ENTEL Weekly Threat Intelligence Brief del 27 de marzo al 02 de abril de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Investigadores descubren un nuevo grupo de hackers norcoreanos, APT43
• Un grupo de espionaje APT ataca empresas de energía nuclear en China
• Los actores de ransomware aprovechan un fallo de IBM en el intercambio de archivos con una gravedad de 9,8
• Un estafador nigeriano de BEC condenado a prisión en EE.UU.
• El grupo APT Winter Vivern aprovecha un fallo del correo web de Zimbra para atacar a entidades gubernamentales
• Nexus: Nuevo troyano bancario para Android
• ShellBot ataca servidores Linux SSH expuestos con tres nuevas variantes
• El nuevo kit de herramientas AlienFox roba las credenciales de 18 servicios en la nube
• IcedID da un nuevo giro: Las nuevas variantes dan prioridad a la entrega de la carga útil
• La vulnerabilidad de Azure Pipelines pone de manifiesto las amenazas a la cadena de suministro
• CISA ordena a las agencias que parchen los fallos explotados para lanzar programas de espionaje
• Un fallo en el protocolo WiFi permite a los atacantes secuestrar el tráfico de red
• Actores de amenaza norcoreanos comprometen la aplicación de escritorio 3CX atacando la cadena de suministro
• QNAP advierte a sus usuarios que parchen el fallo Linux Sudo en dispositivos NAS
• Microsoft soluciona un "peligroso" fallo RCE en el servicio en la nube Azure
• Un fallo de seguridad sin parches expone los controladores de bombas de agua a ataques remotos de hackers

Actores de ransomware aprovechan un fallo de IBM en el intercambio de archivos con una gravedad de 9,8

Investigadores han advertido de que los actores de amenazas están explotando una vulnerabilidad crítica en una aplicación de intercambio de archivos de IBM en ataques que instalan ransomware en los servidores.

IBM Aspera Faspex es una aplicación centralizada de intercambio de archivos que las grandes organizaciones utilizan para transferir grandes archivos o grandes volúmenes de archivos a muy alta velocidad. En lugar de basarse en tecnologías basadas en TCP, como FTP, para mover archivos, Aspera utiliza el protocolo FASP (Fast, Adaptive, and Secure Protocol), propiedad de IBM, para aprovechar mejor el ancho de banda disponible en la red. El producto también ofrece una gestión detallada que facilita a los usuarios el envío de archivos a una lista de destinatarios en listas de distribución o bandejas de entrada o grupos de trabajo compartidos, proporcionando a las transferencias un flujo de trabajo similar al del correo electrónico.

La vulnerabilidad crítica  localizada como CVE-2022-47986 [CVSS 9.8] afecta las versiones de Aspera 4.4.2 Patch Level 1 y anteriores, permitiendo a los actores de amenazas no autenticados ejecutar remotamente código malicioso mediante el envío de llamadas especialmente diseñadas a una interfaz de programación obsoleta.

Investigadores descubren un nuevo grupo de hackers norcoreanos, APT43

APT43 es un prolífico ciberoperador que apoya los intereses del régimen norcoreano. El grupocombina capacidades técnicas moderadamente sofisticadas con tácticas agresivas de ingeniería social,especialmente contra organizaciones gubernamentales surcoreanas y estadounidenses, académicos y grupos de reflexión centrados en cuestiones geopolíticas de la península coreana.

• Además de sus campañas de espionaje, creemos que APT43 se financia a través de operaciones de ciberdelincuencia para apoyar su misión principal de recopilar inteligencia estratégica.
• El grupo crea numerosas identidades falsas y fraudulentas para utilizarlas en ingeniería social, así como identidades tapadera para adquirir herramientas operativas.
• identidades encubiertas para adquirir herramientas operativas e infraestructura.
• APT43 ha colaborado con otros operadores de espionaje norcoreanos en múltiples operaciones, lo que subraya el importante papel que APT43 desempeña en el aparato cibernético del régimen.

Un grupo de espionaje APT ataca empresas de energía nuclear en China

Investigadores de Intezer ha estado rastreando la actividad dirigida al sector energético y ha observado una campaña con técnicas que se alinean con las de Bitter APT, que opera en la región Asia-Pacífico.

Hemos establecido la conexión con Bitter APT a través de tácticas, técnicas y procedimientos (TTP) que se han observado en otras publicaciones, como el uso de exploits de Microsoft Office a través de archivos Excel, y el uso de archivos CHM y Windows Installer (MSI).

Bitter APT es un grupo de amenazas del sur de Asia que suele tener como objetivo los sectores energético y gubernamental; se sabe que han atacado Pakistán, China, Bangladesh y Arabia Saudí. 

Un estafador nigeriano de BEC condenado a prisión en EE.UU.

Un ciudadano nigeriano ha sido condenado esta semana a cuatro años y un mes de prisión en Estados Unidos por su participación en una trama de fraude a través del correo electrónico comercial.

Solomon Ekunke Okpe, de 31 años y natural de Lagos, participó en múltiples estafas relacionadas con BEC, tarjetas de crédito, trabajo desde casa, cobro de cheques y romance dirigidas a bancos, empresas y particulares en Estados Unidos y el extranjero, entre ellos First American Holding Company y MidFirst Bank.

Según el Departamento de Justicia, Okpe y sus cómplices enviaban correos electrónicos de phishing para robar credenciales y otra información sensible, capturaban cuentas en línea, asumían identidades falsas y se hacían pasar por personas, además de traficar y utilizar tarjetas de crédito robadas.

El grupo APT Winter Vivern aprovecha un fallo del correo web de Zimbra para atacar a entidades gubernamentales

Un grupo APT conocido en el sector de la seguridad como Winter Vivern ha estado explotando una vulnerabilidad en el software de colaboración Zimbra para acceder a buzones de correo de organismos gubernamentales de varios países europeos. Aunque no se han establecido vínculos claros entre Winter Vivern y el gobierno de un país concreto, los investigadores de seguridad han observado que sus actividades coinciden estrechamente con los intereses de Rusia y Bielorrusia.

El grupo, que también se rastrea como TA473 o UAC-0114, lleva operando desde al menos 2021 y se han identificado víctimas anteriores en Lituania, India, el Vaticano y Eslovaquia. Según un informe de principios de este mes de la firma de ciberseguridad SentinelLabs, los objetivos más recientes incluyen agencias gubernamentales polacas, el Ministerio de Asuntos Exteriores de Ucrania, el Ministerio de Asuntos Exteriores de Italia, individuos dentro del gobierno indio y compañías de telecomunicaciones que apoyan a Ucrania en la guerra en curso. En un nuevo informe publicado hoy, la empresa de ciberseguridad Proofpoint afirma haber observado campañas de Winter Vivern a finales del año pasado dirigidas contra cargos electos de Estados Unidos y su personal.

El modus operandi general del grupo consiste en enviar correos electrónicos de phishing que suplantan la identidad de personas de la propia organización de la víctima o de organizaciones afines implicadas en la política mundial. Estos correos electrónicos falsos se envían a veces desde buzones de correo asociados a dominios que alojan sitios web WordPress vulnerables y que se han visto comprometidos. Los mensajes suelen incluir un enlace a lo que parece ser un recurso en el propio sitio web de la organización objetivo, pero en realidad conduce a una carga útil alojada en un dominio controlado por el atacante o una página de suplantación de credenciales.

Nexus: Nuevo troyano bancario para Android

Un troyano bancario relativamente nuevo, apodado Nexus, se promociona como una suscripción MaaS en foros de la dark web por una cuota mensual de 3.000 dólares. Se publicita tiene una amplia gama de capacidades necesarias para apoderarse de cuentas bancarias y de criptomonedas, y una lista integrada de exploits para más de 450 aplicaciones bancarias y financieras.

Pese a ser lanzado oficialmente en la Dark web el 27 de enero los expertos creen que el malware ha estado en uso en ataques desde junio de 2022, observando múltiples campañas de Nexus en todo el mundo, la mayoría de ellas procedentes de Turquía

Sin embargo, los autores han establecido explícitamente una norma, restringiendo el uso de este malware contra la CEI (Comunidad de estados Independientes).

• Nexus está equipado con varias características que lo hacen adecuado para ataques de toma de control de cuentas contra instituciones financieras y servicios de criptomoneda.
• Realiza ataques de superposición para engañar a los usuarios.
• Ataques de keylogging para robar credenciales.
• Permite interceptar SMS y la aplicación Google Authenticator para leer códigos 2FA. 
• Puede borrar los SMS recibidos e iniciar o finalizar el módulo 2FA stealer.
• Está equipado con un mecanismo de actualización automática.
• Investigadores detectaron además un módulo de cifrado en desarrollo, que carece de referencias de uso a su servidor C2, lo que podría ser un intento de utilizarlo como ransomware.

ShellBot ataca servidores Linux SSH expuestos con tres nuevas variantes

ShellBot (aka PerlBot), es un malware bot DDoS descubierto por primera vez en 2017 basado en Perl que ya se había visto en ataques junto con CoinMiner, y que en su nueva campaña tiene como objetivo servidores SSH Linux mal gestionados.

El malware escanea servidores SSH vulnerables a través de Internet para llevar a cabo tecnicas de fuerza bruta SSH para irrumpir en servidores Linux conectados a Internet con contraseñas débiles e infectar un sistema para minar criptomonedas.

El malware suele utilizar el protocolo IRC para establecer comunicación con su servidor C2 por donde recibe comandos de sus administradores para llevar a cabo ataques DDoS y extrae la información recopilada.

El nuevo kit de herramientas AlienFox roba las credenciales de 18 servicios en la nube

Un nuevo conjunto de herramientas modulares llamado "AlienFox" permite a los autores de amenazas buscar servidores mal configurados en servicios populares como marcos de alojamiento en línea, como Laravel, Drupal, Joomla, Magento, Opencart, Prestashop y WordPress, para robar secretos de autenticación (https://csrc.nist.gov/glossary/term/authentication_secret) y credenciales de servicios de correo electrónico basados en la nube.

Adicionalmente los analistas han identificado tres versiones de AlienFox, lo que indica que el autor está desarrollando y mejorando activamente la herramienta maliciosa, la cual tal como es tendencia, se vende a los ciberactores a través de un canal privado de Telegram

IcedID da un nuevo giro: Las nuevas variantes dan prioridad a la entrega de la carga útil

Los investigadores de Proofpoint han observado y documentado, por primera vez, tres variantes distintas del malware conocido como IcedID. Proofpoint denomina IcedID "Forked" y "Lite" a las dos nuevas variantes identificadas recientemente:

• Variante IcedID estándar - La variante más comúnmente observada en el panorama de amenazas y utilizada por una variedad de actores de amenazas.
• Variante Lite IcedID - Nueva variante observada como carga útil de seguimiento en las infecciones Emotet de noviembre que no exfiltra datos del host en la comprobación del cargador y un bot con funcionalidad mínima.
• Forked IcedID Variant - Nueva variante observada por los investigadores de Proofpoint en febrero de 2023 utilizada por un pequeño número de actores de amenazas que también entrega el bot con una funcionalidad mínima.

Este malware distribuido por TA581 fue clasificado originalmente como malware bancario por primera vez en 2017 y que históricamente  se ha mantenido constante en el tiempo, también actúa como loader de otro malware, incluido el ransomware.  

La vulnerabilidad de Azure Pipelines pone de manifiesto las amenazas a la cadena de suministro

Investigadores de la startup israelí Legit Security descubrieron una vulnerabilidad en Microsoft Azure Pipelines que podría permitir a los actores de amenazas enviar código malicioso a los flujos de trabajo de desarrollo y lanzar ataques a la cadena de suministro.

Esta vulnerabilidad está rastreada como CVE-2023-21553, clasificada con gravedad alta. Esta vulnerabilidad afecta a Azure DevOps Server y que Microsoft parchó en el patch tuesday de febrero. La vulnerabilidad, que permite la ejecución remota de código (RCE), permite a los atacantes obtener un control completo de las variables y tareas dentro de Azure Pipelines, que crea y prueba automáticamente el código de producción dentro de la plataforma Azure DevOps .

• Para más información sobre Patch Tuesday Microsoft de febrero visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1504/

CISA ordena a las agencias que parchen los fallos explotados para lanzar programas de espionaje

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ordenó hoy a las agencias federales que corrijan las vulnerabilidades de seguridad explotadas como días cero en ataques recientes para instalar spyware comercial en dispositivos móviles.

• CVE-2021-30900 Apple iOS, iPadOS, and macOS Out-of-Bounds Write Vulnerability
• CVE-2022-38181 Arm Mali GPU Kernel Driver Use-After-Free Vulnerability
• CVE-2023-0266 Linux Kernel Use-After-Free Vulnerability
• CVE-2022-3038 Google Chrome Use-After-Free Vulnerability
• CVE-2022-22706 Arm Mali GPU Kernel Driver Unspecified Vulnerability

Se abusó de las fallas en cuestión como parte de varias cadenas de exploits en dos campañas separadas altamente específicas  dirigidas a usuarios de Android e iOS , como reveló recientemente el Grupo de Análisis de Amenazas (TAG) de Google.

En la primera serie de ataques detectados en noviembre de 2022, los actores de amenazas utilizaron cadenas de exploits separadas para comprometer dispositivos iOS y Android. Un mes después, se explotó una cadena compleja de múltiples días 0 y días n para apuntar a los teléfonos Android de Samsung que ejecutan versiones actualizadas del navegador de Internet de Samsung.

La carga útil final era una suite de software espía para Android capaz de descifrar y extraer datos de numerosas aplicaciones de chat y navegador. 

Un fallo en el protocolo WiFi permite a los atacantes secuestrar el tráfico de red

Se ha descubierto una falla de seguridad fundamental en el diseño del estándar de protocolo WiFi IEEE 802.11, que permite a los atacantes engañar a los puntos de acceso para filtrar network frames en forma de texto sin formato. Los investigadores descubrieron que las “queued/buffered frames" no están adecuadamente protegidas de los atacantes, quienes podrían  manipular la transmisión de datos, suplantar la identidad del cliente, y la redirección de tramas y la captura.

El estándar IEEE 802.11 incluye mecanismos de ahorro de energía que permiten que los dispositivos WiFi conserven energía al almacenar en búfer o poner en cola tramas destinadas a dispositivos inactivos.

Cuando un dispositivo receptor entra en modo de suspensión, envía una trama al punto de acceso con un encabezado que contiene el bit de ahorro de energía, por lo que todas las tramas destinadas a ella se ponen en cola. Sin embargo, el estándar no proporciona una guía explícita sobre la gestión de la seguridad de estos marcos en cola y no establece limitaciones como cuánto tiempo pueden permanecer los marcos en este estado.

Una vez que la estación del cliente se activa, el punto de acceso saca de la cola las tramas almacenadas en el búfer, aplica el cifrado y las transmite al destino. Un atacante puede falsificar la dirección MAC de un dispositivo en la red y enviar tramas de ahorro de energía a los puntos de acceso, obligándolos a comenzar a poner en cola las tramas destinadas al objetivo. Luego, el atacante transmite un wake-up frame para recuperar el frame stack.

Los investigadores informan que se sabe que los modelos de dispositivos de red de Lancom, Aruba, Cisco, Asus y D-Link se ven afectados por estos ataques. El primer proveedor en reconocer el impacto de la falla del protocolo WiFi es Cisco, admitiendo que los ataques descritos en el documento pueden tener éxito contra los productos Cisco Wireless Access Point y los productos Cisco Meraki con capacidades inalámbricas.

• Para más información visitar: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wifi-ffeb-22epcEWu

Actores de amenaza norcoreanos comprometen la aplicación de escritorio 3CX atacando la cadena de suministro

Recientemente, 3CX informó que está trabajando en una actualización de software para su aplicación de escritorio luego que distintos organismos de ciberseguridad dieran aviso sobre un ataque activo contra la cadena de suministro, en donde se estarían utilizando instaladores firmados digitalmente, pero falsos del popular software de voz y videoconferencia con el objetivo de atacar a los clientes.

Inicialmente se ha detectado que la aplicación de escritorio 3CX, posee un troyano que inicia una cadena de ataque en varias etapas extrayendo archivos de tipo ICO con datos de base 64 alojados en Github, posteriormente se inserta una DLL perteneciente a un infostealer.

Ya en febrero del 2022 ocurrió un hecho de similares características con lo cual la empresa de seguridad está rastreando a un posible ciber actor llamado SmoothOperator.

En una actualización de seguimiento 3CX, dijo que el problema podría ser una de las bibliotecas compiladas en la aplicación Windows Electron a través de git y que está investigando más a fondo el asunto.

• Para más información visitar: Un ataque a la central telefónica 3CX, pone en riesgo a un gran número de sus usuarios (https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1546/)

QNAP advierte a sus usuarios que parchen el fallo Linux Sudo en dispositivos NAS

El proveedor de hardware taiwanés QNAP advierte a los clientes que aseguren sus dispositivos de almacenamiento conectado a la red (NAS) con tecnología Linux contra una vulnerabilidad de escalada de privilegios Sudo de alta gravedad.

La falla (rastreada como CVE-2023-22809) fue descubierta por los investigadores de seguridad de Synacktiv, quienes la describen como una "omisión de la política de sudoers en Sudo versión 1.9.12p1 cuando se usa sudoedit". La explotación exitosa en dispositivos sin parches que utilizan las versiones 1.8.0 a 1.9.12p1 de Sudo podría permitir a los atacantes aumentar los privilegios mediante la edición de archivos no autorizados después de agregar entradas arbitrarias a la lista de archivos para procesar.

La vulnerabilidad también afecta a los sistemas operativos NAS QTS, QuTS hero, QuTScloud y QVP (dispositivos QVR Pro).

"Consulte este aviso de seguridad regularmente para obtener actualizaciones y actualice rápidamente su sistema operativo a la última versión recomendada tan pronto como esté disponible", advirtió QNAP.

Microsoft soluciona un "peligroso" fallo RCE en el servicio en la nube Azure

Investigadores de Orca Security descubrieron la falla de secuencias de comandos en sitios cruzados (XSS), a la que llamaron Super FabriXss, en diciembre y se la informaron a Microsoft, quien emitió una solución en el martes de parches de marzo.

Super FabriXss, rastreado como CVE-2023-23383 con una calificación CVSS de 8.2, es la segunda falla XSS hasta ahora que los investigadores de Orca descubrieron en Azure Service Fabric Explorer. Con Super FabriXss, un atacante remoto no autenticado puede ejecutar código en un contenedor alojado en uno de los nodos de Service Fabric un atacante podría crear una URL maliciosa que, cuando se hace clic, inicia un proceso de varios pasos que eventualmente conduce a la creación y despliegue de un contenedor dañino en uno de los nodos del clúster, dicen los investigadores.

• Para más información sobre Patch Tuesday Microsoft de marzo visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1531/

Un fallo de seguridad sin parches expone los controladores de bombas de agua a ataques remotos de hackers

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido un aviso de seguridad informando sobre una vulnerabilidad crítica que afecta a Osprey Pump Controller versión 1.01 del proveedor ProPump and Controls, Inc. Las vulnerabilidades  observadas son: entropía insuficiente, uso del método de solicitud GET con cadenas de consulta confidenciales, uso de contraseña codificada, inyección de comandos del sistema operativo, secuencias de comandos entre sitios, omisión de autenticación mediante una ruta o canal alternativo, falsificación de solicitudes entre sitios, inyección de comandos.

La explotación exitosa de estas vulnerabilidades podría permitir que un atacante obtenga acceso no autorizado, recupere información confidencial, modifique datos, provoque una denegación de servicio (Dos) y/o obtenga control administrativo.

CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. Estas recomendaciones son:

• Minimice la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, y asegúrese de que  no sean accesibles desde Internet .
• Ubique redes de sistemas de control y dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
• Cuando se requiera acceso remoto, use métodos seguros, como Redes Privadas Virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que VPN es tan segura como sus dispositivos conectados.

CISA indica que ProPump and Controls no ha respondido a las solicitudes para trabajar con ellos para mitigar las vulnerabilidades informadas. Se recomienda a los usuarios del producto afectado que  se comuniquen con el proveedor.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 03 al 09 de abril de 2023.

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Servicios legales y profesionales
• Educación
• Entretenimiento, cultura y arte

• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Infraestructura tecnológica
• Servicios empresariales y comercio

• Retail y servicios de consumo

• Industrias manufactureras, materiales y minería
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.