ENTEL Weekly Threat Intelligence Brief del 21 al 27 de Noviembre de 2022

28 Noviembre 2022
Alto

 

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

 

 

  • Isla de Vanuatu golpeada por ataque de ransomware, paraliza al gobierno.
  • AXLocker, Octocrypt y Alice impulsan las próximas oleadas de ataques de ransomware.
  • RansomExx Ransomware actualizado en Rust.
  • El grupo de extorsión de Donut también ataca a las víctimas con ransomware.
  • LockBit 3.0 dice que está reteniendo una ciudad canadiense por rescate.
  • DEV-0569 El grupo cambia de táctica y abusa de los anuncios de Google para entregar payloads.
  • hacktivistas bielorrusos afirman violar el regulador de Internet de Rusia.
  • El Grupo Killnet lanza múltiples ataques contra el príncipe Williams.
  • Hacktivistas pro-rusos derriban sitio del Parlamento Europeo en ataque DDoS.
  • Extensión de Google Chrome utilizada para robar criptomonedas, contraseñas.
  • El malware infostealer de Aurora es cada vez más adoptado por las bandas cibernéticas.
  • QBot utiliza el secuestro de DLL y abusa del ejecutable del panel de control en una nueva ola de ataques.
  • Ciberactores violan las organizaciones de energía a través de errores en el servidor web descontinuado.
  • Google impulsa la actualización de emergencia de Chrome para corregir el octavo día cero en 2022.
  • Vulnerabilidades de denegación de servicio(DoS) del filtro CBFS de Callback Technologies.
  • Vulnerabilidades de firmware de BMC exponen dispositivos OT e IoT a ataques remotos.

 

 

  • Isla de Vanuatu golpeada por ataque de ransomware, paraliza al gobierno

El archipiélago del Océano Pacífico Sur, Vanuatu, fue atacado por ransomware el viernes 4 de noviembre y dejó varado al país durante más de una semana.

El ataque que paralizó al gobierno de Vanuta durante 11 días obligó a algunos de sus trabajadores a usar lápiz y papel y provocó retrasos generalizados en toda la nación insular. Los funcionarios no pudieron acceder a los correos electrónicos y a todos los sistemas internos.

El ransomware también inhabilitó los sitios web del parlamento, la policía y la oficina del primer ministro de la isla; al eliminar la intranet y las bases de datos en línea de escuelas y hospitales, paraliza la nación isleña. El país, con una población de unas 315.000 personas, dejó varados a muchos en varias islas para realizar sus tareas básicas como pagar impuestos, facturar facturas y obtener licencias y visas de viaje.

 

  • AXLocker, Octocrypt y Alice impulsan las próximas oleadas de ataques de ransomware

Los operadores de ransomware están evolucionando al expandir el alcance de sus operaciones mediante el desarrollo y la adopción de nuevas herramientas en los ataques cibernéticos. Recientemente, los investigadores de Cyble descubrieron tres nuevas familias de ransomware, AXLocker, Octocrypt y Alice, en ataques generalizados.

El ransomware AXLocker cifra los archivos de las víctimas y roba los tokens de Discord de la máquina infectada. El análisis del código reveló que la función startencryption()  implementa la capacidad de buscar archivos enumerando los directorios disponibles en la unidad C:\. El malware sólo se dirige a extensiones de archivo específicas y excluye una lista de directorios del proceso de cifrado.

El ransomware AXLocker utiliza el algoritmo de cifrado AES para cifrar archivos, a diferencia de otros ransomware, no cambia el nombre o la extensión de los archivos cifrados.

Los investigadores también descubrieron una nueva cepa de ransomware denominada Octocrypt, es un ransomware de Golang y sus operadores están adoptando el modelo de negocio Ransomware-as-a-Service (RaaS). El malware apareció en el panorama de amenazas alrededor de octubre de 2022 y se ofrece por $400 USD.

Alice es un nuevo ransomware que, al igual que OctoCrypt, funciona bajo un modelo de negocio RaaS. Apareció en foros de ciberdelincuencia bajo el proyecto TAs de 'Alicia en la Tierra del Malware'.

Los operadores de Alice pueden generar archivos binarios de ransomware con una nota de rescate personalizada utilizando el generador de ransomware Alice. Cifra los archivos de la víctima después de la ejecución, agrega la extensión. alice y coloca notas de rescate en varias carpetas.

El ransomware se vende en $600 por un mes y $1,400 USD por tres meses, además, ofrece opciones de negociación con el operador para comprarlo para siempre, o para cualquier modificación.

 

  • RansomExx Ransomware actualizado en Rust.

Los investigadores de amenazas de IBM Security X-Force han descubierto una nueva variante del ransomware RansomExx que se ha reescrito en el lenguaje de programación Rust, uniéndose a una tendencia creciente de desarrolladores de ransomware que cambian al lenguaje.

El malware escrito en Rust a menudo se beneficia de tasas de detección de AV más bajas (en comparación con los escritos en idiomas más comunes) y esta puede haber sido la razón principal para usar el lenguaje.

RansomExx es operado por el grupo de ciberactores DefrayX, que también es conocido por el malware PyXie, el loader Vatet y las cepas de ransomware Defray. La versión de ransomware recién descubierta se llama RansomExx2 según las cadenas que se encuentran dentro del ransomware y está diseñada para ejecutarse en el sistema operativo Linux. Históricamente, el grupo ha lanzado versiones de su ransomware para Linux y Windows, por lo que es probable que también se esté trabajando en una versión para Windows.

RansomExx2 se ha reescrito por completo con Rust, pero por lo demás, su funcionalidad es similar a la de su predecesor C++. Requiere que se pase una lista de directorios de destino para cifrar como parámetros de línea de comando y luego cifra los archivos usando AES-256, con RSA utilizado para proteger las claves de cifrado.

El lenguaje de programación Rust ha ido aumentando constantemente en popularidad entre los desarrolladores de malware en el transcurso del año pasado, gracias a su soporte multiplataforma y bajas tasas de detección de AV. Al igual que el lenguaje de programación Go, que ha experimentado un aumento similar en el uso por parte de los actores de amenazas en los últimos años.

 

  • El grupo de extorsión de Donut también ataca a las víctimas con ransomware.

Se ha confirmado que el grupo de extorsión Donut (D0nut) implementó ransomware en ataques de doble extorsión esta semana, se encontró una muestra de un cifrador para la operación Donut, también conocido como D0nut, que muestra que el grupo está utilizando su propio ransomware personalizado para ataques de doble extorsión. Desde su detección en agosto de 2022, el grupo ha estado involucrado en la publicación cruzada de datos robados, lo que indica una asociación basada en afiliados con varios grupos de amenazas, incluidos Hive y Ragnar Locker y ahora ha lanzado su propio cifrador. 

Al ejecutarse, Donut busca archivos que coincidan con extensiones específicas para cifrar. Evita ciertos archivos y carpetas específicas que contienen cadenas para Edge, Opera, Chromium, Windows, thumbs[.]db, ntuser[.]ini y otros.

Cuando se cifra un archivo, el ransomware Donut agrega la extensión .d0nut  a los archivos cifrados.
 

  • LockBit 3.0 dice que está reteniendo una ciudad canadiense por rescate.

El grupo de ciberactores LockBit 3.0 se responsabiliza por el ataque de ransomware que detuvo los servicios municipales y cerró las cuentas de correo electrónico de los empleados en Westmount, Quebec, dando a la ciudad una fecha límite del 4 de diciembre de 2022 para realizar un pago de rescate no revelado.

Westmount, una ciudad con casi 21.000 habitantes en el suroeste de Quebec informó inicialmente el lunes que los servicios de correo electrónico de la ciudad no estaban disponibles debido a una falla informática no identificada. Más tarde, la ciudad confirmó que la interrupción también afectó a otros servicios municipales y se debió a un ciberataque dirigido.

El grupo de ransomware LockBit 3.0 se atribuyó la responsabilidad del ataque y dice que ha descargado con éxito 14 terabytes de datos confidenciales. LockBit dice que liberará los datos robados si no se realiza el pago del rescate en las próximas dos semanas.

 

 

  • El grupo DEV-0569 cambia de táctica y abusa de los anuncios de Google para entregar payloads.

Los investigadores de Microsoft han identificado un nuevo grupo de actividad de amenazas, que están rastreando como DEV-0569. Además, desde agosto, este grupo ha cambiado a varias tácticas de entrega, y la más reciente abusa de Google Ads para entregar BatLoader.

Según el informe, los ataques de DEV-0569 están evolucionando continuamente, ya que el grupo está mejorando sus tácticas de evasión, entrega de carga útil posterior al compromiso y facilitación de ransomware.

De agosto a octubre de 2022, el grupo apuntó a sus víctimas a través de ataques de publicidad maliciosa, enviándoles enlaces de descarga que simulaban ser aplicaciones simples como Microsoft Teams, Zoom, Adobe Flash Player, AnyDesk o LogMeIn.

Utiliza un descargador de malware, BatLoader, que descarga las cargas útiles de la siguiente etapa (a través de los comandos de PowerShell), incluido el ransomware Royal y el implante Cobalt Strike Beacon.

Además, el grupo ha estado utilizando la herramienta de código abierto Nsudo para deshabilitar las soluciones antivirus en la máquina objetivo.

A fines de octubre, se observaron campañas de publicidad maliciosa DEV-0569 aprovechando Google Ads, mezclados con el tráfico web normal para evitar la detección. Se observó además que el grupo usaba el Sistema de Distribución de Tráfico (TDS) legítimo Keitaro para seleccionar víctimas para entregar payloads.

DEV-0569 está abusando de servicios genuinos como Google Ads, GitHub y OneDrive y herramientas como Keitaro para permanecer invisible.

 

  • Hacktivistas bielorrusos afirman violar el regulador de Internet de Rusia

Una unidad del regulador ruso de Internet y medios, Roskomnadzor, confirmó el sábado que los ciberactores habían violado sus sistemas después de que el grupo hacktivista bielorruso conocido como Cyber Partisans afirmara haber atacado la organización.

El Centro General de Radiofrecuencia de Rusia (GRFC), una de las agencias de Roskomnadzor, dijo que los ciberactores no pudieron acceder a información confidencial y también negó que sus estaciones de trabajo estuvieran cifradas por el grupo.

Cyber ​​Partisans afirmó el viernes haber robado miles de documentos internos de la agencia y bloqueado sus sistemas informáticos. Incluyendo los datos de pasaporte y registros médicos de los empleados, correos electrónicos internos e informes sobre los proyectos de la agencia, trayendo consigo las granjas de bots y la vigilancia en Internet de periodistas, blogueros y usuarios comunes.

 

  • Grupo Killnet lanza múltiples ataques contra el príncipe Williams

Un equipo de piratería ruso ha afirmado haber eliminado el sitio web del Príncipe de Gales por el continuo apoyo del Reino Unido a Ucrania. En un mensaje publicado en Telegram, Killnet dijo que había lanzado el ataque "debido al suministro de misiles de alta precisión a Ucrania".

Killnet también prometió que "todas las instituciones médicas, los servicios gubernamentales y los servicios en línea" enfrentarán un golpe similar. Este ataque, por lo visualizado corresponde a una denegación de servicio distribuida (DDoS).

Estos ciberactores rusos, se han atribuido la responsabilidad de numerosos ataques contra diferentes naciones desde marzo de este año, un mes después de que comenzara la invasión de Ucrania y se cree que estuvieron detrás de un golpe frustrado en el concurso de canciones de Eurovisión de este año.

 

  • Hacktivistas pro-rusos derriban sitio del Parlamento Europeo en ataque DDoS

El sitio web del Parlamento Europeo ha sido eliminado tras un ataque DDoS (Distributed Denial of Service) reclamado por Anonymous Rusia, El presidente del Parlamento Europeo confirmó el incidente.

El ataque se produjo después de que el Parlamento Europeo reconociera a Rusia como estado patrocinador del terrorismo y los eurodiputados pidieron un mayor aislamiento internacional de Rusia.

Los grupos hacktivistas pro-Kremlin han atacado sitios web europeos y estadounidenses desde que Rusia invadió Ucrania, a principios de este mes, el FBI dijo que los ataques DDoS coordinados por hacktivistas prorrusos tienen un impacto menor en sus objetivos porque están atacando infraestructura pública como sitios web en lugar de los servicios reales, lo que genera una interrupción limitada.

 

 

  • Extensión de Google Chrome utilizada para robar criptomonedas, contraseñas

El malware de Windows está implementando una extensión del navegador Google Chrome que roba información llamada 'VenomSoftX' para robar criptomonedas y contenido del portapapeles mientras los usuarios navegan por la web.

Esta extensión de Chrome está siendo instalada por el malware de Windows ViperSoftX, que actúa como un RAT (troyano de acceso remoto) basado en JavaScript y un secuestrador de criptomonedas.

Desde principios de 2022, Avast ha detectado y detenido 93 000 intentos de infección de ViperSoftX contra sus clientes, afectando principalmente a Estados Unidos, Italia, Brasil e India.

El principal canal de distribución de ViperSoftX son los archivos torrent que contienen cracks de juegos entrelazados y activadores de productos de software.

 

  • El malware infostealer de Aurora es cada vez más adoptado por ciberactores.

Los grupos de ciberdelincuentes están adoptando a Aurora, un ladrón de información con funciones avanzadas de robo de datos, estabilidad funcional y de infraestructura, y bajas tasas de detección, en su arsenal. Recientemente, los investigadores de SEKOIA han observado un aumento en la cantidad de muestras de Aurora y servidores C2 asociados.

El malware se dirige a los datos almacenados en múltiples navegadores web (cookies, contraseñas, historial, tarjetas de crédito), extensiones de navegador de criptomonedas que administran las billeteras de criptomonedas como Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda y Jaxx Liberty y Telegram.

Agrupa todos los datos robados del host infectado en un solo archivo JSON codificado en base64 y lo envía al C2 a través de los puertos TCP 8081 o 9865.

En octubre y noviembre de 2022, se observaron múltiples cadenas de infección que llevaron a la ejecución del infostealer de Aurora.

Se observan siete equipos, incluidos RavenLogs, BrazzersLogs, DevilsTraff, YungRussia, Gfbg6, SAKURA y HellRide, que distribuyen activamente al malware.

Aurora se distribuye utilizando páginas de phishing que se hacen pasar por páginas de descarga de software legítimo, incluidas herramientas de acceso remoto y billeteras de criptomonedas.

Los otros vectores de infección incluyen videos de YouTube con software falso y enlaces de catálogo de trucos y sitios web de descarga de crack de software falso potenciados por SEO.

 

  • QBot utiliza el secuestro de DLL y abusa del ejecutable del panel de control en una nueva ola de ataques

Una nueva campaña de phishing ha estado distribuyendo el malware QBot (también conocido como Qakbot). Esta campaña abusa de una falla de secuestro de DLL en el ejecutable del Panel de control de Windows para infectar dispositivos.

Losciberactores están utilizando correos electrónicos de cadena de respuesta robados para distribuir un archivo adjunto HTML malicioso. El archivo muestra una imagen que pretende ser Google Drive y descarga automáticamente un archivo ZIP protegido por contraseña con un archivo ISO dentro.

Este archivo ISO contiene un archivo de acceso directo de Windows ([.]LNK), un ejecutable del Panel de control de Windows 10 ([.]exe) y dos archivos DLL llamados edputil[.]dll (utilizado para el secuestro de DLL) y msoffice32[.]dll (malware QBot).

El malware se ejecuta silenciosamente en segundo plano, roba correos electrónicos para usarlos en ataques de phishing y descarga kits de herramientas adicionales posteriores a la explotación, como Brute Ratel o Cobalt Strike.

 

 

  • Ciberactores violan las organizaciones de energía a través de errores en el servidor web descontinuado Boa

Microsoft dijo que las vulnerabilidades de seguridad que afectaron a un servidor web descontinuado desde 2005 se han utilizado para apuntar y comprometer organizaciones en el sector energético.

Como reveló la compañía de seguridad cibernética Recorded Future en un informe publicado en abril, los grupos de ciberactores chinos respaldados por el estado (incluido uno identificado como RedEcho) se dirigieron a múltiples operadores de redes eléctricas indias, comprometiendo un sistema de respuesta de emergencia nacional indio y la subsidiaria de una empresa multinacional de logística.

Los atacantes obtuvieron acceso a las redes internas de las entidades a través de cámaras expuestas a Internet en sus redes como servidores de comando y control donde explotaron un componente vulnerable en el servidor web Boa, una solución de software descontinuada desde 2005 que todavía utilizan los dispositivos IoT (desde enrutadores hasta cámaras).

Boa es uno de los componentes utilizados para iniciar sesión y acceder a las consolas de administración de los dispositivos IoT, lo que aumenta significativamente el riesgo de que se comprometa la infraestructura crítica a través de dispositivos vulnerables y expuestos a Internet que ejecutan el servidor web vulnerable.

El equipo de inteligencia de amenazas de seguridad de Microsoft dijo hoy que los servidores Boa son omnipresentes en los dispositivos IoT principalmente debido a la inclusión del servidor web en los kits de desarrollo de software (SDK) populares.

Según los datos de la plataforma Microsoft Defender Threat Intelligence, más de 1 millón de componentes del servidor Boa expuestos a Internet se detectaron en línea en todo el mundo en una sola semana. "Los servidores de Boa se ven afectados por varias vulnerabilidades conocidas, incluido el acceso arbitrario a archivos (CVE-2017-9833 ) y la divulgación de información ( CVE-2021-33558 )", dijeron los investigadores de Microsoft .

De acuerdo a portales de investigacion existen más de 700 servidores Boa expuestos a internet en Chile.

 

  • Google impulsa la actualización de emergencia de Chrome para corregir el octavo día cero en 2022

Google ha lanzado una actualización de seguridad de emergencia para la versión de escritorio del navegador web Chrome, que aborda la octava vulnerabilidad de día cero explotada en los ataques de este año.

La falla de alta gravedad se rastrea cómo CVE-2022-4135 y es un desbordamiento del búfer de montón en la GPU, "Google es consciente de que existe un exploit para CVE-2022-4135", dice el aviso de actualización.

En general, el desbordamiento del búfer del montón es una vulnerabilidad de la memoria que provoca que los datos se escriban en ubicaciones prohibidas (generalmente adyacentes) sin verificación.

Los atacantes pueden usar el desbordamiento del búfer del montón para sobrescribir la memoria de una aplicación para manipular su ruta de ejecución, lo que da como resultado un acceso a la información sin restricciones o la ejecución de código arbitrario.

Se recomienda a los usuarios de Chrome que actualicen a la versión 107.0.5304.121/122 para Windows y 107.0.5304.122 para Mac y Linux, que aborda CVE-2022-4135.
 

  • Vulnerabilidades de denegación de servicio del filtro CBFS de Callback Technologies

Cisco Talos descubrió recientemente tres vulnerabilidades de denegación de servicio en el filtro CBFS de Callback Technologies.

Callback Technologies tiene una solución de almacenamiento de archivos CBFS para personalizar la persistencia de datos en los dispositivos. Para acompañar esto, su filtro CBFS administra esta solución de almacenamiento de archivos, lo que permite a los usuarios crear reglas de filtro y acceso, modificar y cifrar datos, entre otras.

Talos ha identificado tres vulnerabilidades de desreferencia de puntero nulo en el filtro CBFS:

  • TALOS-2022-1647 (CVE-2022-43588)

  • TALOS-2022-1648 (CVE-2022-43589)

  • TALOS-2022-1649 (CVE-2022-43590)

Un paquete de solicitud de E/S (IRP) especialmente diseñado puede provocar una denegación de servicio. Un atacante puede emitir un ioctl para desencadenar estas vulnerabilidades.

Cisco Talos trabajó con Callback Technologies para garantizar que estos problemas se resolvieran y que hubiera una actualización disponible para los clientes afectados, todo en cumplimiento de la política de divulgación de vulnerabilidades de Cisco.

Se recomienda a los usuarios que actualicen este producto afectado lo antes posible: Tecnologías de devolución de llamada CBFS Filter 20.0.8317. Talos probó y confirmó que esta versión del filtro CBFS podría ser aprovechada por estas vulnerabilidades.

 

  • Vulnerabilidades de firmware de BMC exponen dispositivos OT e IoT a ataques remotos

Investigadores de la empresa de ciberseguridad industrial Nozomi Networks han descubierto más de una docena de vulnerabilidades en el firmware del controlador de gestión de la placa base (BMC).

BMC es un procesador especializado que permite a los administradores controlar y monitorear de forma remota un dispositivo sin tener que acceder al sistema operativo o las aplicaciones que se ejecutan en él. El BMC se puede usar para reiniciar un dispositivo, instalar un sistema operativo, actualizar el firmware, monitorear los parámetros del sistema y analizar registros.

Se han encontrado muchas vulnerabilidades de BMC en los últimos años, y los investigadores advierten que la explotación de estas fallas puede permitir que un atacante remoto comprometa e incluso dañe el servidor objetivo.

Nozomi ha detallado cómo dos de las 13 vulnerabilidades, un problema de control de acceso roto de gravedad media y una falla de inyección de comando de gravedad crítica, podrían ser encadenadas por un atacante no autenticado para lograr la ejecución remota de código con privilegios de root en el BMC.

 

 

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 28 de noviembre al 04 de Diciembre del 2022:

  • Objetivos observados durante semana de análisis: 
  • Agricultura, ganadería, silvicultura y pesca - producción
  • Banca y Finanzas
  • Construcción e inmobiliaria
  • Defensa y orden público
  • Educación
  • Entretenimiento, cultura y arte
  • Gobierno
  • Industrias manufactureras, materiales y minería
  • Infraestructura tecnológica
  • Organizaciones sin fines de lucro
  • Petróleo
  • Retail y servicios de consumo
  • Servicios básicos y sanitarios
  • Servicios de salud, sociales y farmacia
  • Servicios empresariales y comercio
  • Servicios legales y profesionales
  • Shipment y cadena de suministros
  • Transportes y servicios automotrices.
  • Turismo, hoteles y restaurantes
  • Agricultura, ganadería, silvicultura y pesca - consumo
  • Infraestructura tecnológica - Componentes

 

  • Banca y Finanzas
  • Educación
  • Agricultura, ganadería, silvicultura y pesca - consumo.
  • Industrias manufactureras, materiales y minería
  • Infraestructura tecnológica
  • Infraestructura tecnológica - Componentes
  • Transportes y servicios automotrices.

 

  • Retail y servicios de consumo
  • Shipment y cadena de suministros

 

  • Servicios legales y profesionales
  • Gobierno
  • Servicios de salud, sociales y farmacia
  • Servicios empresariales y comercio
  • Turismo, hoteles y restaurantes

 

  • Construcción e inmobiliaria
  • Defensa y orden público
  • Entretenimiento, cultura y arte
  • Agricultura, ganadería, silvicultura y pesca - producción
  • Organizaciones sin fines de lucro
  • Servicios básicos y sanitarios
  • Petróleo

 

ENTEL Weekly Threat Intelligence Brief del 14 al 20 de noviembre de 2022

Actores de amenaza migran a Framework Sliver

Ransomware AXLocker cifra archivos y roba cuentas de Discord

 

 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Ransomware #RansomExx #LockBit #AXLocker #Octocrypt #APT #Malware #Aurora #QBot # día cero


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.