Entradas de blog etiquetadas con ' edr ' Rss

La respuesta se envía de vuelta a su ordenador, que la reenvía al usuario no autorizado.

En muchos casos, los usuarios autorizados no se dan cuenta de que su ordenador ha sido comprometido. 

Las redes proxy residenciales están compuestas por cientos o miles de direcciones IP residenciales. Por lo general, son administradas por proveedores o empresas de alojamiento web que no preguntan cómo sus clientes utilizan estas IP ni por qué necesitan acceso residencial.

El valor de estas direcciones IP residenciales reside en su autenticidad, algo que la infraestructura de proxy tradicional no puede replicar fácilmente.

Consideremos dos llamadas telefónicas. Una es de un amigo de confianza que te dice que consiguió una gran oferta en un producto que ambos buscaban y dónde encontrarlo en línea. La otra es de una empresa con la que ya has tenido contacto, ofreciéndote la misma información. Si bien el contenido es el mismo, la fuente es diferente. Es más probable que confíes en alguien que conoces que en alguien que no conoces.

Las direcciones IP residenciales ofrecen el mismo tipo de confianza a las organizaciones. Si solicitan información (aparentemente) a usuarios residenciales, estos tienden a confiar en ellas.

Si bien existen casos de uso legítimos para las redes de proxy residenciales, como el anonimato en línea para una mayor protección individual o la monitorización SEO en múltiples ubicaciones para empresas, estas redes suelen estar gestionadas por empresas que no se preguntan qué hacen los usuarios ni por qué. 

Esto ofrece múltiples oportunidades para los actores malintencionados, entre ellas:

• Infracciones de derechos de autor
• Fraude publicitario y fraude de clics
• Eludir los sistemas antifraude
• Ataques de pulverización de contraseñas y credenciales
• Difundir desinformación en las redes sociales

Google contra IPIDEA: perturbando las operaciones de proxy residenciales

Una de las mayores redes de proxy residenciales del mundo era IPIDEA. Operada por una empresa con sede en China, esta red secuestró millones de dispositivos de usuarios finales sin su consentimiento. Entre estos dispositivos se incluían ordenadores, teléfonos inteligentes y televisores inteligentes. Mediante kits de desarrollo de software (SDK), IPIDEA pudo instalar su programa proxy en dichos dispositivos. 

En algunos casos, la empresa pagaba a los desarrolladores para que incluyeran estos SDK en sus aplicaciones, lo que a su vez infectaba los dispositivos. IPIDEA también ofrecía VPN "gratuitas" que instalaban el software proxy al usarse e integraban sus SDK en aplicaciones y juegos gratuitos. Si bien IPIDEA y redes similares suelen afirmar públicamente que sus proxies residenciales se obtienen de forma legítima y con consentimiento, el análisis de los SDK de IPIDEA demostró que estaban diseñados para integrarse en otras aplicaciones sin ningún mecanismo de consentimiento.

Para ayudar a reducir el riesgo de ataques de proxy residenciales e impedir las operaciones de IPIDEA, el Grupo de Inteligencia de Amenazas de Google (GTIG) llevó a cabo tres acciones:

1. Se desactivaron los dominios utilizados para controlar dispositivos y tráfico proxy.
2. Compartir información sobre los kits de desarrollo de software IPIDEA y las herramientas de software proxy con las fuerzas del orden y las empresas de investigación para mejorar la concienciación y la aplicación de la ley.
3. Se garantizó que Google Play Protect para dispositivos Android advirtiera automáticamente a los usuarios sobre las aplicaciones IPIDEA, eliminara estas aplicaciones si estaban instaladas y bloqueara cualquier intento de instalación futuro. 

Según Google, estos esfuerzos conjuntos han provocado una degradación significativa de la red proxy y las operaciones comerciales de IPIDEA, reduciendo en millones el número de dispositivos disponibles para los operadores de proxy. Si bien esto no elimina la amenaza que representan IPIDEA y redes proxy similares, las acciones de Google han dificultado que los ciberdelincuentes instalen y operen servidores proxy sin el consentimiento del usuario. 

Cómo protegerse de los testaferros residenciales

Si tu dispositivo se ve comprometido por un proxy residencial que luego es utilizado por un atacante malintencionado, podrías verte involucrado en investigaciones policiales o de fraude. Además, estos proxies pueden contener malware y otras cargas maliciosas que afecten el funcionamiento de tu dispositivo.

Para protegerse se recomienda:

• Evitar los servicios de transmisión de TV que afirman ofrecer contenido gratuito, como películas o deportes.
• Hay que tener precaución al usar cualquier servicio VPN, especialmente los gratuitos.
• Utilizar únicamente tiendas de aplicaciones de confianza y aplicaciones de editores reconocidos.

• Asegurarse de que todos los sistemas operativos, aplicaciones y herramientas de seguridad estén actualizados.

Análisis de la Amenaza

El Ransomware suele propagarse más rápido de lo que las soluciones EDR estándar pueden detectarlo. Muchos ataques alcanzan el cifrado rápidamente, dejando poco tiempo para responder si la detección se produce demasiado tarde.

Las reglas STAR personalizadas detectan el Ransomware en una etapa temprana de la cadena de ataque. El SOC de Barracuda crea detecciones STAR a partir de las técnicas reales de ataque al Ransomware para detectar la actividad previa al cifrado.

La detección temprana permite una contención e interrupción más rápidas. Las detecciones de alta fiabilidad pueden activar la contención automatizada para detener el avance del atacante mientras el SOC responde.

El diferenciador

Barracuda Managed XDR Endpoint Security es una solución de seguridad para endpoints gestionada por un SOC que aprovecha SentinelOne Complete , una plataforma líder en detección y respuesta de endpoints. Como resultado, los clientes obtienen la sólida protección básica de una solución EDR (detección y respuesta de endpoints) de vanguardia. Y eso es solo el principio. Los clientes también obtienen una capa de servicios gestionada por Barracuda que ofrece ingeniería de detección continua, flujos de trabajo automatizados de respuesta a amenazas, inteligencia sobre amenazas y telemetría de nuestras operaciones XDR.

La capa de servicio es fundamental porque transforma las capacidades básicas del EDR en resultados concretos. Aquí es donde el SOC de Barracuda y sus ingenieros de seguridad de endpoints colaboran para potenciar la protección con detecciones más tempranas y fiables, y una interrupción más rápida de la actividad de ransomware. De esta forma, su organización puede contener la amenaza cuanto antes y evitar un incidente costoso y perjudicial.

Gran parte de esta ventaja proviene de la combinación de la funcionalidad Storyline Active Response (STAR) de SentinelOne con la experiencia de Barracuda SOC. STAR permite a los equipos convertir consultas de visibilidad avanzada en reglas personalizadas que evalúan la telemetría de los puntos finales a medida que se recopila, lo que activa alertas y, cuando se configura, acciones de respuesta automatizadas.

ejemplos de reglas star

Las reglas STAR personalizadas son lo que distingue a Managed XDR Endpoint Security de las implementaciones basadas únicamente en EDR. Se trata de detecciones diseñadas por el SOC que Barracuda integra sobre SentinelOne para detectar comportamientos relacionados con el ransomware antes del impacto y, cuando sea necesario, activar la contención automatizada:

• La regla de detección temprana del ransomware Akira: se centra en patrones de comportamiento específicos y artefactos iniciales asociados con intrusiones de tipo Akira, lo que permite tomar medidas preventivas, incluyendo la contención de la red antes del cifrado. Algunos ejemplos de amenazas de tipo Akira incluyen la carga lateral de DLL, la actividad de "traiga su propio controlador vulnerable" (BYOVD) e intentos de comprometer hosts VMware ESXi.
• La regla de detección temprana de ransomware de Cephalus: detecta cadenas de ejecución compatibles con cargadores de ransomware que utilizan la carga lateral de DLL, donde un ejecutable legítimo se usa para cargar una DLL maliciosa. Está diseñada para generar alertas en una etapa temprana del ciclo de vida del ataque y activar la contención automatizada de la red cuando el nivel de confianza es alto.
• La consulta DNS de ConnectWise ScreenConnect para detectar TLD sospechosos: detecta actividad DNS sospechosa relacionada con ScreenConnect que puede indicar acceso remoto malicioso y puntos de acceso iniciales que a menudo se utilizan antes del despliegue de ransomware.
• La regla de evasión de Krueger EDR:  detecta intentos de manipular las políticas de control de aplicaciones de los puntos finales, incluido el abuso observado del Control de aplicaciones de Windows Defender (WDAC), para eludir las defensas de los puntos finales. Activa la contención automática de la red cuando se detectan señales críticas.
• La regla de detección temprana del ransomware Play: se centra en los primeros pasos de preparación que se observan en los ataques de tipo Play, incluidos los intentos de suprimir las soluciones EDR, la manipulación del cortafuegos y los vectores de escalada de privilegios.
• La regla de indicador de ransomware: sirve como señal de alerta temprana ante comportamientos similares al ransomware, incluidos los ataques sin archivos lanzados desde un dispositivo remoto. Está diseñada para reducir el tiempo de permanencia, limitar el movimiento lateral y ganar tiempo para la contención y la remediación.

ESTRATEGIA DE PROTECCIÓN AVANZADA (XDR + SOC)

Las acciones clave para cerrar la brecha entre detección y contención son:

Servicio XDR Endpoint Security

Servicio XDR para una computadora o servidor por 12 meses. Recopila telemetría de seguridad en tiempo real para identificar, correlacionar e investigar amenazas avanzadas que evaden soluciones tradicionales.

Comprar ahora

* Suscripción anual