ENTEL Weekly Threat Intelligence Brief del 17 al 23 de abril de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Anuncios de Google impulsan el malware BumbleBee utilizado por grupos de Ransomware
• El grupo de Ransomware Medusa se jacta de difundir el código fuente de Bing y Cortana
• Vice Society Ransomware usando la herramienta Stealthy PowerShell para la filtración de datos
• El grupo de Ransomware Play fortalece sus capacidades con nuevas herramientas
• El grupo APT41 vinculado a China utilizó la herramienta de red team de código abierto GC2 en un ataque contra una organización de medios Taiwanesa
• FIN7 y Ex-Conti Cybercrime Gangs unen fuerzas en ataques de “Domino” Malware
• Ciberactores se dirigieron principalmente a Microsoft, Google, Apple zero-days en 2022
• Vixen Panda APT Group sospechoso de apuntar a entidades gubernamentales en un ciberataque
• APT28 utiliza una vulnerabilidad en los enrutadores de Cisco para implementar malware
• Expertos interrumpieron temporalmente las operaciones de RedLine Stealer
• El troyano bancario Qbot se entrega cada vez más a través de correos electrónicos comerciales
• El nuevo ataque de phishing protegido por captcha
• El nuevo malware Chameleon para Android imita las aplicaciones bancarias, gubernamentales y criptográficas
• Cisco publica múltiples vulnerabilidades para sus productos
• Oracle critical Patch Update de abril 2023 corrige 433 vulnerabilidades
• Vulnerabilidades que afectan a productos F5
• Tanzu VMware publica avisos de seguridad que afectan a sus productos
• VMware publica vulnerabilidades de Aria Operations for Logs

Anuncios de Google impulsan el malware BumbleBee utilizado por grupos de ransomware

El malware Bumblebee dirigido a empresas se distribuye a través de Google Ads y el envenenamiento de SEO que promueve software popular como Zoom, Cisco AnyConnect, ChatGPT y Citrix Workspace.

Bumblebee es un cargador de malware  descubierto  en abril de 2022, que se cree que fue desarrollado por el equipo de Conti como reemplazo de la puerta trasera BazarLoader, utilizada para obtener acceso inicial a las redes y realizar ataques de ransomware. En septiembre de 2022, se observó una nueva versión del cargador de malware, que presentaba una  cadena de ataque más sigilosa  que usaba el marco PowerSploit para la inyección reflexiva de DLL en la memoria.

Los investigadores de  Secureworks  descubrieron recientemente una nueva campaña que utiliza anuncios de Google que promueven versiones troyanizadas de aplicaciones populares para entregar el cargador de malware a víctimas desprevenidas. Una de las campañas vistas por los investigadores comenzó con un anuncio de Google que promocionaba una página de descarga falsa de Cisco AnyConnect Secure Mobility Client creada el 16 de febrero de 2023 y alojada en un dominio "appcisco[.]com".

El grupo de Ransomware Medusa se jacta de difundir el código fuente de Bing y Cortana

La pandilla de Ransomware Medusa ha puesto en línea lo que afirma es una fuga masiva de materiales internos de Microsoft, incluido el código fuente de Bing y Cortana.

"Esta filtración es de mayor interés para los programadores, ya que contiene los códigos fuente de los siguientes productos de Bing, Bing Maps y Cortana", “Hay muchas firmas digitales de productos de Microsoft en la filtración. Muchos de ellos no han sido retirados”, escribió el equipo de Medusa.

Cabe destacar que en marzo de 2022 Lapsus$ afirmó que irrumpió en el entorno DevOps interno de Microsoft y robó, luego filtró, alrededor de 37 GB de información, incluido lo que los extorsionadores afirmaron que era el código fuente interno de Bing y Cortana, y los proyectos de ingeniería de cumplimiento de WebXT.

Dado lo anterior no está claro si los archivos son legítimos o son archivos ya filtrados por Lapsus$, Microsoft no respondió a las consultas sobre este suceso.

Vice Society Ransomware usando la herramienta Stealthy PowerShell para la filtración de datos

Se ha observado que los actores de amenazas asociados con la pandilla de ransomware Vice Society utilizan una herramienta basada en PowerShell a medida para pasar desapercibidos y automatizar el proceso de filtración de datos de redes comprometidas.

"Los actores de amenazas (TA) que utilizan métodos de exfiltración de datos incorporados como [living off the land binarios y scripts] niegan la necesidad de incorporar herramientas externas que podrían ser detectadas por software de seguridad y/o mecanismos de detección de seguridad basados ​​en humanos", dicen investigadores de la Unidad 42 de palo alto.

El script de PowerShell descubierto por los investigadores (w1[.]ps1) funciona al identificar las unidades montadas en el sistema y luego busca recursivamente en cada uno de los directorios raíz para facilitar la filtración de datos a través de HTTP.

La herramienta también utiliza criterios de exclusión para filtrar archivos del sistema, copias de seguridad y carpetas que apuntan a navegadores web, así como soluciones de seguridad de Symantec, ESET y Sophos. 

El grupo de Ransomware Play fortalece sus capacidades con nuevas herramientas

El grupo de Ransomware conocido como PLAY está utilizando herramientas personalizadas que le permiten ser más rápido y eficiente al realizar ataques de ransomware. Los Investigadores de Symantec denominó a las herramientas "Grixba", un ladrón de información que enumera el software y los servicios en un sistema objetivo, y la Herramienta de copia VSS, que permite a un atacante copiar los archivos del “Volume Shadow Copy Service” (VSS) de un sistema , que normalmente están bloqueados por el sistema operativo antes del cifrado.

Estas herramientas son solo los últimos ejemplos de los grupos de ransomware que desarrollan programas personalizados. Es probable que esto se deba a una serie de razones, como hacer que los ataques sean más eficientes y reducir el tiempo de permanencia en los sistemas de las víctimas.

Las herramientas personalizadas también permiten un mayor control sobre las operaciones y una menor probabilidad de que las herramientas particulares de un grupo sean investigadas por ingeniería inversa o adaptadas por otros grupos de ransomware.

Para mayores antecedentes de este actor de amenazas dirigirse al siguiente boletín:

• PLAY Ransomware compromete a Poder Judicial Argentino
• Nuevas técnicas de ataques dirigidas a MS Exchange
• Rackspace afectado por Play ransomware

El grupo APT41 vinculado a China utilizó la herramienta de red team de código abierto GC2 en un ataque contra una organización de medios Taiwanesa.

El equipo de Google Threat Analysis Group (TAG) informó que el grupo APT41 vinculado a China usó la herramienta de código abierto Red Teaming Google Command and Control ( GC2 ) en un ataque contra una organización de medios taiwanesa no identificada.

El grupo APT41, también conocido como  Winnti ,  Axiom,  Bario , Blackfly, HOODOO  es un grupo de ciberespionaje vinculado a China que ha estado activo desde al menos 2007. El ataque tuvo lugar en octubre de 2022, los actores de amenazas enviaron correos electrónicos de phishing que contenían enlaces a un archivo protegido con contraseña alojado en Drive. El payload final fue la herramienta GC2 escrita por Go que obtiene comandos de Hojas de cálculo de Google y extrae datos a Google Drive.

Al instalar el malware en el sistema de destino, consulta Hojas de cálculo de Google para obtener los comandos del atacante. GC2 también permite a los operadores descargar archivos adicionales de Drive al sistema de la víctima.

Los expertos de Google TAG señalaron que el grupo chino utilizó previamente GC2 en julio de 2022 en un ataque dirigido a un sitio web italiano de búsqueda de empleo.

Estos incidentes destacaron algunas tendencias clave de amenazas por parte de actores de amenazas afiliados a China, como por ejemplo en lugar de desarrollar sus propias herramientas personalizadas, los grupos APT chinos utilizan cada vez más herramientas disponibles públicamente, como Cobalt Strike y otro software de "pentest" disponible para comprar o en sitios como Github. 

FIN7 y Ex-Conti Cybercrime Gangs unen fuerzas en ataques de “Domino” Malware

Los miembros del ahora desaparecido grupo de ransomware Conti han puesto en práctica una nueva variedad de malware desarrollada por actores de amenazas probablemente afiliados al grupo de ciberdelincuencia FIN7, lo que indica la colaboración entre los dos equipos.

El malware, denominado Domino , está diseñado principalmente para facilitar la explotación de seguimiento en sistemas comprometidos, incluida la entrega de un ladrón de información menos conocido que se ha anunciado para la venta en la dark web desde diciembre de 2021.

Los ex miembros del grupo TrickBot/Conti han estado usando “Domino desde al menos finales de febrero de 2023 para entregar el ladrón de información Project Nemesis o puertas traseras más capaces como Cobalt Strike", dicen los investigadores de seguridad de IBM.

Las conexiones potenciales de Domino con FIN7 provienen de la superposición del código fuente con DICELOADER (también conocido como Lizar o Tirion), una familia de malware probada en el tiempo atribuida al grupo. El malware, por su parte, está diseñado para recopilar información confidencial básica y recuperar cargas útiles cifradas desde un servidor remoto.

Vixen Panda APT Group sospechoso de apuntar a entidades gubernamentales en un ciberataque

Se sospecha que un grupo de ciberactores informáticos chinos, Vixen Panda, atacó al Ministerio de Relaciones Exteriores de Eslovenia en un ataque cibernético reciente. Según un nuevo informe de Euractiv, los ciberactores  mostraron un gran interés en los documentos de políticas.

Los ciberactores  atacaron dos servidores que se comunicaban con servidores de ministerios de relaciones exteriores en varios países europeos. La semana del 10 de abril de 2023, un portavoz del ministerio dijo que el ataque a los ministerios de relaciones exteriores en varios países se originó en un tercer país.

Si bien no se ha  podido confirmar la supuesta participación china, la investigación sobre el ataque aún está en curso. Aunque el sistema de TI del Ministerio se cerró inmediatamente después del ataque, todavía se está limpiando de la amenaza.

APT28 utiliza una vulnerabilidad en los enrutadores de Cisco para implementar malware

El NCSC-UK, la NSA, la CISA y el FBI publicaron un aviso conjunto que describe cómo el grupo de piratas informáticos ruso APT28 explotó los enrutadores Cisco en 2021. APT28 ha estado explotando enrutadores Cisco mal mantenidos e implementando malware personalizado en dispositivos sin parches.

APT28 empleó infraestructura para suplantar el acceso del Protocolo simple de administración de red (SNMP) en enrutadores Cisco en todo el mundo en 2021. Esta campaña afectó a algunos enrutadores ubicados en instituciones gubernamentales de Europa y EE. UU., así como a aproximadamente 250 personas.

Estos aprovecharon el error CVE-2017-6742 para implementar un malware personalizado conocido como Jaguar Tooth. Después de la instalación, el malware procede a extraer información del enrutador y otorga acceso de puerta trasera no autorizado al dispositivo.

Este malware no persistente permite a los atacantes obtener acceso a cuentas locales sin necesidad de autenticación cuando se conectan a través de Telnet o una sesión física.  Además, Jaguar Tooth genera un nuevo proceso conocido como 'Bloqueo de política de servicio' que recopila la salida de comandos específicos de la interfaz de línea de comandos (CLI) y la transfiere mediante el protocolo trivial de transferencia de archivos (TFTP).

Expertos interrumpieron temporalmente las operaciones de RedLine Stealer

A principios de este año, Microsoft comenzó a implementar actualizaciones para bloquear automáticamente las macros en los documentos descargados de Word y Excel. Varias amenazas maliciosas, incluidas QakBot , Formbook y varios otros programas maliciosos, han comenzado a abusar de los documentos de OneNote. 

RedLine es un malware de robo de información escrito en .NET que está activo desde al menos principios de 2020. El malware puede robar información confidencial de los sistemas infectados, incluidas las credenciales, las cookies, el historial del navegador, los datos de la tarjeta de crédito y las billeteras criptográficas. El ladrón de información se considera un malware básico que está disponible a través del modelo de malware como servicio.

Al analizar muestras de RedLine Stealer, los investigadores de ESET identificaron los siguientes repositorios:

• github[.]com/lermontovainessa/Hub
• github[.]com/arkadi20233/hub
• github[.]com/ivan123iii78/hub
• github[.]com/MTDSup/updateResolver

ESET compartió sus hallazgos con GitHub, que inmediatamente suspendió los repositorios. Los expertos no observaron canales alternativos, lo que significa que la eliminación de estos depósitos inutilizó los paneles de control. Los operadores detrás de RedLine se verán obligados a configurar nuevos paneles para recuperar sus operaciones.

El troyano bancario Qbot se entrega cada vez más a través de correos electrónicos comerciales

Se ha observado una campaña maliciosa de correo electrónico no deseado que propaga cada vez más troyanos bancarios de la familia QBot (o Qakbot) mediante correos electrónicos comerciales falsos.

Descubierta por investigadores de seguridad de Kaspersky , la campaña maliciosa se basó en mensajes escritos en diferentes idiomas, incluidos inglés, alemán, italiano y francés. Los correos se basaron en cartas comerciales reales a las que los atacantes habían tenido acceso, lo que les brindó la oportunidad de unirse al hilo de correspondencia con sus propios mensajes

Para mayor autenticidad, los atacantes pusieron el nombre del remitente de las letras anteriores en el campo 'De'; sin embargo, la dirección de correo electrónico fraudulenta del remitente será diferente a la del contacto real.

Al hacer clic en el archivo adjunto, los correos electrónicos descargan un archivo adjunto desde un servidor remoto, protegido con una contraseña proporcionada en el archivo PDF original. El archivo descargado, a su vez, incluye un archivo WSF (Windows Script File) que contiene un script ofuscado escrito en JScript.

Algunas variantes pueden descargar herramientas de malware adicionales, como CobaltStrike (para propagar la infección por la red corporativa) o ransomware. Kaspersky también ha observado que algunas versiones de Qbot convierten las computadoras de las víctimas en servidores proxy para facilitar la redirección del tráfico.
 

El nuevo ataque de phishing protegido por captcha

Se ha descubierto un nuevo ataque de phishing que se dirige específicamente a las personas que necesitan acceder a los archivos de nómina a través de Microsoft Teams. 

El ataque de phishing está alojado en una página de destino en payroll-microsoft365-access-panel-2023[.]softr[.]app/ que redirige a azaleestays[.]com/devr365web2023/ una vez que se hace clic en algún botón.

El sitio de phishing primero verifica si el visitante es un ser humano. Para bloquear los escaneos de seguridad de identificación del  sitio de phishing. Luego el sitio de inicio parece una página de inicio de sesión legítima de Microsoft Teams y solicita a los usuarios que ingresen sus credenciales de inicio de sesión para obtener acceso a sus archivos de nómina. Sin embargo, el sitio de phishing está diseñado para robar las credenciales de inicio de sesión de los usuarios y comprometer cuentas.

El nuevo malware Chameleon para Android imita las aplicaciones bancarias, gubernamentales y criptográficas

Un nuevo troyano de Android llamado 'Chameleon' ha estado apuntando a usuarios en Australia y Polonia desde principios de año, imitando el intercambio de criptomonedas CoinSpot, una agencia del gobierno australiano y el Banco IKO.

El malware móvil fue descubierto por la firma de seguridad cibernética  Cyble , que informa haber visto distribución a través de sitios web comprometidos, archivos adjuntos de Discord y servicios de alojamiento de Bitbucket.

Chameleon incluye una amplia gama de funciones maliciosas, incluido el robo de credenciales de usuario a través de inyecciones superpuestas y registro de teclas, cookies y mensajes de texto SMS del dispositivo infectado.

Al iniciarse, el malware realiza una variedad de controles para evadir la detección por parte del software de seguridad. Estas comprobaciones incluyen comprobaciones antiemulación para detectar si el dispositivo está rooteado y la depuración está activada, lo que aumenta la probabilidad de que la aplicación se esté ejecutando en el entorno de un analista.

Si el entorno parece limpio, la infección continúa y Chameleon solicita a la víctima que le permita usar el Servicio de Accesibilidad, del cual abusa para otorgar permisos adicionales, deshabilitar Google Play Protect y evitar que el usuario lo desinstale.

La mayoría de estos sistemas de robo de datos se basan en el abuso de los Servicios de accesibilidad para funcionar según sea necesario, lo que permite que el malware controle el contenido de la pantalla, controle eventos específicos, intervenga para modificar elementos de la interfaz o envíe ciertas llamadas a la API según sea necesario.

También se abusa del mismo servicio del sistema para evitar la desinstalación del malware, identificando cuándo la víctima intenta eliminar la aplicación maliciosa y eliminando sus variables de preferencias compartidas para que parezca que ya no está presente en el dispositivo. Chameleon es una amenaza emergente que puede agregar más funciones y capacidades en futuras versiones.

Oracle critical Patch Update de abril 2023 corrige 433 vulnerabilidades

En el trimestre de Parches de Abril 2023, Oracle ha publicado nuevos avisos de seguridad que contemplan 433 parches críticos, de los cuales 52 son de severidad  Alta y 381 de severidad Baja. Dichas vulnerabilidades afectan a productos de base de datos de Oracle divididos de la siguiente manera:

• 7 nuevos parches de seguridad para Oracle Blockchain Platform
• 5 nuevos parches de seguridad para productos de Oracle Database
• 4 nuevos parches de seguridad para Oracle Essbase
• 2 nuevos parches de seguridad para Oracle SQL Developer
• 2 nuevos parches de seguridad para Oracle GoldenGate
• 1 nuevo parche de seguridad para Oracle Graph Server and Client
• 1 nuevo parche de seguridad para Oracle NoSQL Database
• 1 nuevo parche de seguridad para Oracle REST Data Services

No hay nuevos parches de seguridad para Oracle Big Data Spatial and Graph, pero se proporcionan parches de terceros. No hay nuevos parches de seguridad para Oracle TimesTen In-Memory Database, pero se proporcionan parches de terceros

• Para mas informacion visitar https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1568/

Cisco publica múltiples vulnerabilidades para sus productos

Cisco ha publicado 6 nuevos avisos de seguridad que contemplan 12 vulnerabilidades, las cuales se clasifican en 3 de severidad Crítica, 2 de severidad Alta y 7 de severidad Media, afectando a  productos como:

• Cisco IND
• Cisco StarOS
• Cisco BroadWorks Network Server
• Cisco SDWAN vManage
• Cisco TelePresence Collaboration Endpoint (CE)
• Cisco RoomOS could
• Cisco Modeling Labs

Para más información sobre la vulnerabilidad visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1569/

Vulnerabilidades que afectan a productos F5

F5 ha publicado 2 nuevos avisos de seguridad que contemplan 2 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 1 de severidad Media.

Estas vulnerabilidades afectan a los siguientes productos:

• F5OS-A; 1.3.0 a 1.3.2, 1.4.0
• F5OS-C; 1.3.0 a 1.3.2, 1.5.0 a 1.5.1
• Traffix SDC; 5.2.0

 Para más información sobre la vulnerabilidad visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1563/

Nuevos avisos de seguridad publicados por F5

F5 ha publicado 2 nuevos avisos de seguridad que contemplan 2 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 1 de severidad Media.

Estas vulnerabilidades afectan a los siguientes productos:

• Traffix SDC
• BIG-IP Next SPK
• F5OS-A
• F5OS-C

 Para más información sobre la vulnerabilidad visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1567/

VMware publica vulnerabilidades de Aria Operations for Logs

VMware ha publicado 1 nuevo aviso de seguridad que contempla 2 vulnerabilidades, 1 de severidad Crítica y 1 de severidad Alta. Esta falla afecta a VMware Aria Operations for Logs (anteriormente vRealize Log Insight).

• Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1570/

Tanzu VMware publica avisos de seguridad que afectan a sus productos

Tanzu ha publicado 10 nuevos avisos de seguridad que contemplan 27 vulnerabilidades, las cuales son todas de severidad Media afectando a  productos como:

• VMware Tanzu Application Service for VMs
• Isolation Segmen
• Operations Manager 
• Platform Automation Toolkit
• Tanzu Greenplum for Kubernetes

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1564/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 24 de abril al 01 de mayo de 2023:

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Servicios legales y profesionales
• Educación
• Agricultura, ganadería, silvicultura y pesca - consumo
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Retail y servicios de consumo
• Organizaciones sin fines de lucro
• Gobierno
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Petróleo
• Turismo, hoteles y restaurantes
• Transportes y servicios automotrices

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Defensa y orden público
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Petróleo

• Banca y Finanzas
• Servicios básicos y sanitarios

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Defensa y orden público
• Turismo, hoteles y restaurantes

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo
• Servicios legales y profesionales
• Entretenimiento, cultura y arte

El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC 's en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de mal spam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.