ENTEL Weekly Threat Intelligence Brief del 17 al 23 de Octubre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Lockbit 3[.]0 Ransomware  ataca empresa tecnologia japonesa.
• BlackByte utiliza nueva herramienta de robo de datos para doble extorsión.
• Nuevo Ramsomware denominado Prestige es dirigido a organizaciones polacas y ucranianas.
• Black Basta Ransomware se infiltra en las redes a través de Qakbot para implementar Brute Ratel C4.
• OldGremlin Ransomware dirigido a más de una docena de entidades rusas en un esquema multimillonario.
• Blackbyte Ransomware ataca la Universidad Nacional de Educación de Perú.
• RansomExx Ransomware afecta servicios de salud de Brasil.
• Grupo APT Chino rastreado como WIP19, ataca a objetivos de Medio Oriente y Asia.
• Grupo APT41 vinculado a China apunta a Hong Kong con Syder Loader.
• APT denominada  DiceyF de origen Chino apuntan a los casinos en linea con el malware GamePalyerFramework.
• Typosquatting la nueva campaña de malware que intenta infiltrar programas maliciosos de Windows y Android.
• Una nueva variante del malware Ursnif se utiliza como puerta trasera para entregar cargas útiles.
• Emotet Botnet, distribuye RAR  protegidos con contraseña de desbloqueo.
• Nueva versión de Malware FurBall para Android,usado para espiar ciudadanos iranies.
• Vulnerabilidad parcheada de VMware Workspace ONE Acces está siendo explotada.
• Jenkins publica aviso de seguridad que afecta a múltiples complementos.
• Vulnerabilidad VMware en Reactor Netty.
• Cisco publica nuevos parches para fallas de seguridad en sus productos.
• Nueva vulnerabilidad en F5 Networks BIG-IP.
• Se publica el nuevo Oracle critical Patch Update de octubre 2022.
• Text4Shell es llamada la nueva vulnerabilidad de la biblioteca Apache Commons Text.
• Zimbra lanza parche de seguridad para vulnerabilidad que ha sido explotada.
• Vulnerabilidad de Windows permite puerta trasera de powershell sigiloso disfrazada de actualizción. 
• Vulnerabilidad de dia Zero de Windows está siendo explotada para permitir que los archivos JavaScript eludan los controles de seguridad.
• Vulnerabilidad VMware en Reactor Netty.

Lockbit 3 Ransomware ataca empresa tecnologia japonesa

La empresa japonesa Oomiya se centra en el diseño y la fabricación de equipos de microelectrónica y sistemas de instalaciones. Los operadores de Lockbit 3.0 afirman haber robado datos de la empresa, lo que tiene un impacto significativo en las organizaciones de terceros porque Omiya está en la cadena de suministro de las principales organizaciones en todo el mundo en múltiples industrias, incluidas la fabricación, los semiconductores, la automoción, las comunicaciones y la atención sanitaria.

BlackByte utiliza nueva herramienta de robo de datos para doble extorsión

Un afiliado de BlackByte ransomware está utilizando una nueva herramienta de robo de datos personalizada llamada 'ExByte' para robar datos de dispositivos Windows comprometidos rápidamente. 

Se cree que la filtración de datos es una de las funciones más importantes en los ataques de doble extorsión, y según BleepingComputer  las empresas suelen pagar demandas de rescate para evitar la fuga de datos que para recibir un descifrador.

Debido a esto, las operaciones de ransomware, incluidas  ALPHV  y  LockBit , trabajan constantemente para mejorar sus herramientas de robo de datos. Al mismo tiempo, otros actores de amenazas, como  Karakurt , ni siquiera se molestan en cifrar las copias locales, centrándose únicamente en la exfiltración de datos

Nuevo Ransomware denominado Prestige es dirigido a organizaciones polacas y ucranianas

Una nueva campaña de ransomware se centró en los sectores de transporte y logística en Ucrania y Polonia, el 11 de octubre de 2022 con una carga previamente desconocida denominada Prestige. 

El método de acceso inicial sigue siendo desconocido, y Microsoft señaló que el actor de amenazas ya había obtenido acceso privilegiado al entorno comprometido para implementar el ransomware utilizando tres métodos diferentes.

En un desarrollo relacionado, Fortinet FortiGuard Labs reveló una cadena de ataque de múltiples etapas que aprovecha un documento de Microsoft Excel armado, que se hace pasar por una hoja de cálculo para generar salarios para el personal militar ucraniano para lanzar Cobalt Strike Beacon.

Black Basta Ransomware se infiltra en las redes a través de Qakbot para implementar Brute Ratel C4

Se ha observado que los actores de amenazas detrás de la familia de ransomware Black Basta usan el troyano Qakbot para implementar el marco Brute Ratel C4 como una carga útil de segunda etapa en ataques recientes.

El desarrollo marca la primera vez que el incipiente software de simulación de adversarios se entrega a través de una infección de Qakbot, dijo la firma de ciberseguridad Trend Micro en un análisis técnico publicado la semana pasada.

La intrusión, lograda mediante un correo electrónico de phishing que contenía un enlace armado que apuntaba a un archivo ZIP, implicó además el uso de Cobalt Strike para el movimiento lateral.

Si bien estas utilidades legítimas están diseñadas para realizar actividades de pruebas de penetración, su capacidad para ofrecer acceso remoto las ha convertido en una herramienta lucrativa en manos de atacantes que buscan sondear sigilosamente el entorno comprometido sin llamar la atención durante largos períodos de tiempo.

Esto se ha visto agravado por el hecho de que una versión descifrada de Brute Ratel C4 (BRc4 v1[.]2[.]2) comenzó a circular el mes pasado entre los delincuentes cibernéticos, lo que llevó a su desarrollador a actualizar el algoritmo de licencias para que sea más difícil de descifrar.

OldGremlin Ransomware dirigido a más de una docena de entidades rusas en un esquema multimillonario
OldGremlin salió a la luz por primera vez en septiembre de 2020 cuando la empresa de ciberseguridad con sede en Singapur reveló nueve campañas orquestadas por el actor entre mayo y agosto. El primer ataque se detectó a principios de abril de 2020.

Este grupo de ransomware de habla rusa denominado, ha sido atribuido a 16 campañas maliciosas dirigidas a entidades que operan en la nación euroasiática transcontinental en el transcurso de dos años y medio.

“Las víctimas del grupo incluyen empresas de sectores como la logística, la industria, los seguros, el comercio minorista, los bienes raíces, el desarrollo de software y la banca”, dijo Group-IB en un informe exhaustivo compartido con The Hacker News. "En 2020, el grupo incluso apuntó a un fabricante de armas".

En lo que es una rareza en el panorama del ransomware, OldGremlin (también conocido como TinyScouts), es una de las pocas pandillas de delitos cibernéticos con motivación financiera que se enfoca principalmente en empresas rusas.

Typosquatting la nueva campaña de malware que intenta infiltrar programas maliciosos de Windows y Android

Se está llevando a cabo una campaña maliciosa masiva que utiliza dominios de typosquatting de marcas conocidas para engañar a los visitantes para que descarguen varios programas maliciosos de Windows y Android.

EL Typosquatting es un método antiguo para engañar a las personas para que visiten un sitio web falso mediante el registro de un nombre de dominio similar al que usan las marcas genuinas, muchas veces con cambios mínimos como presentando un cambio de posición de una sola letra o una "s" adicional, lo que facilita que las personas los pasen por alto.

Algunos de los sitios maliciosos fueron descubiertos por la firma de ciberinteligencia Cyble, que publicó un informe esta semana centrado en dominios que imitan las tiendas de aplicaciones populares de Android como Google Play, APKCombo y APKPure, así como portales de descarga para PayPal, VidMate, Snapchat y Tik Tok.

Si bien  el informe de Cyble se  centró en el malware de Android de la campaña, BleepingComputer encontró una campaña de typosquatting mucho más grande de los mismos operadores, que distribuía malware de Windows.

Esta campaña consta de más de 90 sitios web creados para hacerse pasar por más de veintisiete marcas populares para distribuir malware de Windows, robar claves de recuperación de criptomonedas y, como se describió anteriormente, impulsar el malware de Android.

Una nueva variante del malware Ursnif se utiliza como puerta trasera para entregar cargas útiles

La nueva variante, observada por primera vez en junio de 2022 y denominada LDR4, no es un troyano bancario, sino una puerta trasera genérica. 

Según los investigadores de Mandiant , Ursnif es una de las amenazas comunes más difundidas en la actualidad a través de campañas de malspam. Apareció en el panorama de amenazas en 2007 y ganó popularidad en 2014 cuando su código fuente se filtró en línea, lo que le dio la oportunidad a varios actores de amenazas de desarrollar su propia versión.

La última variante de Ursnif incluye una funcionalidad de shell de comandos integrada que proporciona un shell inverso que se conecta a una dirección IP remota. El shell permite a los atacantes ejecutar comandos del sistema a través del  programa cmd[.]exe. Esta funcionalidad es la misma que admite la variante RM3 proporcionada a través de su  complemento cmdshell.dll independiente.

"URSNIF es el último malware que sigue el mismo camino que EMOTET y TRICKBOT antes, enfocándose en una nueva estrategia y dejando atrás su legado de fraude bancario. LDR4 es la prueba de esa declaración al eliminar todas sus características y módulos de malware bancario y solo enfocarse en obtener VNC y/o shell remoto en la máquina comprometida”. concluyen los investigadores.

Emotet Botnet, distribuye RAR protegidos con contraseña de desbloqueo

En una cadena de ataque detectada por los investigadores de Trustwave SpiderLabs, se descubrió que un archivo ZIP con el tema de una factura contenía un archivo autoextraible (SFX) anidado, el primer archivo que actuaba como un conducto para iniciar el segundo.

Si bien los ataques de phishing como estos tradicionalmente requieren persuadir al objetivo para que abra el archivo adjunto, la compañía de seguridad cibernética dijo que la campaña elude este obstáculo al utilizar un archivo por lotes para proporcionar automáticamente la contraseña para desbloquear la carga útil.

El primer archivo SFX utiliza además un icono de PDF o Excel para que parezca legítimo, cuando, en realidad, contiene tres componentes: el segundo archivo SFX RAR protegido con contraseña, el script por lotes antes mencionado que inicia el archivo y un PDF o una imagen de señuelo.

"La ejecución del archivo por lotes conduce a la instalación del malware que se esconde dentro del RARsfx (archivo RAR autoextraible) protegido por contraseña"

La secuencia de comandos por lotes logra esto especificando la contraseña del archivo y la carpeta de destino a la que se extraerá la carga útil, además de ejecutar un comando para mostrar el documento señuelo en un intento de ocultar la actividad maliciosa.

Por último, la infección culmina con la ejecución de CoinMiner, un minero de criptomonedas que también puede duplicarse como un ladrón de credenciales, o Quasar RAT , un troyano de acceso remoto basado en .NET de código abierto, que dependiendo de la carga útil empaqueta  el archivo.

Nueva versión de Malware FurBall para Android, usado para espiar ciudadanos iranies

El actor de amenazas iraní conocido como Domestic Kitten ha sido atribuido a una nueva campaña móvil que se hace pasar por una aplicación de traducción para distribuir una variante actualizada de un malware de Android conocido como FurBall.

En un  análisis táctico realizado por Trend Micro en 2019 reveló las conexiones potenciales de Domestic Kitten con otro grupo llamado Bouncing Golf , una campaña de espionaje cibernético dirigida a países de Medio Oriente.

Las campañas emprendidas por el grupo se han basado tradicionalmente en atraer a las víctimas potenciales para que instalen una aplicación maliciosa a través de diferentes vectores de ataque, incluidos los sitios de blogs iraníes, los canales de Telegram y los mensajes SMS.

La última iteración de la campaña descubierta por ESET implica que la aplicación opera bajo la apariencia de un servicio de traducción. Las portadas anteriores utilizadas para ocultar el comportamiento malicioso abarcan diferentes categorías, como aplicaciones de seguridad, noticias, juegos y fondos de pantalla.

Vulnerabilidad parcheada de VMware Workspace ONE Acces está siendo explotada

Según alguna fuentes los actores de amenazas están explotando activamente una vulnerabilidad ahora parcheada, rastreada como:

• CVE-2022-22954, en VMware Workspace ONE Access para entregar mineros de criptomonedas y ransomware.

Los investigadores de Fortinet FortiGuard Labs, observaron que los ataques eson principalmente destinados a robar datos confidenciales. En agosto, los expertos detectaron algunas cargas útiles particulares utilizadas para implementar muestras de Mirai dirigidas a dispositivos de red expuestos que ejecutan Linux. La variante Mirai involucrada en los ataques se usó para lanzar ataques DoS y de fuerza bruta. Así mismo, indican que se utilizaron otras cargas útiles para entregar RAR1ransom y el criptominero GuardMiner, que es una variante de xmrig. El malware RAR1Ransom y GuardMiner se distribuyeron mediante PowerShell o un script de shell, según el sistema operativo.

Jenkins publica aviso de seguridad que afecta a múltiples complementos

El servidor Jenkins, publicó un aviso de seguridad que contiene 35 vulnerabilidades que se clasifican en 20 de severidad Alta, 12 de severidad Media y 3 de severidad Baja. A continuación se muestran las vulnerabilidades de severidad alta:

• CVE-2022-43401
• CVE-2022-43402
• CVE-2022-43402
• CVE-2022-43404
• CVE-2022-43405
• CVE-2022-43406
• CVE-2022-43407
• CVE-2022-43408
• CVE-2022-43409
• CVE-2022-43415
• CVE-2022-43416
• CVE-2022-43420
• CVE-2022-43425
• CVE-2022-43428
• CVE-2022-43429
• CVE-2022-43430
• CVE-2022-43432
• CVE-2022-43433
• CVE-2022-43434
• CVE-2022-43435

Cisco publica nuevos parches para fallas de seguridad en sus productos

Cisco ha publicado 4 avisos de seguridad que contienen 8 vulnerabilidades, de las cuales 2 son de  severidad Alta y 6 de severidad Media. Estas fallas afectan a productos como:

• Cisco Meraki
• Cisco ISE
• Software TelePresence CE
• RoomOS Software en operación local compatible con la nube, que está basado en la nube

Nueva vulnerabilidad en F5 Networks BIG-IP

F5 ha publicado 1 aviso de seguridad que contiene 1 vulnerabilidades de severidad Alta que afecta plataformas de hardware específicas, fue catalogado con:

• CVE-2022-20933 [CVSS: 3.7]: Vulnerabilidad en F5 Networks BIG-IP

Los investigadores de F5 han determinado que mientras se utiliza Intel QAT (QuickAssist Technology) y el cifrado AES-GCM/CCM, por condiciones no reveladas hacen que el sistema BIG-IP envíe datos sin cifrar, incluso con un perfil SSL aplicado. Por lo que han clasificado la vulnerabilidad como CWE-319: Transmisión de información sensible en texto claro.

Esta vulnerabilidad puede exponer información confidencial a un atacante "man-in-the-middle" (MITM), ya que los datos se envían sin el cifrado necesario.

Se publica el nuevo Oracle critical Patch Update de octubre 2022

En el aviso de actualización de parches críticos de Oracle de Octubre 2022 se reportaron 370 correcciones para fallas de seguridad, de las cuales hay 179 vulnerabilidades únicas que se clasifican en 30 de severidad Crítica, 57 de severidad Alta, 85 de severidad Media y finalmente 7 de severidad Baja.

Un atacante remoto que explote estas vulnerabilidades puede realizar operaciones no autorizadas o eliminar y/o falsificar información confidencial sin autorización. Se recomienda a los usuarios de los productos afectados que actualicen a la última versión de manera adecuada consultando la información proporcionada por Oracle.

Oracle ha proporcionado parches que solucionan las vulnerabilidades de cada producto. Es posible que algunos productos o aplicaciones no funcionen correctamente después de actualizar el software a la última versión. Actualice a la última versión después de considerar cualquier posible impacto en los productos o aplicaciones.

Oracle Communications fue el producto empresarial que recibió la mayor cantidad de correcciones nuevas, con 74. De los defectos de seguridad resueltos, 64 se pueden explotar de forma remota sin autenticación y 19 se clasificaron como de "gravedad crítica".

Text4Shell es llamada la nueva vulnerabilidad de la biblioteca Apache Commons Text

Apache Software Foundation (ASF) ha publicado recientemente una solución para una vulnerabilidad de gravedad crítica en ciertas versiones de la biblioteca Apache Commons Text, que podría permitir la ejecución remota de código (RCE). Sin embargo, aún están surgiendo detalles sobre la gravedad y el alcance de la vulnerabilidad, incluida la detección de cualquier ejemplo de aplicaciones del mundo real que utilicen configuraciones vulnerables de la biblioteca afectada.

Esta biblioteca fue lanzada en 2017 como complemento de Java Development Kit (JDK) y actualmente, unos 2.588 proyectos utilizan la biblioteca, incluidos algunos importantes, como Apache Hadoop Common, Spark Project Core, Apache Velocity y Apache Commons Configuration, según los datos del repositorio de Maven Central Java.

Esta vulnerabilidad se ha comparado con Log4Shell, ya que es una vulnerabilidad de nivel de biblioteca de código abierto que probablemente afecte a una amplia variedad de aplicaciones de software que utilizan el objeto relevante, sin embargo, los investigadores de Rapid7, en un análisis inicial indicaron que es una mala comparación, ya que sería raro que una aplicación utilice el componente vulnerable de Commons Text para procesar entradas no confiables y potencialmente maliciosas. Además, indican que sería necesaria la versión de JDK adecuada para la explotabilidad

Vulnerabilidad de Windows permite puerta trasera de powershell sigilosa disfrazada de actualización.

Segun los investigadores, ha surgido detalles sobre un backdoor PowerShell previamente indocumentado y totalmente indetectable (FUD) que gana su sigilo disfrazándose como parte de un proceso de actualización de Windows.

"La herramienta encubierta y los comandos C2 asociados parecen ser obra de un sofisticado y desconocido actor de amenazas que ha atacado a unas 100 víctimas", afirma Tomer Bar, director de investigación de seguridad de SafeBreach, en un nuevo informe.

Atribuido a un actor de amenazas no identificado, las cadenas de ataque que implican el malware comienzan con un documento de Microsoft Word .

Los metadatos asociados al documento Word en mención  de tipo señuelo indican que el vector de intrusión inicial es un ataque de spear-phishing basado en LinkedIn, que en última instancia conduce a la ejecución de un script de PowerShell a través de una pieza de código de macro incrustada.

"La macro deja caer 'updater.vbs', crea una tarea programada simulando ser parte de una actualización de Windows, que ejecutará el script updater.vbs desde una carpeta de actualización falsa bajo '%appdata%\local\Microsoft\Windows'",

Vulnerabilidad de dia Zero de Windows está siendo explotada para permitir que los archivos JavaScript eludan los controles de seguridad

Un nuevo día cero de Windows permite a los actores de la amenaza utilizar archivos JavaScript maliciosos independientes para eludir las advertencias de seguridad de Mark-of-the-Web. Ya se han visto actores de amenazas que utilizan el error de día cero en ataques de ransomware.

Si bien Windows incluye una función de seguridad llamada Mark-of-the-Web (MoTW) que señala que un archivo ha sido descargado de Internet y, por lo tanto, debe ser tratado con precaución ya que podría ser malicioso; los ciberactores están usando la bandera MOTW para añadir a un archivo descargado o a un archivo adjunto de correo electrónico un flujo de datos alternativo especial llamado 'Zone.Identifier', que puede verse utilizando el comando 'dir /R' y abrirse directamente en el Bloc de notas. Este flujo de datos alternativo "Zone.Identifier" incluye la zona de seguridad de la URL de la que procede el archivo (tres es igual a Internet), la referencia y la URL del archivo.

El equipo de inteligencia de amenazas de HP informó recientemente que los actores de amenazas están infectando dispositivos con  el ransomware Magniber usando archivos JavaScript .

Para ser claros, no estamos hablando de archivos JavaScript que se usan comúnmente en casi todos los sitios web, sino de archivos .JS distribuidos por actores de amenazas como archivos adjuntos o descargas que pueden ejecutarse fuera de un navegador web.

Los archivos JavaScript vistos distribuidos por los actores de amenazas de Magniber están firmados digitalmente mediante un bloque de firma codificado en base64 incorporado, una firma catalogada como mal formada. Cuando se firma de esta manera un archivo, aunque el archivo JS se descargue de Internet y recibe una marca de MoTW, Microsoft no mostraría la advertencia de seguridad y el script se ejecutaría automáticamente para instalar el ransomware Magniber. Con esta técnica, los actores de amenazas pueden eludir las advertencias de seguridad normales que se muestran al abrir archivos JS descargados y ejecutar automáticamente el script.

Vulnerabilidad VMware en Reactor Netty

VMware Tanzu ha publicado un nuevo aviso de seguridad  que afecta al Reactor Netty de VMware, la falla de seguridad contempla 1 vulnerabilidad de severidad baja: 

• CVE-2022-31684: Reactor Netty HTTP Server puede registrar encabezados de solicitud.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 24 al 30 de octubre de 2022:

Objetivos observados durante semana de análisis:

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Educación
• Infraestructura tecnológica
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Educación
• Infraestructura tecnológica

• Servicios de salud, sociales y farmacia

• Servicios empresariales y comercio

• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.