevol empleat, autònom o empresa que rebi un correu com el descrit a continuació o similar.

Solució:

És important que davant el mínim dubte, analitzis detingudament el correu.

Si has descarregat i executat l’arxiu, realitza un escaneig de tot l’equip amb l’antivirus i segueix les instruccions marcades pel mateix per a eliminar el malware. També és recomanable que desconnectis aquest equip de la xarxa principal de l’empresa per a evitar que altres dispositius puguin veure’s infectats.

Per a evitar ser víctima d’aquesta mena d’enganys et recomanem seguir aquests consells:

• No obris correus d’usuaris desconeguts o que no hagis sol·licitat; elimina’ls directament.
• No contestis en cap cas a aquests correus.
• Revisa els enllaços abans de fer clic, encara que siguin de contactes coneguts.
• Desconfia dels enllaços escurçats.
• Desconfia dels fitxers adjunts, encara que siguin de contactes coneguts.
• Tingues sempre actualitzat el sistema operatiu i l’antivirus. En el cas de l’antivirus, comprova que està actiu.
• Assegura’t que els comptes d’usuari dels teus empleats utilitzen contrasenyes robustes i no tenen permisos d’administrador.

A més, és important que realitzis periòdicament còpies de seguretat. Guarda-les en una ubicació diferent i verifica que es realitzen correctament i que saps recuperar-les. D’aquesta manera, en el cas de veure’ns afectats per algun incident de seguretat, podrem recuperar l’activitat de la nostra empresa de manera àgil.

Detalls sobre el correu amb la factura falsa:

La campanya de correus utilitzant una factura falsa detectada suplantant al Banc Santander té com a assumpte els següents patrons:

• 2B6AF4 – EC297 – ha arribat la teva factura – E68C-ABC2
• 38UC674A – 26D52856 – Factura Electronica – 13BC-8C74
• 41352 – FA347 – La teva factura ja esta disponible – B6AB-6CB1
• 6A3723E894 – A1ED9YABE2 – Factura Vençuda – 12EF-CA81
• 8A4576691 – 6CA22CK6A7 – Pagament pendent – F41D-A7J6

L’objectiu d’aquesta campanya és infectar el dispositiu de la víctima amb un malware identificat com Grandoreiro, un troià bancari que podria permetre als ciberdelincuents realitzar accions com manipular finestres, registrar pulsacions de teclat i obtenir direccions del navegador de la víctima, entre altres. En el cos del correu s’avisa a l’usuari que té una nova notificació en la seva àrea de clients, com pot apreciar-se en la següent imatge:

En accedir a l’enllaç es descarrega un arxiu amb extensió .msi contingut en un .zip. En ser executat, automàticament es descarrega un altre arxiu maliciós comprimit en .zip que conté el malware que infecta l’equip.

Des de LISOT, com a empresa de ciberseguretat, us ajudem a securizar i implementar aquestes bones pràctiques de seguretat en els equips informátics de la vostra empresa.

La entrada Campanya de distribució de malware a través d’una factura falsa se publicó primero en LISOT.

L’any passat va ser, sens dubte, l’any de l’escalada de demandes de ransomware, amb moments notables al llarg de l’any, com el lliurament de 4,4 milions de dòlars per part de Colonial Pipeline, el pagament de 40 milions de dòlars per part de CNA Financial i la demanda de 70 milions de dòlars per part dels ciberatacantes a Kaseya i de 240 milions de dòlars a MediaMarkt.

Què s’ha d’incloure en la llista de verificació de ciberresiliencia d’una empresa?

1. Actualitzar el pla de continuïtat. Comprendre com pot funcionar l’empresa mentre sofreix un ciberatac i l’accés als sistemes pot estar limitat.
2. Treballar en un cas pràctic d’un escenari de crisi per a assegurar que tot el personal coneix les seves funcions i el que s’espera d’ells.
3. Actualitzar la llista de contactes d’emergència en cas de crisi: “A qui trucaràs?”
4. Considerar la cadena de subministrament de tercers i el paper que exerceix en les cadenes de subministrament d’uns altres. Les empreses anteriors i posteriors han de tenir polítiques de ciberseguretat que reflecteixin les seves. Comprovi que continuen complint les normes, i que la teva empresa també ho fa.
5. Donar poder al seu equip de ciberseguretat i als quals ocupen llocs clau. És possible que hagin de fer canvis i reaccionar ràpidament davant un incident a mesura que es desenvolupa.
6. Supervisar els comportaments sospitosos i desconeguts de la xarxa. Es recomana la implementació d’una solució EDR (Endpoint Detection Response) que ajudarà a mantenir als equips centrats en els incidents crítics.
7. 7. Si la teva empresa manca de recursos per a fer front a un incident important, externalitza aquesta responsabilitat crítica. Considera la possibilitat de contractar un proveïdor de serveis gestionats.
8. Dur a terme una formació improvisada de conscienciació sobre ciberseguretat per a tots els empleats que els recordi que no han d’obrir arxius adjunts ni fer clic en enllaços desconeguts o no fiables.

Recordar els deures bàsics:

1. Imposar una política de contrasenyes fortes i segures – o, millor encara, frases de contrasenya fortes.
2. Implantar l’autenticació de dos factors en tots els accessos externs i en tots els comptes amb privilegis d’administrador. Això també hauria de considerar-se per als usuaris avançats que tenen un ampli accés a les dades de l’empresa.
3. Actualitzar i posar pegats ràpidament al software per a eliminar el risc de convertir-se en víctima a causa d’una vulnerabilitat prèviament coneguda.
4. Provar les còpies de seguretat i els sistemes de recuperació de desastres. Assegura’t de mantenir còpies de seguretat offline i en el núvol.
5. Auditoria de l’accés dels usuaris: redueix el risc limitant l’accés als serveis, al programari i a les dades perquè només tinguin accés aquells que ho necessitin.
6. Tanca els ports i detingues els serveis que no s’utilitzen i que proporcionen una porta oberta que pot tancar-se fàcilment.
7. Els sistemes heretats que depenen d’una tecnologia obsoleta han de ser segmentats i mantinguts a distància.
8. Assegurar-se que tots els endpoints, servidors, mòbils i altres estiguin protegits amb un producte antimalware actualitzat i plenament operatiu.

Des de LISOT, com a empresa de ciberseguretat, us ajudem a securizar i implementar aquestes bones pràctiques de seguretat en els equips informátics de la vostra empresa.

La entrada Ara és el moment de comprovar els sistema de ciberseguretat se publicó primero en LISOT.

El que no es defineix no es pot mesurar. El que no es mesura, no es pot millorar. El que no es millora, es degrada sempre.

La Seguretat de la Informació no és una excepció, i per això és necessària una aproximació seriosa i objectiva a la ciberseguretat, que ens permeti determinar de manera fiable els riscos als quals estem exposats, en quina mesura ho estem i quines són les conseqüències. En l’època actual no podem seguir ja amb el tradicional‚ “recordar-se de Santa Bàrbara quan trona”.

L’eina principal per a remuntar l’empresa en cas de ciberatac és disposar d’una còpia de seguretat fiable i actual.

Realitzar una còpia de seguretat completa, diferencial i incremental és la millor manera de garantir la continuïtat del negoci, i aplicant un mètode com la regla 3-2-1 es disposarà sempre d’una còpia llista per a ser recuperada, independentment de la mena d’incident (extern o intern) que s’hagi produït.

Què és la regla 3-2-1 per a còpies de seguretat?

La regla 3-2-1 és un mètode per a realitzar còpies de seguretat que persegueix aconseguir l’accés a una còpia de seguretat per a poder ser recolzada sempre que sigui necessari. És igual que l’incident que requereixi del suport de la còpia de seguretat s’hagi produït de manera interna (error humà, corrupció de dades, incendi, robatori de dades, o similar) o de manera externa (atac per malware, denegació de servei o qualsevol altre atac extern), amb aquesta regla sempre es disposarà d’una còpia llista per a utilitzar i tornar a la normalitat en el menor temps possible.

La regla del 3-2-1 diu el següent:

• Sempre s’han de realitzar i mantenir tres còpies de seguretat de les dades a recolzar.
• S’utilitzaran almenys dos suports diferents per a realitzar aquestes còpies
• i un d’ells ha d’estar sempre fora de l’empresa (en l’entorn actual de treball, en el núvol).

Exemple de la regla 3-2-1

La millor manera de comprendre com funciona i s’aplica aquesta regla de còpies de seguretat és veient un exemple.

Imaginem una empresa que maneja dades del seu programari de facturació i comptabilitat, correus electrònics i documents PDF amb pressupostos, contractes, nòmines, i una altra informació rellevant per al negoci. Aquesta informació és vital i necessària per al funcionament de l’empresa pel que realitza de manera periòdica (diàriament) una còpia de seguretat amb totes aquestes dades.

Per a aplicar la regla 3-2-1 de còpies de seguretat en aquesta empresa es podria instal·lar un NAS al qual bolcar diàriament dos de les còpies de seguretat. Aquestes còpies es realitzen en directoris diferents dins del NAS.

També es contractaria un espai d’emmagatzematge en el núvol en un proveïdor cloud segur, i es pujaria una còpia de seguretat a aquest.

D’aquesta manera es farien tres còpies, en dos suports diferents i una d’elles es troba fora de l’empresa (dues en el NAS i una en el núvol), garantint que l’empresa sempre podrà accedir a una d’aquestes còpies quan ho necessiti.

La regla del 3-2-1 és un mètode que permet a l’empresa disposar sempre d’una còpia de seguretat llesta per al seu suport.

Des de LISOT, com a proveidor de solucions de seguretat informàtica i Partner CLOUD, podem oferir-vos la implementació d’aquestes solucions.

La entrada Què ens salva en cas d’un atac informàtic? (o la regla 3-2-1 per a backups) se publicó primero en LISOT.

Per a protegir i preservar les dades crítiques l’empresa ha de comptar amb una solució d’arxiu de correu electrònic i un programari de suport. Això és realment important ja que, amb totes dues solucions, compleixen la major part dels requisits legals i de protecció.

Còpia de seguretat versus arxivat de correu

Gran part de les empreses tenen assumit que han de realitzar còpies de seguretat de tots els seus arxius de manera periòdica, però saben realment per a què serveix l’arxivat de correu?

Encara hi ha qui creu que una còpia de seguretat i un arxivat de correu serveixen per al mateix i que comptant amb una de les dues opcions és suficient. Per això avui volem parlar de les diferències entre una còpia de seguretat i un arxivat de correu.

Còpia de seguretat: Què és?

Una còpia de seguretat consisteix en l’extracció d’una còpia de les dades (incloent les dades crítiques) amb la finalitat de restaurar aquestes dades en cas de danys o pèrdues.

El propòsit de la còpia de seguretat és restaurar les dades si alguna cosa ocorre i es perd la informació. Per exemple, algú pot esborrar accidentalment (o maliciosament) un email o un servidor que contingui dades crítiques per a l’empresa i, si no disposéssim de còpia de seguretat, aquests es perden.

Arxivat de correu: Què és?

L’arxivat de correu consisteix a fer una còpia de les dades per a retenir-los a llarg termini (anys o dècades) i en una ubicació segura que tingui un accés molt restringit. En la majoria d’ocasions les dades originals s’eliminen després de realitzar l’arxivat, permetent-nos disposar de major espai d’emmagatzematge per al nostre dia a dia.

Arxivar el correu pot servir per a múltiples propòsits. El més habitual és ajudar a localitzar algunes dades crítiques necessàries una vegada transcorregut un llarg període de temps. Un altre propòsit pot ser disposar d’aquestes dades per a utilitzar-los com a prova legal, en cas de ser necessari.

Les diferències entre l’arxivat de correu i la còpia de seguretat

La més important és que els sistemes de suport (còpia de seguretat) restauren dades, mentre que els sistemes d’arxivat de correu els recuperen.

Quan es restaura un arxiu o dada, normalment es tracta d’un únic arxiu, servidor o base de dades. Però quan es recupera, sol recuperar-se una col·lecció de dades relacionades que poden estar emmagatzemats en diferents servidors o formats.

Per a fer una restauració d’una còpia de seguretat és necessari que sapiguem on està l’arxiu o dades crítiques que volem recuperar. En canvi, per a recuperar informació que hem arxivat no és necessari, només necessitem saber el conjunt de paràmetres que volem recuperar. Per exemple: volem recuperar un contracte d’un client determinat però no sabem on es troba exactament. No passa res, només haurem de posar unes paraules clau en el cercador – contracto XXX, per exemple – i ens apareixeran tots els correus relacionats.

La importància dels dos sistemes

Moltes empreses intentar utilitzar el sistema de còpia de seguretat com un sistema d’arxivat de correu,la qual cosa significa que mantenen les seves còpies de seguretat durant molt de temps.

La primera vegada que necessitessin fer una recuperació real, trobessin el difícil que és recuperar alguna cosa que està destinat a fer restauracions. Això farà que la recuperació sigui molt més lenta i costosa.

Si volen recuperar un correu electrònic és molt més fàcil i ràpid comptar amb una solució d’arxivat de correu. Així evitessin demorar la cerca de les dades crítiques necessàries i podran donar resposta a la necessitat original de manera àgil, ja sigui presentar-los com a prova legal en un litigi o recuperar-los per a elaborar un informe o proposta per a un client.

Des de LISOT Informàtica Empresarial a Barcelona us oferim diferents sistemes tant de còpia de seguretat com d’arxivat de correu.

La entrada Diferències entre arxivat de correu i còpia de seguretat se publicó primero en LISOT.

Office 365 si que ofereix opcions de seguretat però no garanteix que les nostres dades estiguin 100% segurs. És a dir, si ens entra un virus o malware en el nostre PC i aquest encripta / esborra / destrueix el nostre correu, com la bústia del nostre PC se sincronitza amb la bústia del núvol, perdem les dades que tenim en el nostre equip i els del núvol. Microsoft et garanteix un 99% d’accés a les teves dades (és a dir, que puguis accedir a la teva bústia), però Microsoft no és responsable de protegir i preservar les dades dels seus clients (és a dir si t’han encriptat o esborrat dades, Microsoft no es fa responsable). Els clients han de ser proactius al temps de prendre mesures d’arxivat i protecció.

Cada empresa ha d’implementar una solució d’arxivat d’email que els permeti assegurar-se que les dades es preserven de manera correcta i es recuperen ràpida i eficientment. Per això, és necessari que els responsables de prendre decisions considerin l’opció d’utilitzar solucions de tercers que puguin preservar i arxivar les seves dades de manera adequada enfront de les limitacions que sofreix Office 365.

Per això, des de LISOT Informàtica per a empreses a Barcelona li oferim solucions d’arxivat de les seves dades del núvol, tant del correu electrònic com dels seus documents guardats en One Drive o Sharepoint.

La entrada Office 365: ¿he de fer una còpia de seguretat? se publicó primero en LISOT.

Incidències informàtiques lleus

Si un empleat del client té una incidència informàtica la pot notificar des de la intranet de LISOT perquè quedi constància d’ella. Les incidències de prioritat normal o baixa s’atendran en les visites presencials periòdiques. Les incidències de prioritat alta seran ateses pel tècnic tan aviat com sigui possible.

Incidències informàtiques greus

Si la incidència és d’alta prioritat, o impedeix l’ús de l’ordinador o dels recursos necessaris per treballar, haurà de cridar a LISOT on registrarem la incidència en el sistema en el seu nom, i si és possible li atendrem al moment o tan aviat com sigui possible.

Incidències informàtiques de tercers

Davant una fallada informàtica derivada d’un problema de tercers, s’ha de consultar amb LISOT com operar en cada cas, sent conscients que les limitacions les imposa un tercer. (Per exemple: es talla el subministrament de llum per obres, o es va internet per avaria). Quan la resolució d’aquesta incidència sigui de caràcter informàtic o requereixi una solució tècnica qualificada, LISOT oferirà tot el suport que sigui possible tant para comunica com per a l’altre actor.

Sistemes amb fallades crítiques

Si l’ordinador presenta problemes de funcionament greus impedint l’ús de l’ordinador o dels recursos necessaris per treballar, ha de ser tractat com una incidència greu i diagnosticar-se per un tècnic de LISOT. Si el diagnòstic d’un tècnic de LISOT aconsella no reparar-ho in situ, aquest equip es portarà al taller de LISOT. Allí es realitzarà la reparació o el reajustament de l’equip fins que estigui operatiu i es pugui retornar a les instal·lacions del client.

Detecció proactiva d’incidències

Qualsevol fallada o anomalia que es detecti o s’intueixi (com un canvi de proveïdor de telefonia, un canvi en la manera de treballar, un avís de tall de llum o d’internet, etc.) s’ha de comunicar a LISOT, per ser assessorat per un tècnic informàtic i poder així resoldre les incidències o anticipar-nos a elles.

Recuperació de Dades

Si és necessari recuperar dades d’una còpia de seguretat, una persona responsable del client ha de notificar a LISOT els arxius que necessita recuperar i que dates, i el tècnic de LISOT recuperarà els arxius en una ubicació alternativa perquè verifiquin la seva utilitat i es posin de nou en carpetes de producció.

La entrada Pla de contingència en un manteniment informàtic se publicó primero en LISOT.

Una de les regles imperibles que poden abordar de forma efectiva qualsevol escenari de fallada és la denominada  regla 3-2-1 del backup. Aquest enfocament ajuda a donar resposta a dues importants preguntes: quants arxius de backup hauria de tenir i on hauria d’emmagatzemar-los?

La regla 3-2-1 es va convertir en un concepte conegut gràcies a Peter Krogh, un reconegut fotògraf que va escriure que hi havia dos tipus de persones: aquells que ja havien sofert una fallada en l’emmagatzematge i aquells que ho anaven a sofrir. En altres paraules, a regla 3-2-1 del backup implica que vostè hauria de:

• Guardi almenys tres còpies de les seves dades.
• Emmagatzemi les còpies en dos suports diferents.
• Guardi una còpia de backup offsite.

Aquest principi funciona per a qualsevol entorn informàtic (físic o virtual); amb independència del sistema operatiu i amb independència del hipervisor que estigui utilitzant (VMware, Hyper-V o el que sigui)

1. Guardi almenys tres còpies de les seves dades

Amb tres còpies ens referim al fet que a més de les seves dades primàries, hauria de tenir almenys dues backups més. Per què no és suficient amb un backup? Imagini que manté les seves dades originals en el dispositiu nº1 i la seva backup en el dispositiu nº2. Tots dos dispositius posseeixen les mateixes característiques, i els seus errors són independents estadísticament (no posseeixen causes comunes que puguin originar errors). Per exemple. si el dispositiu nº1 té una probabilitat de fallada que és d’1/100 (i el mateix s’aplica al dispositiu nº2), llavors la probabilitat de fallada de tots dos dispositius al mateix temps és: 1/100 * 1/100 = 1/10.000

Això vol dir que si té les seves dades primàries  (en el dispositiu nº1) i dues backups d’ells (en els dispositius nº2 i nº3, conseqüentment), i si tots els dispositius posseeixen les mateixes característiques i no presenten causes comunes de fallada, llavors la probabilitat de fallada dels tres dispositius al mateix temps serà de: 1/100 * 1/100 * 1/100 = 1/1.000.000

Per aquest motiu quantes més còpies es tingui de les dades, menys risc haurà de perdre les dades en cas de desastre. En resum, si les dades són importants per a vostè, asseguri’s de tenir com a mínim dues còpies de backup.

2. Emmagatzemi les còpies en dos suports diferents

La regla 3-2-1 recomana guardar còpies de les seves dades en almenys dos tipus d’emmagatzematge diferents, com a unitats de disc dur internes  i mitjans d’emmagatzematge extraïbles (cintes, discos durs externs, unitats USB, targetes SD, CDs, DVDs, o o fins i tot floppys), o en dos discos durs interns però en diferents ubicacions d’emmagatzematge.

3. Guardi una còpia de backup offsite

La separació física de les còpies és important. No és una bona idea mantenir tots els sistemes d’emmagatzematge extern en la mateixa sala que el seu emmagatzematge de producció. Si es produís un incendi (toquem fusta), perdria totes les seves dades.

Si treballa per a una empresa que és una PIME sense oficines remotes o sucursals (ROBATORI), emmagatzemar els seus backups en el núvol podria ser una opció. Guardar cintes de backup offsite segueix sent una opció molt utilitzada per empreses de totes les grandàries.

Aplica la regla 3-2-1 del backup en el seu entorn?

La entrada Còpies de seguretat: principis bàsics se publicó primero en LISOT.