ENTEL Weekly Threat Intelligence Brief del 20 al 26 de marzo de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Dole revela violación de datos de empleados después de un ataque de ransomware
• La ciudad de Toronto confirma el robo de datos por ransomware Cl0p
• PDI identifica a responsables de hackeo de observatorio ALMA y logra desencriptar miles de archivos
• El nuevo ransomware Dark Power cobra 10 víctimas en su primer mes
• SideCopy APT apunta a la principal agencia de investigación de defensa de la India
• Hackers norcoreanos usan extensiones de Chrome para robar correos electrónicos de Gmail
• Ciberactores se dirigieron principalmente a Microsoft, Google, Apple zero-days en 2022
• GitHub.com rota su clave SSH privada expuesta
• SharePoint como herramienta de phishing
• Emotet adopta la tendencia de infección de OneNote
• Ciberacores utilizan el nuevo malware PowerMagic y CommonMagic para robar datos
• El malware de robo de información de Python usa Unicode para evadir la detección
• Cuentas de Facebook secuestradas por la nueva extensión de Chrome ChatGPT maliciosa
• Outlook día cero sigue siendo vulnerable a los atacantes con acceso previo, según los investigadores
• WordPress obliga a parchear el plugin de WooCommerce con 500 000 instalaciones
• OpenSSL publica nuevo aviso de seguridad que afecta a sus versiones
• Cisco publica nuevos avisos de seguridad que afectan a sus productos
• Jenkins publica aviso de seguridad que afecta a sus complementos

Dole revela violación de datos de empleados después de un ataque de ransomware

El gigante de productos frescos Dole Food Company ha confirmado que los actores de amenazas detrás de un ataque de ransomware en febrero han accedido a la información de un número no revelado de empleados. Dole emplea a unas 38 000 personas en todo el mundo y proporciona frutas y verduras frescas a clientes en más de 75 países.

La compañía reveló que el ataque cibernético del mes pasado afectó directamente la información de sus empleados  en el informe anual  presentado ante la Comisión de Bolsa y Valores de EE. UU. (SEC) el miércoles.

“En febrero de 2023, fuimos víctimas de un sofisticado ataque de ransomware que involucró el acceso no autorizado a la información de los empleados”

El ataque se reveló después de que los clientes se quejaron de los retrasos y la escasez de productos Dole en los estantes de las tiendas durante más de una semana.

Si bien la compañía dijo que el ataque de ransomware tuvo un impacto limitado, en ese momento se vio obligada a cerrar las plantas de producción en América del Norte.

La ciudad de Toronto confirma el robo de datos por ransomware Cl0p

La ciudad de Toronto se encuentra entre las últimas víctimas de la banda de ransomware Clop golpeadas en la ola de piratería GoAnywhere en curso. Al explotar una falla de ejecución remota de código en la herramienta de transferencia segura de archivos GoAnywhere de Fortra, Clop afirma que ha logrado violar más de 130 organizaciones hasta el momento.

Toronto se encuentra entre la creciente lista de víctimas de Clop afectadas por instancias vulnerables de un programa de Fortra (anteriormente HelpSystems) llamado GoAnywhere. La vulnerabilidad rastreada como  CVE-2023-0669 , permite a los atacantes obtener la ejecución remota de código en  instancias MFT de GoAnywhere sin parches  con su consola administrativa expuesta al acceso a Internet.

Fortra había revelado previamente a sus clientes que la vulnerabilidad había sido explotada como un día cero en la naturaleza e instó a los clientes a parchear sus sistemas.

Este mes,  Hitachi Energy ,  Saks Fifth Avenue , así como la empresa de ciberseguridad,  Rubrik , revelaron el impacto de Clop como resultado del mismo día cero. Las organizaciones que utilizan la solución vulnerable de transferencia segura de archivos GoAnywhere deben parchear sus sistemas lo antes posible para protegerse de estos ataques.

PDI identifica a responsables de hackeo de observatorio ALMA y logra desencriptar miles de archivos

Los especialistas de la Brigada del Cibercrimen Metropolitana de la PDI lograron desencriptar miles de archivos que fueron capturados por una infección de ransomware.

El subprefecto José Acuña de la Brigada del Cibercrimen Metropolitana ha explicado que se trató de una estructura criminal internacional autodenominada "HIVE", que operaba en la Darknet. Después de meses de investigación, los expertos pudieron descifrar los códigos necesarios para romper con éxito la encriptación y así recuperar los archivos.

"En la mayoría de los casos estas organizaciones piden rescates para liberar la información, criptomonedas, pero en esta oportunidad no se tuvo que pagar, y bueno, nosotros siempre recomendamos que esos pagos nunca se realicen", señaló. La PDI también hizo un llamado a la comunidad a denunciar situaciones como esta.

Para más información sobre ransomware HIVE visitar boletín:

• Servidores MS Exchange son comprometidos por Ransomware Hive
• Ransomware Hive presente en el panorama de ciberamenazas de Chile

El nuevo ransomware Dark Power cobra 10 víctimas en su primer mes

Un nuevo grupo de ransomware llamada 'Dark Power' se hace presente en el panorama de amenazas, y ya ha enumerado a sus primeras víctimas en un sitio de fuga de datos de la dark web, amenazando con publicar los datos si no se paga un rescate.

El cifrador del ransomware tiene una fecha de compilación del 29 de enero de 2023, cuando comenzaron los ataques. Según  Trellix ,esta es una operación de ransomware oportunista que se dirige a organizaciones de todo el mundo y solicita pagos de rescate relativamente pequeños de $ 10,000.

La carga útil (Payload) de Dark Power se escribió en Nim, un lenguaje de programación multiplataforma con varias ventajas relacionadas con la velocidad, lo que lo hace adecuado para aplicaciones de rendimiento crítico como el ransomware.

Se han visto diez víctimas  entre los EE. UU., Francia, Israel, Turquía, la República Checa, Argelia, Egipto y Perú, por lo que el alcance del grupo es global.

SideCopy APT apunta a la principal agencia de investigación de defensa de la India

Investigadores de seguridad descubrieron un grupo de ciberespionaje pakistaní que emplea nuevas tácticas para atacar a los trabajadores de la Organización de Investigación y Desarrollo de Defensa de la India y robar secretos militares confidenciales.

El grupo de ciberespionaje pakistaní SideCopy APT aparentemente está apuntando a la principal agencia de investigación de tecnología de defensa del gobierno indio.

SideCopy APT tradicionalmente usa spear-phishing para obtener la entrada inicial. Los correos electrónicos de la última campaña supuestamente contienen material de investigación sobre tecnologías militares enviados como archivos adjuntos.

Cyble dijo que un correo electrónico de phishing enviado a un trabajador de DRDO contenía un archivo adjunto zip malicioso que contenía un archivo LNK llamado “DRDO - K4 Missile Clean room[.]pptx[.]lnk.” El K-4 es un misil balístico lanzado desde un submarino con capacidad nuclear desarrollado por DRDO.

Este ataque de phishing se diferenció de otros ataques porque el archivo zip contenía un archivo de PowerPoint con información real sobre el misil K-4. La cadena de infección comienza cuando el usuario extrae el archivo y ejecuta el archivo .lnk. Eso descarga una aplicación HTML que abre la presentación de diapositivas.

También comienza una operación que involucra múltiples aplicaciones HTML que finalmente resulta en la eliminación de una variante del Action Rat Malware cuyos archivos se cargan en el sistema operativo con nombres que imitan los componentes esenciales de Windows.

Las capacidades del malware incluyen obtener o recuperar información sobre archivos específicos y unidades disponibles, instalar payloads adicionales y transmitir archivos al servidor de comando y control.

SideCopy APT anteriormente apuntó al ejército indio, al Cuerpo Nacional de Cadetes de la India y al Consejo Nacional de Investigación y Capacitación Educativa usando tácticas similares
 

Hackers norcoreanos usan extensiones de Chrome para robar correos electrónicos de Gmail

Un aviso conjunto de seguridad cibernética de la Oficina Federal Alemana para la Protección de la Constitución (BfV) y el Servicio Nacional de Inteligencia de la República de Corea (NIS) advierte sobre el uso de extensiones de Chrome por parte de Kimsuky para robar los correos electrónicos de Gmail del objetivo.

Kimsuky (también conocido como Thallium, Velvet Chollima) es un grupo de amenazas de Corea del Norte que utiliza el phishing selectivo para realizar  ciberespionaje  contra diplomáticos, periodistas, agencias gubernamentales, profesores universitarios y políticos. Inicialmente enfocados en objetivos en Corea del Sur, los actores de amenazas expandieron sus operaciones con el tiempo para apuntar a entidades en los EE. UU. y Europa.

El  aviso de seguridad conjunto  se publicó para advertir sobre dos métodos de ataque utilizados por el grupo de piratería: una extensión maliciosa de Chrome y aplicaciones de Android. El ataque comienza con un correo electrónico de phishing dirigido que insta a la víctima a instalar una extensión maliciosa de Chrome, que también se instalará en navegadores basados ​​en Chromium, como Microsoft Edge o Brave.

Una vez que la víctima visita Gmail a través del navegador infectado, la extensión se activa automáticamente para interceptar y robar el contenido del correo electrónico de la víctima.

La extensión abusa de la API de Devtools (API de herramientas de desarrollo) en el navegador para enviar los datos robados al servidor de retransmisión del atacante, robando sigilosamente sus correos electrónicos sin romper o eludir las protecciones de seguridad de la cuenta.

Esta no es la primera vez que Kimsuky usa extensiones maliciosas de Chrome para robar correos electrónicos de sistemas violados.

A medida que Kimsuky continúa evolucionando sus tácticas y desarrollando métodos más sofisticados para comprometer las cuentas de Gmail, las personas y las organizaciones deben permanecer alerta e implementar medidas de seguridad sólidas.

Ciberactores se dirigieron principalmente a Microsoft, Google, Apple zero-days en 2022

Ciberactores continúan apuntando a las vulnerabilidades de día cero en campañas maliciosas, y los investigadores informan que 55 días cero se explotaron activamente en 2022, la mayoría dirigidos a productos de Microsoft, Google y Apple.

La mayoría de estas vulnerabilidades (53 de 55) permitieron al atacante obtener privilegios elevados o ejecutar código remoto en dispositivos vulnerables. Según  Mandiant , la mayoría de las fallas de día cero del año pasado fueron explotadas por actores patrocinados por el estado chino y la mayoría de los sistemas operativos, navegadores web y productos de administración de red involucrados.

De las 55 fallas de día cero explotadas en 2022, 13 fueron explotadas por grupos de ciberespionaje, mientras que los ciberespías chinos aprovecharon 7.

Los actores de amenazas rusos explotaron dos fallas, con una superposición, los norcoreanos otras dos, mientras que los investigadores no pudieron determinar el origen de los ataques de espionaje en tres casos. Los actores de amenazas motivados financieramente se consideran responsables de explotar cuatro vulnerabilidades de día cero el año pasado, tres de las cuales se atribuyen a actores de ransomware.

Con respecto a los productos objetivo, Windows se vio afectado por 15 fallas de día cero en 2022, Chrome ocupa el segundo lugar con nueve vulnerabilidades explotadas activamente, iOS tercero con 5 días cero y macOS cuarto con cuatro problemas de día cero.

Dado lo anterior se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

SharePoint como herramienta de phishing

Recientemente nos encontramos con un método bastante interesante que utiliza servidores de SharePoint perfectamente legítimos. Los afectados reciben una notificación estándar sobre alguien que comparte un archivo. Es poco probable que esto despierte sospechas (especialmente si el usuario usa SharePoint). Esto se debe a que es una notificación real de un servidor de SharePoint real.

El usuario desprevenido hace clic en el enlace y es llevado al servidor de SharePoint genuino, donde el supuesto archivo de OneNote aparece como se esperaba. Solo que por dentro parece otra notificación de archivo y contiene un icono de gran tamaño (esta vez de un archivo PDF). Suponiendo que este sea otro paso en el proceso de descarga, la víctima hace clic en el enlace, que ahora es un phishing estándar.

Este enlace, a su vez, abre un sitio de phishing estándar que imita la página de inicio de sesión de OneDrive, que fácilmente roba las credenciales de Yahoo!, AOL, Outlook, Office 365 u otro servicio de correo electrónico.

Emotet adopta la tendencia de infección de OneNote

A principios de este año, Microsoft comenzó a implementar actualizaciones para bloquear automáticamente las macros en los documentos descargados de Word y Excel. Varias amenazas maliciosas, incluidas QakBot , Formbook y varios otros programas maliciosos, han comenzado a abusar de los documentos de OneNote. Recientemente, se ha observado que Emotet cambia sus campañas de spam malicioso a documentos de OneNote.

Los investigadores notaron recientemente que los operadores de Emotet ahora están usando archivos adjuntos de Microsoft OneNote para distribuir el malware.

Están utilizando su táctica de ataque de correo electrónico de cadena de respuesta ya probada , suplantando facturas, guías prácticas y referencias laborales.

Cuando se abre el archivo de OneNote, muestra un mensaje que indica que el documento está protegido y que el usuario debe hacer clic en el botón Ver para abrir el documento.  El botón Ver en el cuadro de mensaje se superpone en la parte superior de un archivo VBScript click[.]wsf . Por lo tanto, al hacer doble clic en el botón, se activa el motor de secuencias de comandos de Windows (wscript[.]exe) para ejecutar este VBScript.

Emotet, como varias otras amenazas, está explotando activamente OneNote para establecer un punto de apoyo en las redes empresariales. Se espera que Microsoft mejore aún más la protección en OneNote pronto y se espera que los administradores de Windows tomen medidas inmediatas para evitar cualquier daño.

Ciberacores utilizan el nuevo malware PowerMagic y CommonMagic para robar datos

Los investigadores de seguridad han descubierto ataques de un actor de amenazas avanzado que utilizó "un marco malicioso nunca antes visto" llamado CommonMagic y una nueva puerta trasera llamada PowerMagic.

Ambas piezas de malware se han utilizado desde al menos septiembre de 2021 en operaciones que continúan hasta el día de hoy y se dirigen a organizaciones de los sectores administrativo, agrícola y de transporte con fines de espionaje.

Una vez dentro de la red de la víctima, los atacantes detrás de la campaña de espionaje CommonMagic pueden usar complementos separados para robar documentos y archivos (DOC, DOCX, XLS, XLSX, RTF, ODT, ODS, ZIP, RAR, TXT, PDF) de dispositivos USB.

El malware utilizado también puede tomar capturas de pantalla cada tres segundos utilizando la  API de interfaz de dispositivo gráfico de Windows  (GDI).

Los investigadores creen que el vector de infección inicial es el phishing selectivo o un método similar para entregar una URL que apunta a un archivo ZIP con un archivo LNK malicioso.

Después de la infección de PowerMagic, los objetivos se infectaron con CommonMagic, una colección de herramientas maliciosas que los investigadores no habían visto antes de estos ataques.

El malware o los métodos que se ven en los ataques de CommonMagic no son complejos ni innovadores. Se ha observado una cadena de infección que involucra archivos LNK maliciosos en archivos ZIP con múltiples actores de amenazas.

La firma de respuesta a incidentes Security Joes anunció el mes pasado el descubrimiento de una  nueva puerta trasera llamada IceBreaker  que fue entregada desde un LNK malicioso en un archivo ZIP.

Se observó un método similar en una  campaña de ChromeLoader  que se basó en un LNK malicioso para ejecutar un script por lotes y extraer el contenido de un contenedor ZIP para obtener la carga útil final.

El malware de robo de información de Python usa Unicode para evadir la detección

Un paquete malicioso de Python en PyPI usa Unicode como una técnica de ofuscación para evadir la detección mientras roba y extrae las credenciales de la cuenta de los desarrolladores y otros datos confidenciales de los dispositivos comprometidos.

El paquete malicioso, denominado "onyxproxy", utiliza una combinación de diferentes fuentes Unicode en el código fuente para evitar los análisis automáticos y las defensas que identifican funciones potencialmente maliciosas en función de la coincidencia de cadenas.

El descubrimiento de onyxproxy proviene de los especialistas en ciberseguridad de  Phylum , quienes publicaron un informe explicando la técnica.

Unicode es un estándar completo de codificación de caracteres que abarca una amplia gama de escrituras e idiomas, unificando varios conjuntos/esquemas bajo un estándar común que cubre más de 100 000 caracteres. Fue creado para ayudar a mantener la interoperabilidad y la representación de texto coherente en diferentes idiomas y plataformas y eliminar los conflictos de codificación y los problemas de corrupción de datos.

Se puede abusar fácilmente de la compatibilidad con Unicode de Python para ocultar coincidencias de cadenas maliciosas, lo que hace que el código parezca inocuo mientras sigue teniendo un comportamiento malicioso. En este caso, el robo de datos confidenciales y tokens de autenticación de los desarrolladores.

Si bien este método de ofuscación no es particularmente sofisticado, es preocupante verlo empleado en la naturaleza y podría ser una señal de un abuso más amplio de la ofuscación de Unicode para Python.

Cuentas de Facebook secuestradas por la nueva extensión de Chrome ChatGPT maliciosa

Una versión troyanizada de la extensión legítima ChatGPT para Chrome está ganando popularidad en Chrome Web Store, acumulando más de 9000 descargas mientras roba cuentas de Facebook.

La extensión es una copia del popular complemento legítimo para Chrome llamado " ChatGPT para Google " que ofrece la integración de ChatGPT en los resultados de búsqueda. Sin embargo, esta versión maliciosa incluye código adicional que intenta robar las cookies de sesión de Facebook.

El editor de la extensión la subió a Chrome Web Store el 14 de febrero de 2023, pero solo comenzó a promocionarla mediante anuncios de búsqueda de Google el 14 de marzo de 2023. Desde entonces, ha tenido un promedio de mil instalaciones por día. El investigador que lo descubrió, Nati Tal de Guardio Labs, informa que la extensión se comunica con la misma infraestructura utilizada a principios de este mes por  un complemento de Chrome similar  que acumuló 4000 instalaciones antes de que Google lo eliminara de Chrome Web Store.

Por lo tanto, esta nueva variante se considera parte de la misma campaña, que los operadores mantuvieron como respaldo en Chrome Web Store para cuando se informara y eliminara la primera extensión.

La extensión maliciosa se promociona a través de anuncios en los resultados de búsqueda de Google, que se destacan cuando se busca "Chat GPT 4".

Al hacer clic en los resultados de búsqueda patrocinados, los usuarios acceden a una página de inicio falsa de "ChatGPT para Google" y, desde allí, a la página de la extensión en la tienda oficial de complementos de Chrome.

GitHub.com rota su clave SSH privada expuesta

GitHub ha cambiado su clave SSH privada para GitHub.com después de que el secreto se publicara accidentalmente en un repositorio público de GitHub.

El servicio de desarrollo de software y control de versiones dice que la clave RSA privada solo estuvo "brevemente" expuesta, pero que tomó medidas por "mucha precaución".

En una breve publicación de blog publicada hoy, GitHub reconoció haber descubierto esta semana que la clave privada RSA SSH para GitHub.com había sido expuesta efímeramente en un repositorio público de GitHub. "Actuamos de inmediato para contener la exposición y comenzamos a investigar para comprender la causa raíz y el impacto", escribe Mike Hanley, director de seguridad y vicepresidente sénior de ingeniería de GitHub.

Sin embargo, la publicación del blog no responde  cuándo  exactamente se expuso la clave y durante cuánto tiempo, lo que hace que la línea de tiempo de la exposición sea poco clara. Estas marcas de tiempo generalmente se pueden determinar a partir de los registros de seguridad, en caso de que estén disponibles, y el historial de confirmación de Git.

Aunque GitHub ha cambiado las claves SSH privadas, varios documentos y proyectos de software, incluidos los de GitHub , continúan usando la huella digital SSH de su clave ahora revocada. 

Como tal, los usuarios deben actualizar su archivo ~/.ssh/ known_hosts con la nueva key fingerprint de GitHub; de lo contrario, es posible que vean advertencias de seguridad al realizar conexiones SSH. Al recibir tales advertencias, los usuarios deben asegurarse de que la key fingerprint que se ve en su pantalla coincida con la de la clave más reciente de GitHub.com.

Outlook día cero sigue siendo vulnerable a los atacantes con acceso previo, según los investigadores

Un parche lanzado el 15 de marzo de 2023 para remediar una vulnerabilidad crítica de día cero en Microsoft Outlook no protege completamente las redes informáticas de los ataques, dijeron investigadores.

Dominic Chell , director de MDSec, y Will Dormann , analista principal senior de vulnerabilidades de Analygence, dijeron que el parche emitido para corregir CVE-2023-23397 aún se puede omitir si un atacante ha obtenido acceso a un sistema.

Los investigadores de Microsoft advirtieron que los actores de amenazas vinculados al estado habían abusado de la vulnerabilidad para lanzar ataques contra infraestructura crítica en varios países europeos, después de advertencias previas de funcionarios de Ucrania. 

Los investigadores de Mandiant advirtieron sobre una posible escalada de ataques que involucran a otros actores vinculados al estado y piratas informáticos criminales motivados financieramente.

La vulnerabilidad aún podría explotarse si el atacante fuera un interno o tuviera acceso a través de un host comprometido, según los investigadores.

Para más información sobre la vulnerabilidad visitar: Patch Tuesday Microsoft de marzo corrige 80 vulnerabilidades (https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1531/)

WordPress obliga a parchear el plugin de WooCommerce con 500 000 instalaciones

El día 23 de marzo, la compañía WordPress emitió uno de varios avisos que han sido informados este último mes, detallando que las versiones afectadas son las siguientes desde la 4.8.0 hasta la 5.6.1., a continuación se muestra un compilado de las vulnerabilidades más importantes informadas durante marzo 2023.

• Para más información visitar: Falla crítica de WooCommerce afecta a más de 500.000 sitios de WordPress

OpenSSL publica nuevo aviso de seguridad que afecta a sus versiones

OpenSSL ha publicado un aviso de seguridad que contempla 1 vulnerabilidad, la cual es de severidad baja, afectando a  todas las versiones compatibles de OpenSSL relacionadas con la verificación de certificados X.509.

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1541/

Cisco publica nuevos avisos de seguridad que afectan a sus productos

Cisco ha publicado 18 nuevos avisos de seguridad que contemplan 18 vulnerabilidades, las cuales se clasifican en 9 de severidad Alta y 9 de severidad Media, afectando a  productos como:Cisco IOS XE, Cisco ASA, Cisco FTD.

• Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1539/

Jenkins publica aviso de seguridad que afecta a sus complementos

El servidor open source Jenkins, publicó un aviso de seguridad que contiene 18 vulnerabilidades que se clasifican en: 13 de severidad alta y 5 de severidad media, para los siguientes complementos:

• Complemento AbsInt a³ 
• Convert To Pipeline Plugin
• Complemento Cppcheck 
• Complemento Crap4J
• Complemento JaCoCo 
• Complemento Mashup Portlets 
• Complemento de prueba de carga OctoPerf 
• Complemento de prueba de carga OctoPerf 
• Complemento de prueba de carga OctoPerf
• Complemento de Performance Publisher 
• Complemento diferencial de Phabricator
• Pipeline Aggregator View Plugin
• Complemento remote-jobs-view-plugin 
• Complemento de estrategia de autorización basada en roles
• Complemento de métricas de código de Visual Studio

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1538/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 27 de marzo al 02 de Abril de 2023:

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Servicios legales y profesionales
• Educación
• Agricultura, ganadería, silvicultura y pesca - consumo
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Retail y servicios de consumo
• Organizaciones sin fines de lucro
• Gobierno
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Petróleo
• Turismo, hoteles y restaurantes
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Defensa y orden público
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Petróleo
• Turismo, hoteles y restaurantes

• N/A

• Organizaciones sin fines de lucro

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC 's en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de mal spam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.