ENTEL Weekly Threat Intelligence Brief del 16 al 22 de enero de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Avast lanza el descifrador de ransomware BianLian gratuito
• Grupo de ransomware roba datos del propietario de la marca KFC, Taco Bell y Pizza Hut
• Investigador encubierto se infiltra en grupo LockBit
• El ransomware Cuba explota la vulnerabilidad SSRF de Microsoft
• Ataque de ransomware afecta a 1000 embarcaciones en todo el mundo
• Más de 4.000 dispositivos Sophos Firewall vulnerables a ataques RCE
• Más de 19.000 routers Cisco al final de su vida útil (EoL) expuestos a ataques RCE
• Oracle critical Patch Update de enero 2023 corrige 327 parches
• Trellix publica un nuevo boletín de seguridad que afecta a sus productos
• Las vulnerabilidades de los routers industriales InHand exponen las redes OT internas a los ataques
• La rápida infección por malware IcedID sorprende a investigadores
• Ciberactores envían malware a través de anuncios de búsqueda de Google para VLC, 7-Zip, CCleaner
• Nuevo ataque 'Blank Image' oculta scripts de phishing en archivos SVG
• Nuevo malware Boldmove Linux utilizado para dispositivos Fortinet de puerta trasera
• Ciberactores usan archivos adjuntos de Microsoft OneNote para propagar malware
• Ucrania vincula el ataque de borrado de datos a una agencia de noticias con APT ruso
• Grupo prorruso de ciberdelincuencia lanza ataques DDoS contra naciones de la OTAN
• BackdoorDiplomacy APT utiliza la puerta trasera de Turian para atacar al gobierno iraní

Avast lanza el descifrador de ransomware BianLian gratuito

La empresa de software de seguridad Avast ha lanzado un descifrador gratuito para la variedad de ransomware BianLian para ayudar a las víctimas del malware a recuperar archivos bloqueados sin pagar a los ciberactores.

La disponibilidad de un descifrador se produce solo medio año después del aumento de la actividad del ransomware BianLian durante mediados de 2022, cuando el grupo de amenazas violó varias organizaciones de alto perfil.

En caso de que los ciberactores están utilizando una nueva versión del ransomware que los investigadores aún tienen que detectar, la herramienta no es de ayuda en este momento. Sin embargo, Avast dice que el descifrador de BianLian es un trabajo en progreso y que pronto se agregará la capacidad de desbloquear más versiones.

Grupo de ransomware roba datos del propietario de la marca KFC, Taco Bell y Pizza Hut

Yum! Brands, el operador de la marca de comida rápida de las cadenas de restaurantes de comida rápida KFC, Pizza Hut, Taco Bell y The Habit Burger Grill, ha sido objeto de un ataque de ransomware que obligó al cierre de 300 establecimientos en el Reino Unido.

La organización opera 53,000 restaurantes en 155 países y territorios, con más de $5 mil millones en activos totales y $1,3 mil millones en ganancias netas anuales.

"Inmediatamente después de la detección del incidente, la Compañía inició protocolos de respuesta, incluida la implementación de medidas de contención, como desconectar ciertos sistemas e implementar tecnología de monitoreo mejorada", ¡Yum! Brands explicó en un  comunicado de prensa.

Los actores de ransomware suelen robar datos de las redes violadas para extorsionar a sus víctimas. Yum! Brands ha confirmado que los datos fueron robados en el ataque, pero no ve evidencia de que la información del cliente haya sido expuesta.

Investigador encubierto se infiltra en grupo LockBit

Jon DiMaggio , analista jefe de seguridad de Analyst1, revela cómo se infiltró en el grupo LockBit y qué aprendió mientras estaba dentro en un informe llamado “Ransomware Diaries: Volume 1”. DiMaggio observó cómo LockBitSupp comenzaba a actualizar la infraestructura del grupo. Lo vio reclutar desarrolladores que estaban creando paneles de ransomware fáciles de usar de LockBit. Estaba al tanto de los esfuerzos del grupo para cambiar el modelo tradicional de pago de ransomware al poner a los afiliados a cargo. 

El enfoque de LockBitSupp en la profesionalización del grupo es parte de la razón por la que LockBit ha tenido tanto éxito en el mundo de los ciberdelincuentes: el grupo representó el 44% del total de ataques de ransomware lanzados el año pasado .

“Él lo maneja como un negocio y es por eso que creo que pasa tanto tiempo en foros criminales interactuando, hablando y siendo accesible”, dijo DiMaggio. “Él quiere que LockBit sea popular y fácil de abordar” haciendo referencia al líder del grupo criminal LockBit.

DiMaggio asume que una vez que el informe se haga público, cualquier persona que haya usado para acercarse a LockBitSupp y su operación será quemada. Pero sostiene que todo el ejercicio fue importante porque los funcionarios de seguridad están tan concentrados en las partes técnicas del ransomware que olvidan que las personas detrás de estos ataques son solo humanos.

Recordar eso, dice, proporciona una hoja de ruta sobre cómo acabar con estos grupos. DiMaggio dijo que sería fácil jugar con la paranoia de LockBitSupp y usar campañas de información en su contra.

El ransomware Cuba explota la vulnerabilidad SSRF de Microsoft

Los investigadores informaron el mes pasado que los operadores de ransomware de Cuba estaban usando el loader BURNTCIGAR para instalar un controlador malicioso firmado con el certificado de Microsoft. Ahora, Microsoft ha revelado que el grupo también está apuntando a servidores de Exchange vulnerables para una vulnerabilidad crítica de falsificación de solicitud del lado del servidor (SSRF), también conocida como OWASSRF (CVE-2022-41080).

• Para más información visitar boletín “Nuevas técnicas de ataques dirigidas a MS Exchange”
• Para más información visitar boletín “Patch Tuesday Microsoft de noviembre corrige 67 vulnerabilidades”

Informes recientes de Microsoft y otras agencias sugieren que el grupo de ransomware Cuba está ampliando activamente su alcance al adoptar rápidamente nuevas tácticas de ataque. Esto incluye la explotación de nuevos errores, siendo el más reciente el error OWASSRF.

Desde su divulgación, el actor de amenazas DEV-0671 ha estado explotando este error para piratear servidores de Exchange e implementar cargas útiles (payloads) de ransomware Cuba.

Últimamente, el grupo de ransomware Play abusó de esta misma falla de seguridad en la red de Rackspace. El error se aprovechó para eliminar varias herramientas, incluidas Plink y AnyDesk, para obtener acceso remoto a los servidores infectados.

• Para más información visitar boletín “Rackspace afectado por Play ransomware”

Ataque de ransomware afecta a 1000 embarcaciones en todo el mundo

Un ataque de ransomware cerró los servidores que alojaban el software utilizado para administrar los cronogramas de tripulación y mantenimiento de aproximadamente 1000 embarcaciones en todo el mundo.

La sociedad de clasificación noruega DNV, fabricante del software ShipManager, dice que desconectó los servidores después de detectar un incidente cibernético el 7 de enero de 2023.

El software a bordo continúa funcionando funcionalmente, dice DNV, que también establece estándares para la construcción y operación de barcos.

"No hay indicios de que ningún otro software o datos de DNV se vean afectados. La interrupción del servidor no afecta a ningún otro servicio de DNV", dice la compañía. Se ha puesto en contacto con la policía noruega.

DNV dice que más de 7000 embarcaciones propiedad de 300 clientes usan ShipManager.

El ataque se produce en medio de una creciente preocupación por la susceptibilidad de la cadena de suministro global a los ataques cibernéticos luego de la invasión rusa de Ucrania en febrero de 2022 y preocupaciones sobre los efectos dominó de la guerra para la economía mundial. 

DNV no atribuye la fuente de su ataque de ransomware. La mayoría de los grupos de ransomware son abiertamente apolíticos, para no complicar los pagos de extorsión haciendo que las empresas se preocupen de que están violando las sanciones financieras de los EE. UU.

Ucrania vincula el ataque de borrado de datos a una agencia de noticias con grupo ruso

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha vinculado un ataque de malware destructivo dirigido a la agencia nacional de noticias del país (Ukrinform) con ciberactores militares rusos Sandworm.

"Según los datos preliminares, proporcionados por los especialistas del CERT-UA, el ataque ha causado ciertos efectos destructivos en la infraestructura de información de la agencia, pero la amenaza ha sido localizada rápidamente", dijo el Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSCIP) de Ucrania.

CERT-U  dice que  el ciberataque probablemente fue llevado a cabo por el grupo Sandworm basado en las tácticas de los actores de amenazas, que anteriormente estaba vinculado a la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU).

Los atacantes lanzaron el malware CaddyWiper en los sistemas de la agencia de noticias utilizando una política de grupo de Windows (GPO), lo que demuestra que habían vulnerado la red del objetivo de antemano. Aún así, no lograron impactar las operaciones de la agencia de noticias.

BackdoorDiplomacy APT utiliza la puerta trasera de Turian para atacar al gobierno iraní

Recientemente, se descubrió una nueva ola de ataques dirigidos a entidades gubernamentales iraníes. Mientras investigaban la infraestructura de ataque, los investigadores de Palo Alto descubrieron que esta operación de ciberespionaje probablemente fue llevada a cabo por el actor de amenazas chino BackdoorDiplomacy, entre julio y finales de diciembre de 2022.

En la reciente ola de ataques, el grupo probablemente comprometió las redes del gobierno iraní pertenecientes a cuatro organizaciones diferentes, incluido el Ministerio de Relaciones Exteriores.

El grupo cambió el alojamiento de estas redes a la infraestructura C2 controlada por el atacante y las usó para establecer conexiones con el malware. También utilizó indebidamente certificados asociados activos y vencidos pertenecientes a varias agencias, incluido el Ministerio de Relaciones Exteriores de Senegal, para evadir la detección.

Grupo prorruso de ciberdelincuencia lanza ataques DDoS contra naciones de la OTAN

El grupo de ciberactores prorruso, conocido como NoName057(16), ha estado realizando una campaña de ataques DDoS contra organizaciones en Ucrania y países de la OTAN desde los primeros días de la guerra en Ucrania. El grupo se ha centrado en organizaciones gubernamentales e infraestructura crítica.

SentinelLabs ha revelado que el grupo utiliza canales públicos de Telegram, un programa de pago DDoS basado en voluntarios y un conjunto de herramientas de sistemas operativos múltiples para realizar sus ataques. Además, se encuentra que el grupo tiene presencia en GitHub utilizándolo como plataforma principal para la mayoría de sus actividades maliciosas, incluido el alojamiento de su sitio web DDoS. Además, el grupo utiliza repositorios de GitHub para almacenar las últimas versiones de sus herramientas.

La rápida infección por malware IcedID sorprende a los investigadores

En una campaña reciente de IcedID , la increíble velocidad de movimiento de los atacantes tomó a los investigadores por sorpresa. Los atacantes iniciaron un movimiento lateral dentro de la red infectada dentro de una hora de la infección y comprometieron el Active Directory de un objetivo desconocido dentro de las 24 horas.

Según los investigadores de Cybereason , los atacantes utilizaron archivos ISO y LNK en lugar de los tradicionales ataques basados ​​en phishing que entregaban documentos basados ​​en macros.

1. El ataque comienza con un archivo ISO empaquetado dentro de un archivo ZIP. Al abrir el archivo ISO en el dispositivo de la víctima, se crea un disco virtual.
2. Este disco virtual contiene un solo archivo: un archivo LNK vinculado a un archivo por lotes.
3. Tras la ejecución, el archivo por lotes suelta un archivo DLL y lo ejecuta con rundll32[.]exe. Esto estableció una conexión con el dominio relacionado con IcedID, desde donde se descarga la carga útil (payload) de IcedID.

La rápida velocidad de toda la operación y el uso de herramientas legítimas permitieron a IcedID esquivar varias barreras de seguridad. Para protegerse contra este tipo de ataques, los expertos recomiendan el uso de soluciones antimalware tanto basadas en firmas como basadas en comportamiento. Además, debido al aumento de los ataques basados ​​en ISO, es importante desactivar el montaje automático de archivos de imagen de disco en los dispositivos.

Ciberactores envían malware a través de anuncios de búsqueda de Google para VLC, 7-Zip, CCleaner

Ciberactores están configurando sitios web falsos para software popular gratuito y de código abierto para promover descargas maliciosas a través de anuncios en los resultados de búsqueda de Google.

Al menos un usuario destacado en la escena de las criptomonedas ha sido víctima de la campaña, alegando que permitió a los piratas informáticos robar todos sus criptoactivos digitales junto con el control de sus cuentas profesionales y personales.

Durante el fin de semana, el criptoinfluencer Alex, mejor conocido por su personaje en línea  NFT God , fue pirateado después de lanzar un ejecutable falso para el software de grabación de video y transmisión en vivo Open Broadcaster Software (OBS), que habían descargado de un anuncio de Google en los resultados de búsqueda.

“No pasó nada cuando hice clic en EXE”, escribió Alex en un hilo de Twitter contando su experiencia durante el fin de semana. Sin embargo, unas horas después unos amigos les alertaron que su cuenta de Twitter había sido hackeada.

Siguiendo el hilo de NFT God, BleepingComputer realizó una investigación y descubrió que OBS es uno de una larga lista de software que los actores de amenazas se hacen pasar por descargas maliciosas en los resultados de búsqueda de Google Ads.

Un ejemplo que encontramos es un resultado de búsqueda de Google Ad para Rufus, una utilidad gratuita para crear unidades flash USB de arranque. El actor de amenazas registró dominios que se parecen al oficial y copió la parte principal del sitio legítimo hasta la sección de descargas.

En un caso, utilizaron el dominio genérico de nivel superior "pro", probablemente en un intento de despertar el interés de las víctimas y atraerlas con la promesa de un conjunto más amplio de funciones del programa.

Nuevo ataque 'Blank Image' oculta scripts de phishing en archivos SVG

Se ha observado una técnica de phishing inusual que oculta archivos SVG vacíos dentro de archivos adjuntos HTML que fingen ser documentos de DocuSign.

Los investigadores de seguridad del proveedor de seguridad de correo electrónico Avanan lo llamaron "Imagen en blanco". Explican que el ataque permite a los actores de phishing evadir la detección de URL de redireccionamiento. El correo electrónico de phishing enviado a las posibles víctimas pretende ser un documento de DocuSign, una marca ampliamente abusada, ya que muchos destinatarios la conocen por sus trabajos de oficina.

Se solicita a la víctima que revise y firme el documento enviado que se denomina "Scanned Remittance Advice.htm". Los archivos HTML son populares entre los actores de phishing  porque los productos de seguridad de correo electrónico generalmente los ignoran y, por lo tanto, tienen mayores posibilidades de llegar a la bandeja de entrada del objetivo.

Si una víctima hace clic en el botón "View Completed Document", se le lleva a una página web genuina de DocuSign. Sin embargo, si intentan abrir el archivo adjunto HTML, se activa el ataque 'Blank Image'.

Nuevo malware Boldmove Linux utilizado para dispositivos Fortinet de puerta trasera

Los presuntos ciberactores chinos explotaron una vulnerabilidad de FortiOS SSL-VPN recientemente revelada como un día cero en diciembre, apuntando a un gobierno europeo y un MSP africano con un nuevo malware personalizado 'BOLDMOVE' para Linux y Windows.

La vulnerabilidad se rastrea cómo CVE-2022-42475 y Fortinet la solucionó silenciosamente en noviembre de 2022. Fortinet reveló públicamente la vulnerabilidad en diciembre de 2022,  instando a los clientes  a parchear sus dispositivos ya que los actores de amenazas estaban explotando activamente la falla.

La falla permite que los atacantes remotos no autenticados bloqueen los dispositivos objetivo de forma remota o obtengan la ejecución remota de código.

Sin embargo, no fue hasta este mes de enero 2023 que Fortinet compartió más detalles  sobre cómo los piratas informáticos lo explotaron, explicando que los actores de amenazas se habían dirigido a entidades gubernamentales con malware personalizado diseñado específicamente para ejecutarse en dispositivos FortiOS.

Los atacantes se centraron en mantener la persistencia en los dispositivos explotados mediante el uso de malware personalizado para parchear los procesos de registro de FortiOS para que las entradas de registro específicas pudieran eliminarse o deshabilitar el proceso de registro por completo.

Mandiant publicó un informe sobre una supuesta campaña de espionaje chino que aprovecha la falla de FortiOS desde octubre de 2022 utilizando un nuevo malware 'BOLDMOVE' diseñado explícitamente para ataques en dispositivos FortiOS.

• Para más información visitar boletín “Ciberactores explotan vulnerabilidad de fortinet como zero-day”

Ciberactores usan archivos adjuntos de Microsoft OneNote para propagar malware

Los atacantes ahora usan archivos adjuntos de OneNote en correos electrónicos de phishing que infectan a las víctimas con malware de acceso remoto que se puede usar para instalar más malware, robar contraseñas o incluso billeteras de criptomonedas.

Esto ocurre después de que los atacantes hayan estado distribuyendo malware en correos electrónicos utilizando archivos adjuntos maliciosos de Word y Excel que ejecutan macros para descargar e instalar malware durante años.

Sin embargo, en julio de 2022, Microsoft finalmente deshabilitó las macros de forma predeterminada en los documentos de Office, lo que hizo que este método no fuera confiable para distribuir malware.

Poco después, los actores de amenazas comenzaron a utilizar nuevos formatos de archivo, como imágenes ISO y archivos ZIP protegidos con contraseña. Estos formatos de archivo pronto se volvieron extremadamente comunes, con la ayuda de un error de Windows que permitía a los ISO eludir las advertencias de seguridad y la popular utilidad de archivo 7-Zip que no propagaba las marcas de marca de la web a los archivos extraídos de los archivos ZIP.

Más de 4000 dispositivos Sophos Firewall vulnerables a ataques RCE

Más de 4000 dispositivos Sophos Firewall expuestos al acceso a Internet son vulnerables a ataques dirigidos a una vulnerabilidad crítica de ejecución remota de código (RCE).

Sophos reveló esta falla de inyección de código ( CVE-2022-3236 ) que se encuentra en el Portal de usuario y Webadmin de Sophos Firewall en septiembre y también lanzó revisiones para varias versiones de Sophos Firewall (las correcciones oficiales se publicaron tres meses después, en diciembre de 2022).

La compañía advirtió en ese momento que el error RCE estaba siendo explotado de forma salvaje en ataques contra organizaciones del sur de Asia.

• Para más información visitar boletín “Parchan vulnerabilidades en Firewall Sophos”

Más de 19.000 routers Cisco al final de su vida útil (EoL) expuestos a ataques RCE

Más de 19.000 routers Cisco VPN al final de su vida útil (EoL) en Internet están expuestos a ataques dirigidos a una cadena de explotación de ejecución de comandos remotos.

Al encadenar dos fallas de seguridad  reveladas el 11 de enero de 2023 , los actores de amenazas pueden eludir la autenticación (CVE-2023-20025) y ejecutar comandos arbitrarios (CVE-2023-2002) en el sistema operativo subyacente de los router Cisco Small Business   RV016 , RV042  , RV042G y  RV082.

Los atacantes no autenticados pueden explotar la falla de omisión de autenticación de gravedad crítica de forma remota a través de solicitudes HTTP especialmente diseñadas enviadas a la interfaz de administración basada en la web de los routers vulnerables para obtener acceso raíz.

• Para más información visitar boletín “Primeras vulnerabilidades de cisco en 2023”

Oracle critical Patch Update de enero 2023 corrige 327 parches

En el aviso de actualización de parches críticos de Oracle de enero 2023 se reportaron 327 correcciones para fallas de seguridad, de las cuales hay 182 vulnerabilidades únicas que se clasifican en 28 de severidad Crítica, 71 de severidad Alta, 77 de severidad Media y finalmente 6 de severidad Baja.

• Para más información visitar boletín “Oracle critical Patch Update de enero 2023 corrige 327 parches”

Trellix publica un nuevo boletín de seguridad que afecta a sus productos

Trellix ha publicado un nuevo aviso de seguridad que contiene una vulnerabilidad de criticidad media que afecta a uno de sus productos.

• Para más información visitar boletín “Trellix publica un nuevo boletín de seguridad que afecta a sus productos”

Las vulnerabilidades de los routers industriales InHand exponen las redes OT internas a los ataques

Una serie de vulnerabilidades que afectan a los enrutadores industriales fabricados por InHand Networks podría permitir a los piratas informáticos eludir los sistemas de seguridad y obtener acceso a las redes internas de tecnología operativa (OT) desde Internet.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó el 12 de enero un aviso para informar a las organizaciones sobre cinco vulnerabilidades identificadas por un investigador de la firma de ciberseguridad industrial Otorio en los enrutadores celulares InRouter302 e InRouter615 de InHand.

El proveedor ha lanzado actualizaciones de firmware que deberían parchear estas vulnerabilidades.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 23 al 29  de enero de 2023:

• Objetivos observados durante semana de análisis: 
• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Transportes y servicios automotrices.

DEFCON 1

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Transportes y servicios automotrices.
• Educación

DEFCON 2

• Construcción e inmobiliaria
• Servicios empresariales y comercio

DEFCON 3

• Banca y Finanzas
• Infraestructura tecnológica - Componentes
• Shipment y cadena de suministros
• Servicios básicos y sanitarios

DEFCON 4

• Defensa y orden público
• Servicios de salud, sociales y farmacia
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.