ENTEL Weekly Threat Intelligence Brief del 19 al 25 de septiembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Quantum y BlackCat Ransomware, comenzó a distribuirse por la botnet Emotet.
• TargetCompany Ransonware, ataca servidores Microsoft SQL.
• Grupo de Ransomware Lockbit se atribuye al menos 2 ataques la semana anterior a países de América Latina.
• La APT rusa Sandworm suplanta a empresas de telecomunicaciones ucranianas para entregar malware
• Grupo APT41, inicia campañas de phishing orientadas a la cadena de suministros de la industria farmacéutica y sanitaria
• Grupo Hacktivista, Guacamaya comprometió correos electrónicos del  Estado Mayor Conjunto y las Fuerzas Armadas de Chile.
• Banda de Malware TeamTNT de vuelta con foco a servidores de la nube para ejecutar solucionadores de cifrado de Bitcoin.
• Advierten campañas de malware Chromeloader en curso.
• Vulnerabilidad de Atlassian Confluence explotado en campaña de minería de criptomonedas

• Vulnerabilidad de Clave Privada de Criptomercados Wintermute, permite a piratas informaticos, robar mas de 160 millones de USD
• Vulnerabilidad de Python permite la ejecución de código en proyectos de 350k
• Vulnerabilidad en unidades de distribución de energía de Dataprobe, permiten la pirateria remota
• Vulnerabilidad de aplicaciones de OAth maliciosas, permite apoderarse de los servidores de correo electronico 
• Vulnerabilidad de Zoho ManageEngine que permite la ejecución remota de código

Quantum y BlackCat Ransomware, comenzó a distribuirse por la botnet Emotet

Emotet comenzó como un troyano bancario en 2014, pero las actualizaciones que se le agregaron con el tiempo transformaron el malware en una amenaza muy potente que es capaz de descargar otras cargas útiles en la máquina de la víctima, lo que le permitiría al atacante controlarla de forma remota.

"Desde noviembre de 2021 hasta la disolución de Conti en junio de 2022, Emotet fue una herramienta exclusiva de ransomware de Conti; sin embargo, la cadena de infección de Emotet actualmente se atribuye a Quantum y BlackCat", dijo AdvIntel en un aviso publicado la semana pasada.

AdvIntel dijo que observó más de 1.267.000 infecciones de Emotet en todo el mundo desde principios de año, con picos de actividad registrados en febrero y marzo coincidiendo con la invasión rusa de Ucrania.

Un segundo aumento de infecciones ocurrió entre junio y julio, debido al uso por parte de grupos de ransomware como Quantum y BlackCat. Los datos capturados por la firma de ciberseguridad muestran que el país más objetivo de Emotet es EE. UU., seguido de Finlandia, Brasil, los Países Bajos y Francia.

TargetCompany Ransonware, ataca servidores Microsoft SQL 

Los servidores MS-SQL son sistemas de administración de bases de datos que contienen datos para aplicaciones y servicios de Internet. Interrumpirlos puede causar graves problemas comerciales.

El ransonware Fargo, conocido también como TargetCompany es una de las cepas de ransomware más destacadas que se centran en los servidores MS-SQL, junto con GlobeImposter.

La cadena de ataque de éste ransomware inicia con  el proceso MS-SQL en la máquina comprometida que descarga un archivo .NET usando  cmd[.]exe y powershell[.]exe.

La carga útil obtiene malware adicional (incluido el casillero), genera y ejecuta un archivo BAT que finaliza procesos y servicios específicos.

A continuación, la carga útil del ransomware se inyecta en AppLaunch[.]exe , un proceso legítimo de Windows, e intenta eliminar la clave de registro de la "vacuna" del ransomware de código abierto llamada Raccine.

Además, el malware ejecuta el comando de desactivación de recuperación y finaliza los procesos relacionados con la base de datos para que su contenido esté disponible para el cifrado.

Están exentos del cifrado varios directorios del sistema de Microsoft Windows, los archivos de inicio, el navegador Tor, Internet Explorer, las personalizaciones y configuraciones del usuario, el archivo de registro de depuración o la base de datos de miniaturas.

Una vez que se completa el cifrado, los archivos bloqueados se renombran con la extensión ".Fargo3" y el malware genera la nota de rescate ("RECOVERY FILES[.]txt").

Grupo de Ransomware Lockbit se atribuye al menos 3 ataques la semana anterior a países de América Latina.

Lockbit comprometió 2 países de América Latina correspondientes al sector de educación y al sector de hidrocarburos, entre los cuales se puede mencionar: la Universidad Internacional de Ecuador y la empresa de petróleo y gas  Webnordeste de Brasil.  Se desconocen aún las tácticas técnicas y procedimientos usados en la operación.

La APT rusa Sandworm suplanta a empresas de telecomunicaciones ucranianas para entregar malware 

Sandworm (también conocido como  BlackEnergy  y  TeleBots ) ha estado activo desde 2000, opera bajo el control de la  Unidad 74455  del Centro Principal de Tecnologías Especiales (GTsST) del GRU ruso.

Según varias fuentes, el grupo de piratería APT estuvo detrás de numerosos ataques este año, incluido un ataque a  la infraestructura energética de Ucrania  y el despliegue de una botnet persistente llamada " Cyclops Blink " desmantelada por el gobierno de EE. UU. en abril.

Desde agosto de 2022, los investigadores de Recorded Future observaron un aumento en la infraestructura de comando y control (C2) utilizada por Sandworm (rastreada por CERT-UA de Ucrania como UAC-0113).

Los investigadores observaron que la infraestructura C2 se basaba en dominios DNS dinámicos que se hacían pasar por proveedores de servicios de telecomunicaciones ucranianos.

Los piratas informáticos patrocinados por el estado utilizaron su infraestructura para entregar múltiples cargas maliciosas a través de una técnica de contrabando de HTML, incluidos Colibri Loader y Warzone RAT.

La cadena de ataque comienza con mensajes de phishing dirigido que pretenden provenir de un proveedor de telecomunicaciones ucraniano y se envían a las víctimas en un intento de engañarlas para que visiten los dominios maliciosos.

El HTML de la página web contiene un archivo ISO codificado en base64 que se descarga automáticamente cuando se visita el sitio web. Los actores de la amenaza utilizaron la técnica de contrabando de HTML . El contrabando de HTML es una técnica altamente evasiva para la entrega de malware que aprovecha las funciones legítimas de HTML5 y JavaScript. Las cargas útiles maliciosas se entregan a través de cadenas codificadas en un archivo adjunto HTML o una página web. El código HTML malicioso se genera dentro del navegador en el dispositivo de destino que ya se encuentra dentro del perímetro de seguridad de la red de la víctima. 

Grupo APT41, inicia campañas de phishing orientadas a la cadena de suministros de la industria farmacéutica y sanitaria 

El grupo APT41 respaldado por china, tiene un historial de apuntar al sector de la salud, así como a las industrias farmacéutica y de alta tecnología, entre otras.

El grupo utiliza con frecuencia el spear-phishing, brechas de seguridad, ataques a la cadena de suministro y puertas traseras para obtener acceso a la red con el fin de aprender a conocer el sector específico y recopilar datos para informar sobre futuros ataques. Hay pruebas para creer que el grupo también ha estado utilizando capturas de pantalla de registro de teclas, conexión y consulta de bases de datos SQL, inyección de código, descarga de archivos y robo de datos del portapapeles

Para establecer un punto de apoyo, APT41 utiliza varios programas maliciosos públicos y privados y escala los privilegios mediante herramientas personalizadas para robar credenciales. Una vez obtenidas, los actores utilizan las credenciales para realizar un reconocimiento interno y luego se mueven lateralmente a través de credenciales robadas, RDP débil, adición de grupos de administración y utilidades de fuerza bruta

Al depender de las puertas traseras, el grupo puede mantener su presencia en la red de la víctima y se sabe que crea un archivo RAR para exfiltración y eliminación de evidencia.

La campaña se centró en las vulnerabilidades de los equipos de redes populares, el software en la nube y las herramientas de gestión de TI, dada la dependencia excesiva de la tecnología para la telesalud y el teletrabajo durante la respuesta a la COVID-19. La “campaña de espionaje china” se dirigió a las empresas farmacéuticas y de atención médica sin fines de lucro, así como a otras organizaciones que respondían a la pandemia.

Las campañas más recientes aprovechan el implante de firmware Unified Extensible Firmware Interface (UEFI), o el "implante más avanzado encontrado 'in the wild'". Se implanta en la memoria flash SPI de la placa base para desplegar malware adicional con métodos muy sofisticados.

APT41 también explotó con éxito la aplicación web Animal Health Reporting Diagnostic System (USAHERDS) a través de una vulnerabilidad de día cero encontrada en la app y mediante ataques Log4j. La aplicación está diseñada para solicitar y gestionar datos sobre la salud y las enfermedades de los animales para influir en el estado de salud de las poblaciones animales.

Se utilizaron dos ataques de día cero para explotar la aplicación USAHERDS entre mayo de 2021 y febrero de 2022. La alerta señala que "se accedió a un CVE utilizando una MachineKey y el otro fue desde Log4Shell". La investigación está en curso, pero al menos seis gobiernos estatales de Estados Unidos se vieron comprometidos. Se cree que hay más víctimas desconocidas.

Grupo Hacktivista, Guacamaya comprometió correos electrónicos del  Estado Mayor Conjunto y las Fuerzas Armadas de Chile. 

Según varias fuentes, a este grupo de hackers se les  atribuyen acciones de ciberactivismo, todas durante lo que va de 2022. Teniendo como principales objetivos las fuerzas armadas y empresas extractivistas de América Latina. 

Su más reciente ataque se dio a conocer el 19 de septiembre – Día de las Glorias del Ejército de Chile. Donde el grupo de hackers, filtró al menos 400 mil mensajes de correos electrónicos del Estado Mayor Conjunto (EMCO), que según algunas fuentes abiertas; exponen varios documentos sensibles relacionados a defensa militar, comunicaciones de distinta índole, bases de datos , informes militares, entre otros.   

El grupo de hackers tras Guacamaya, señaló a través de un comunicado que la filtración de los emails del EMCO, es el primer paso de una intervención que llamó “Fuerzas represivas” y que incluiría información de otros países latinoamericanos, entre los cuales corresponde a las fuerzas armadas y policías de México, Perú, El Salvador y Colombia. 

Banda TeamTNT de vuelta con foco a servidores de la nube para ejecutar solucionadores de cifrado de Bitcoin 

La pandilla de delitos cibernéticos TeamTNT según algunas fuentes, está operando desde abril de 2020, y ha tenido como principal foco para su acceso inicial, los entornos de Kubernetes mal configurados. 

Los nuevos ataques TeamTNT tienen como objetivo secuestrar servidores para ejecutar el solucionador de Bitcoin, los expertos rastrearon la actividad como "el ataque Kangaroo", porque los actores de la amenaza estaban usando el solucionador WIF Kangaroo de Pollard.

De acuerdo a los expertos de AcuaSec, “TeamTNT ha estado buscando un Docker Daemon mal configurado e implementando alpine, una imagen de contenedor estándar, con una línea de comando para descargar un script de shell (k.sh) a un servidor C2 (dominio: whatwill[.]be en IP 93[.]95[.]229[.]203).” El script de shell está clonando un proyecto de GitHub de lo que parece ser una cuenta de TeamTNT. El proyecto fue un poco confuso al principio, especificando que se trata de una bifurcación del "canguro de Pollard para SECPK1"

El algoritmo de  resolución ECDLP del intervalo de canguro de Pollard parece ser un intento de romper el cifrado SECP256K1 que utiliza Bitcoin para implementar su criptografía de clave pública. El grupo TeamTNT está utilizando el poder computacional de los objetivos comprometidos para ejecutar el solucionador ECDLP (problema de logaritmo discreto de curva elíptica).

El algoritmo se ejecuta de forma distribuida, ya que el algoritmo divide la clave en fragmentos y los distribuye a varios nodos que son los servidores comprometidos, recopilando los resultados que luego se escriben localmente en un archivo de texto.

El ataque tiene como objetivo implementar un criptominero en los sistemas de destino y realizar escaneos SSH en la red.

Advierten campañas de malware Chromeloader 

Esta semana, VMware y Microsoft advirtieron sobre una campaña de malware Chromeloader generalizada y en curso que está lanzando extensiones de navegador maliciosas, malware de nodo-WebKit y ransomware.

ChromeLoader demuestra ser un malware extremadamente frecuente y persistente. Inicialmente cae como un .iso y se puede usar para filtrar las credenciales del navegador de los usuarios, recolectar actividad en línea reciente y secuestrar las búsquedas del navegador para mostrar anuncios. El equipo de detección y respuesta administrada (MDR) de VMware Carbon Black observó las primeras variantes de Windows de ChromeLoader en la naturaleza en enero de 2022 y la versión de macOS en marzo de 2022.

Hay algunas variantes conocidas de ChromeLoader, incluidas ChromeBack y Choziosi Loader. Los investigadores de Unit 42 han encontrado evidencia de The Real First Windows Variant usando la herramienta AHK (AutoHotKey) para compilar un ejecutable malicioso y eliminar la versión 1.0 del malware.

Lo que hace el malware es redirigir el tráfico del usuario y secuestrar las consultas de búsqueda del usuario a motores de búsqueda populares, incluidos Google, Yahoo y Bing. El código malicioso también puede usar PowerShell para inyectarse en el navegador y agregar la extensión al navegador.

La cadena de ataque comienza con un archivo ISO que se descarga cuando un usuario hace clic en anuncios maliciosos o en comentarios de YouTube. Al abrir el archivo ISO, se instala un webkit de nodo de navegador (NW.js) o una extensión de navegador. Los expertos también observaron a los actores de amenazas que usaban archivos DMG para apuntar también a los sistemas macOS.

Vulnerabilidad de Atlassian Confluence explotada en campaña de minería de criptomonedas 

Según los investigadores de Atlassian la vulnerabilidad se reveló desde junio del presente año, donde estaban siendo afectadas todas las versiones compatibles con Confluence Server y Data Center.

De acuerdo a la  CVE-2022-26134 esta vulnerabilidad permite la ejecución remota de código (RCE) no autenticado con una calificación crítica de 9.8 en la herramienta de colaboración Atlassian Confluence. Se está abusando de la brecha para la minería maliciosa de criptomonedas. Si no se soluciona y se explota con éxito, esta vulnerabilidad podría usarse para múltiples y más ataques maliciosos, como la toma completa del dominio de la infraestructura y la implementación de ladrones de información, troyanos de acceso remoto (RAT) y ransomware”

En este caso, según los investigadores de Atlassian, los actores de amenaza, explotaron la falla para inyectar una expresión OGNL(Object-Graph Navigation Language) y descargar y ejecutar un script de shell ("ro[.]sh") en la máquina de la víctima. Luego, el script se usó para obtener un segundo script de shell ("ap[.]sh").

El script de shell ap.sh se usó para realizar múltiples acciones, incluida la actualización de la variable de ruta para incluir las rutas / tmp“ y  “/ dev / shm”  , descargar la utilidad curl, deshabilitar  iptables o cambiar la acción de la política de firewall a  ACEPTAR y vaciar todas las reglas del cortafuegos.

El script también descarga un archivo binario llamado ko,  que explota la  vulnerabilidad PwnKit para escalar el privilegio al usuario raíz, mientras que el archivo binario descarga el  script de shell ap.sh  para acciones posteriores.

La última etapa de la cadena de ataque consiste en descargar el malware hezb y eliminar los procesos asociados con otros mineros de monedas de la competencia.

El script de shell también deshabilita a los agentes del proveedor de servicios en la nube de Alibaba y Tencent, luego realiza un movimiento lateral a través de SSH.

También se detectaron actores de amenazas que desplegaban cargas maliciosas adicionales, incluidos  Kinsing  y el  malware Dark.IoT.

Vulnerabilidad de Clave Privada de Criptomercados Wintermute, permitiò a piratas informáticos robar más de 160 millones de USD 

Wintermute  es un negocio de finanzas descentralizadas (DeFi) con sede en Londres, centrado principalmente en negociar diariamente miles de millones de dólares en cripto mercados, proporcionando liquidez en múltiples lugares.

En la madrugada del 20 de septiembre , los atacantes tomaron $ 162,5 millones de la plataforma de Wintermute.  

La cadena de ataque en ésta operación consistió en el descifrado de  clave privada de la plataforma a través de  lo que parecía ser un ataque de fuerza bruta. En este sentido, una vez que el atacante obtuvo la clave utilizó una función privilegiada con la filtración de la clave privada para especificar que el contrato de intercambio en la plataforma era el controlado por el atacante", lo cual al utilizar  la clave privada robada, el hacker pudo redirigir los fondos para apoderarse de ellos.

Vulnerabilidad de Python permite la ejecución de código en proyectos de 350k 

Según  fuentes la vulnerabilidad fue expuesta en 2007 y etiquetado como CVE-2007-4559, la vulnerabilidad, se encuentra en el  paquete tarfile de Python, en el código que utiliza la  función tarfile.extract()  no desinfectada o los valores predeterminados integrados de tarfile.extractall(). Es un error de recorrido de ruta que permite a un atacante sobrescribir archivos arbitrarios.  Si bien no hay informes sobre el aprovechamiento del error en los ataques, representa un riesgo en la cadena de suministro de software. 

Al profundizar en el problema, Trellix descubrió que el código de fuente abierta vulnerable a CVE-2007-4559 "abarca una gran cantidad de industrias". Como era de esperar, el sector más afectado es el  desarrollo, seguido por la tecnología web y de aprendizaje automático.

Vulnerabilidad en unidades de distribución de energía de Dataprobe, permiten la pirateria remota

iBoot-PDU es una unidad de distribución de energía (PDU) que brinda a los usuarios capacidades de monitoreo en tiempo real y mecanismos de alerta sofisticados a través de una interfaz web para controlar el suministro de energía a los dispositivos y otros equipos en un entorno OT.

La firma de ciberseguridad industrial Claroty se le atribuye la revelación de las fallas, y dijo que las debilidades podrían activarse de forma remota "ya sea a través de una conexión web directa al dispositivo o a través de la nube.

Las vulnerabilidades adquieren una nueva importancia si se tiene en cuenta el hecho de que se puede acceder a no menos de 2600 PDU en Internet, y los dispositivos Dataprobe representan casi un tercio de los expuestos.

El análisis de Claroty del firmware de la PDU muestra que el producto está paralizado por problemas que van desde la inyección de comandos hasta fallas en el recorrido de la ruta, lo que expone a los clientes a graves riesgos de seguridad:

• CVE-2022-3183 (puntuación CVSS: 9,8): una vulnerabilidad de inyección de comandos derivada de la falta de desinfección de la entrada del usuario

• CVE-2022-3184 (puntaje CVSS: 9.8): una vulnerabilidad de cruce de ruta que permite el acceso a una página PHP no autenticada, que podría ser objeto de abuso para insertar código malicioso.

La explotación remota exitosa de las fallas "pone a un atacante al alcance de la mano para interrumpir los servicios críticos al cortar la energía eléctrica al dispositivo y, posteriormente, cualquier cosa que esté enchufada en él", dijo el investigador de Claroty, Uri Katz.

Vulnerabilidad de aplicaciones de OAth maliciosas, permite apoderarse de los servidores de correo electrónico 

La división de inteligencia de amenazas de Microsoft dijo que el adversario ha estado ejecutando activamente campañas de correo electrónico no deseado durante varios años, generalmente enviando grandes volúmenes de correos electrónicos no deseados en ráfagas cortas a través de una variedad de métodos. 

Según ésta agencia, el actor de amenazas lanzó ataques de relleno de credenciales contra cuentas de alto riesgo que no tenían habilitada la autenticación multifactor (MFA) y aprovechando las cuentas de administrador no seguras para obtener acceso inicial" 

El acceso no autorizado al inquilino de la nube permitió al adversario registrar una aplicación OAuth maliciosa y otorgarle permisos elevados y, finalmente, modificar la configuración del servidor de Exchange para permitir que los correos electrónicos entrantes de direcciones IP específicas se enruten a través del servidor de correo electrónico comprometido.

Vulnerabilidad de Zoho ManageEngine que permite la ejecución remota

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad recientemente revelada en Zoho ManageEngine a su Catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ).

Los productos afectados corresponden a Zoho ManageEngine PAM360, Password Manager Pro y Access Manager Plus. La vulnerabilidad está considerada como crítica y rastreada como  CVE-2022-35405, tiene una calificación de 9,8 sobre 10 en cuanto a gravedad en el sistema de puntuación CVSS, y Zoho la reparó como parte de las actualizaciones publicadas el 24 de junio de 2022.

Según la agencia la vulnerabilidad también tiene un un exploit de prueba de concepto (PoC) para la vulnerabilidad, por lo que es imperativo que los clientes se muevan rápidamente para actualizar las instancias de Password Manager Pro, PAM360 y Access Manager Plus lo antes posible.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 03 al 09 de Octubre del  2022:

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Educación
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Infraestructura tecnológica - Componentes

DEFCON 1

• Defensa y orden público
• Construcción e inmobiliaria
• Educación
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes

DEFCON 2

• Organizaciones sin fines de lucro

DEFCON 3

• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes

DEFCON 4

• Transportes y servicios automotrices.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
• Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
• Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
• Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.