ENTEL Weekly Threat Intelligence Brief del 04 al 10 de septiembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Presunto ataque LockBit apaga las redes de la ciudad de Sevilla
• Ransomware Dunghill se atribuye el mérito de la filtración de datos de Sabre
• Nuevo malware BlueShell ataca a Windows, Linux y Mac
• Malware Chaes ahora utiliza el protocolo DevTools de Google Chrome para robar datos
• Ataque de phishing de Microsoft Teams impulsa el malware DarkGate
• Variante Mirai infecta cajas de TV Android de bajo costo para ataques DDoS
• Sitio de una agencia financiera Alemana interrumpido por un ataque DDoS 
• Hackers iraníes violan la organización de aviación estadounidense a través de ManageEngine y errores de Fortinet
• El criptocasino Stake.com pierde 41 millones de dólares debido a ciberactores de billeteras
• Cisco advierte sobre VPN de día cero explotada por bandas de ransomware
• Cisco publica vulnerabilidad crítica que afecta a sus productos

Presunto ataque LockBit apaga las redes de la ciudad de Sevilla

El ayuntamiento de Sevilla sufrió un ataque el cual comenzó el pasado lunes 04 de septiembre de 2023 el cual, según funcionarios de la ciudad, inicialmente se identificó como una falla del sistema interno, donde luego de un análisis detallado reveló que era un ciberataque presuntamente por parte de Lockbit.

El consejo de la ciudad dijo que no pagará el rescate de 1,5 millones de dólares exigido por los atacantes, según informes de los medios locales. El incidente ha afectado a una amplia gama de servicios de la ciudad, incluidos la policía, los bomberos y la recaudación de impuestos.

Actualmente el incidente sigue en investigación por parte de la Policía Nacional y la unidad de respuesta a incidentes del Centro Criptológico Nacional (CCN-CERT).

Ransomware Dunghill se atribuye el mérito de la filtración de datos de Sabre

El gigante de reservas de viajes Sabre dijo que estaba investigando denuncias de un ciberataque después de que un tramo de archivos supuestamente robados de la compañía apareciera en el sitio de filtración de un grupo de extorsión.

El grupo Dunghill Leak se atribuyó la responsabilidad del aparente ciberataque en un listado de su sitio de filtración en la web oscura, alegando que tomó alrededor de 1,3 terabytes de datos, incluidas bases de datos sobre venta de billetes y rotación de pasajeros, datos personales de los empleados e información financiera corporativa.

Poco se sabe sobre Dunghill Leak, excepto que es un grupo de extorsión y ransomware relativamente nuevo que evolucionó o cambió de nombre a partir del ransomware Dark Angels, que surgió del ransomware Babuk, según investigadores de seguridad de Malwarebytes . 

Hasta la fecha, Dunghill Leak se ha adjudicado el mérito de apuntar al fabricante de juegos Incredible Technologies , al gigante alimentario Sysco y al fabricante de productos automotrices Gentex .

Sabre informó por última vez de un incidente de seguridad en 2017, después de que los ciber actores eliminaran un millón de tarjetas de crédito de su sistema de reservas de hoteles. La empresa pagó 2,4 millones de dólares para resolver las acusaciones presentadas por varios estados tras la infracción.

Hackers iraníes afectan la organización de aviación estadounidense a través de ManageEngine y errores de Fortinet

Grupos de piratas informáticos respaldados por el estado, han afectado una organización aeronáutica estadounidense utilizando exploits dirigidos a vulnerabilidades críticas de Zoho ManageEngine y Fortinet, según reveló el jueves un aviso conjunto publicado por CISA, el FBI y el Comando Cibernético de Estados Unidos (USCYBERCOM).

Aún no se han identificado los grupos de amenazas detrás de esta afectación, pero si bien el aviso conjunto no relacionó a los atacantes con un estado específico, el comunicado de prensa de USCYBERCOM  vincula  a los actores maliciosos con los esfuerzos de explotación iraníes.

CISA fue parte de la respuesta al incidente entre febrero y abril y dijo que los grupos de ciberactores habían estado en la red de la organización de aviación comprometida desde al menos enero después de piratear un servidor expuesto a Internet que ejecutaba Zoho ManageEngine ServiceDesk Plus y un firewall Fortinet.

"CISA, FBI y CNMF confirmaron que los actores de amenazas persistentes avanzadas (APT) de los estados nacionales explotaron CVE-2022-47966 para obtener acceso no autorizado a una aplicación pública (Zoho ManageEngine ServiceDesk Plus), establecer persistencia y moverse lateralmente a través de la red" indican en el aviso entregado.

Como advierten las tres agencias estadounidenses, estos grupos de amenazas frecuentemente buscan vulnerabilidades en dispositivos conectados a Internet sin parches contra errores de seguridad críticos y fáciles de explotar.

Después de infiltrarse en la red de un objetivo, los atacantes mantendrán la persistencia en los componentes de la infraestructura de red comprometidos. Es probable que estos dispositivos de red se utilicen como trampolines para el movimiento lateral dentro de las redes de las víctimas, como infraestructura maliciosa o una combinación de ambos.

Se recomienda a los administradores de la red que apliquen  las mitigaciones  compartidas en las recomendaciones actuales y en las mejores prácticas recomendadas por la NSA para  proteger la infraestructura .

Para más información sobre CVE-2022-47966 visitar:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1710/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1696/

Sitio de una agencia financiera Alemana interrumpido por un ataque DDoS

La Autoridad Federal de Supervisión Financiera de Alemania (BaFin) anunció hoy que un ataque de denegación de servicio distribuido (DDoS) en curso ha estado afectando su sitio web.

BaFin es la autoridad reguladora financiera de Alemania, parte del Ministerio Federal de Finanzas, responsable de supervisar 2.700 bancos, 800 proveedores de servicios financieros y 700 de seguros. El regulador es conocido por su papel policial en Alemania e internacionalmente. En los últimos años, impuso multas de 10 millones de dólares y 5 millones de dólares al Deutsche Bank y al Bank of America, respectivamente, por diversas infracciones.

La agencia alemana informó que ha tomado todas las precauciones de seguridad y medidas defensivas adecuadas para proteger sus operaciones de los piratas informáticos.

Parte de las medidas de respuesta es desconectar el sitio web público de BaFin en “bafin[.]de”; sin embargo, la organización asegura que todos los demás sistemas, que son cruciales para su misión, funcionan sin restricciones.

Aunque algunos usuarios pueden acceder al sitio web de BaFin de forma intermitente, en su mayoría no está disponible.

El sitio web público de BaFin alberga información, medidas y advertencias sobre regulaciones y consumidores, y también sirve como un espacio para publicar documentos importantes relacionados con las actividades y hallazgos de investigación de la agencia.

Además, el sitio alberga una base de datos de empresas registradas y licitaciones públicas, un espacio para ofertas de empleo y una plataforma para que los denunciantes denuncien violaciones de forma anónima. Todo eso permanece inaccesible desde el viernes.

BaFin dice que su equipo de TI trabaja intensamente para restaurar completamente el acceso público al sitio web. No está claro quién está detrás del DDoS contra la autoridad financiera alemana, pero es posible que los hacktivistas prorrusos   sean responsables de la postura de apoyo del país hacia Ucrania, que incluye ayuda financiera y de equipamiento militar.
 

El criptocasino Stake.com pierde 41 millones de dólares debido a cibercatores de billeteras 

El casino de criptomonedas en línea Stake.com anunció que sus billeteras activas ETH/BSC habían sido comprometidas para realizar transacciones no autorizadas, con más de $40 millones en criptomonedas supuestamente robadas.

La plataforma inmediatamente aseguró a los usuarios que sus fondos estaban seguros y que todas las demás billeteras que no se vieron directamente afectadas por el ataque, incluidas las que tenían BTC, LTC, XRP, EOS y TRX, permanecieron en pleno funcionamiento.

Durante ese tiempo, varios usuarios informaron a X que se vieron afectados por la situación y no pudieron depositar ni retirar dinero en Stake.com.

Los investigadores de blockchain PeckShield y ZachXBT , que siguieron el rastro del dinero , informaron que los piratas informáticos robaron $15.700.000  dólares en Ethereum y otros $25.600.000 dólares en Binance Smart Chain (BSC) y Polygon.

Esto eleva la cantidad total perdida por el hack a $4.300.000, lo que lo convierte en uno de los robos criptográficos de mayor relevancia hasta ahora en 2023.

El FBI confirmó que Lazarus es responsable del ataque a Stake.com y publicó las direcciones de billetera que los piratas informáticos norcoreanos utilizaron en el atraco. El grupo de amenazas estuvo vinculado al robo de 35 millones de dólares de Atomic Wallet en junio, 60 millones de dólares de Alphapo en julio y otros 37,3 millones de dólares de CoinsPaid también en julio.

A finales del mes pasado, el FBI advirtió que el grupo de hackers norcoreano se estaba preparando para cobrar 41 millones de dólares en criptomonedas robadas, y la agencia de aplicación de la ley observó varios signos de actividad de preparación de movimientos de dinero y lavado de dinero.

En este momento, Stake.com no ha compartido más detalles sobre qué salió mal con su seguridad que resultó en el hackeo de sus billeteras activas.

Nuevo malware BlueShell ataca a Windows, Linux y Mac

ASEC publicó un informe que cita un aumento en el uso del malware BlueShell por parte de varios actores de amenazas, dirigido a los sistemas operativos Windows, Mac y Linux en Corea y Tailandia.

La puerta trasera BlueShell ha estado operativa desde 2020 y está escrita en Go. Entre sus características se encuentran:

BlueShell emplea cifrado TLS para evadir la detección de la red cuando se comunica con su servidor C2. 

Se basa en tres parámetros de configuración: la dirección IP del servidor C2, el número de puerto y un tiempo de espera específico.

Los resultados de la investigación han descubierto el uso del malware BlueShell por parte del Grupo Dalbit en ataques dirigidos a sistemas Windows. 

El Grupo Dalbit, un actor de amenazas con sede en China, se centra principalmente en servidores vulnerables para robar datos críticos, que luego utiliza para exigir un rescate. 

Además, se han documentado casos de ataques contra servidores de correo y servidores de bases de datos MS-SQL .

Al analizar las actividades de BlueShell en el entorno Linux, los investigadores identificaron una variante personalizada del malware en VirusTotal. En particular, esta muestra de malware se subió a VirusTotal desde ubicaciones en Corea y Tailandia, lo que sugiere que estas dos regiones pueden haber sido los objetivos previstos del ataque.

El informe de ASEC destaca la creciente utilización del malware BlueShell en sistemas Windows, Mac y Linux en Corea y Tailandia. Para mitigar tales amenazas, las organizaciones deben priorizar la aplicación periódica de parches a los sistemas, implementar mecanismos sólidos de detección de intrusiones y mejorar las medidas de seguridad del servidor.

Malware Chaes ahora utiliza el protocolo DevTools de Google Chrome para robar datos

El malware Chaes ha regresado como una variante nueva y más avanzada que incluye una implementación personalizada del protocolo Google DevTools para acceso directo a las funciones del navegador de la víctima, lo que le permite robar datos mediante WebSockets.

El malware apareció por primera vez en noviembre de 2020, dirigido a clientes de comercio electrónico en América Latina. Sus operaciones se expandieron significativamente a finales de 2021, cuando Avast observó que utilizaba 800 sitios de WordPress comprometidos para distribuir el malware.

Tras la infección,  Chaes instala extensiones maliciosas  en el navegador Chrome de la víctima para establecer persistencia, realiza capturas de pantalla, robar contraseñas y tarjetas de crédito guardadas, extrae cookies e intercepta credenciales bancarias en línea.

Morphisec detectó la nueva versión de Chaes en enero de 2023 y se dirigió principalmente a plataformas como Mercado Libre, Mercado Pago, WhatsApp Web, Itaú Bank, Caixa Bank, MetaMask y muchos servicios CMS como WordPress y Joomla.

La variante más nueva de Chaes presenta mejoras en todos los ámbitos, lo que hace que la funcionalidad del malware sea más sigilosa y efectiva.

Morphisec destaca los siguientes cambios en la última versión de Chaes:

• Arquitectura de código renovada.
• Múltiples capas de cifrado y técnicas de sigilo mejoradas.
• Cambió a Python para descifrar y ejecutar en memoria.
• Reemplazo de 'Puppeteer' para monitorear las actividades del navegador Chromium con Chrome DevTools.
• Ampliación de servicios dirigidos al robo de credenciales.
• Uso de WebSockets para la comunicación entre los módulos del malware y el servidor C2 en lugar de HTTP.
• Implementación de DGA (algoritmo de generación de dominio) para resolución dinámica de direcciones de servidor C2.

Morphisec informa que todos los mensajes intercambiados entre el C2 y el cliente de malware tienen formato JSON, codificación base64 y cifrado AES.

Chaes es el primer caso notable de malware que presenta una implementación personalizada del protocolo DevTools de Google Chrome para realizar operaciones maliciosas en sistemas infectados, lo que subraya su naturaleza agresiva. Morphisec afirma que ha visto muchos signos de que los módulos del malware están en desarrollo activo, por lo que sus funciones pronto podrían ampliarse y mejorarse.

Ataque de phishing de Microsoft Teams impulsa el malware DarkGate

Una nueva campaña de phishing está abusando de los mensajes de Microsoft Teams para enviar archivos adjuntos maliciosos que instalan el malware DarkGate Loader.

La campaña comenzó a finales de agosto de 2023, cuando se vio que dos cuentas externas comprometidas de Office 365 enviaban mensajes de phishing de Microsoft Teams a otras organizaciones. Estas cuentas se utilizaron para engañar a otros usuarios de Microsoft Teams para que descargaran y abrieran un archivo ZIP llamado "Cambios en el calendario de vacaciones".

Al hacer clic en el archivo adjunto, se activa la descarga del ZIP desde una URL de SharePoint y contiene un archivo LNK disfrazado de documento PDF.

Los investigadores de  Truesec  analizaron la campaña de phishing de Microsoft Teams y descubrieron que contiene VBScript malicioso que inicia la cadena de infección, la cual conduce a una carga útil identificada como DarkGate Loader.

La campaña vista por Truesec y  Deutsche Telekom CERT  utiliza cuentas de Microsoft Teams comprometidas para enviar archivos adjuntos maliciosos a otras organizaciones de Teams.

El phishing de Microsoft Teams se demostró previamente en un  informe de junio de 2023  de Jumpsec, quien descubrió una forma de enviar mensajes maliciosos a otras organizaciones mediante phishing e ingeniería social, que es similar a lo que se ha visto en este ataque reportado. A pesar del revuelo causado por este descubrimiento, Microsoft decidió no abordar el riesgo. En su lugar, recomendar que los administradores apliquen configuraciones seguras, como listas de permitidos de alcance limitado, y deshabiliten el acceso externo si no es necesaria la comunicación con  externos.

DarkGate ha estado circulando desde 2017 y ha tenido un uso limitado por parte de un pequeño círculo de ciberdelincuentes que lo utilizaron contra objetivos muy específicos. Es un potente malware que admite una amplia gama de actividades maliciosas, incluido hVNC para acceso remoto, minería de criptomonedas, shell inverso, registro de teclas, robo de portapapeles y robo de información (archivos, datos del navegador).

En junio de 2023, ZeroFox informó que alguien que afirmaba ser el autor original de DarkGate intentó vender el acceso al malware a diez personas por el valor de 100.000 dólares al año. Si bien es posible que DarkGate aún no sea una amenaza generalizada, su creciente focalización y adopción de múltiples vías de infección lo convierten en una amenaza emergente que debemos monitorear de cerca.

Variante Mirai infecta cajas de TV Android de bajo costo para ataques DDoS

Se ha detectado una nueva variante de botnet de malware Mirai que infecta decodificadores de TV Android económicos utilizados por millones de personas para la transmisión de medios.

Según el equipo antivirus del Dr. Web, el troyano actual es una nueva versión de la puerta trasera "Pandora" que apareció por primera vez en el 2015.

Los objetivos principales de esta campaña son las cajas de TV Android de bajo costo como Tanix TX6 TV Box, MX10 Pro 6K y H96 MAX X3, que cuentan con procesadores de cuatro núcleos capaces de lanzar potentes ataques DDoS incluso en enjambres pequeños.

Los investigadores informa que el malware llega a los dispositivos a través de una actualización de firmware maliciosa firmada con claves de prueba disponibles públicamente o distribuido a través de aplicaciones maliciosas en dominios dirigidos a usuarios interesados ​​en contenido pirateado.

Las cajas de TV Android económicas a menudo tienen un largo viaje desde el fabricante hasta el consumidor, dejando al usuario final en la ignorancia sobre sus orígenes, posibles alteraciones del firmware y las diversas manos por las que han pasado.

Incluso para los consumidores cautelosos que conservan la ROM original y son selectivos con la instalación de aplicaciones, existe un riesgo persistente de que los dispositivos lleguen con malware precargado .

Cisco advierte sobre VPN de día cero explotada por bandas de ransomware

Cisco advierte sobre una vulnerabilidad de día cero CVE-2023-20269 en su Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) que es explotada activamente por operaciones de ransomware para obtener acceso inicial a las redes corporativas.

La vulnerabilidad de día cero de gravedad media afecta la función VPN de Cisco ASA y Cisco FTD, lo que permite a atacantes remotos no autorizados realizar ataques de fuerza bruta contra cuentas existentes.

Al acceder a esas cuentas, los atacantes pueden establecer una sesión VPN SSL sin cliente en la red de la organización afectada, lo que puede tener distintas repercusiones según la configuración de red de la víctima.

El mes pasado,  BleepingComputer informó  que la banda de ransomware Akira estaba comprometiendo las redes corporativas casi exclusivamente a través de dispositivos VPN de Cisco, y la firma de ciberseguridad SentinelOne especuló que podría deberse a una vulnerabilidad desconocida.

Una semana después,  Rapid7 informó  que la operación de ransomware Lockbit también aprovechó un problema de seguridad no documentado en los dispositivos VPN de Cisco además de Akira. Sin embargo, la naturaleza exacta del problema seguía sin estar clara.

En ese momento, Cisco publicó una advertencia de que las infracciones se llevaron a cabo mediante fuerza bruta en credenciales en dispositivos sin MFA configurado.

Esta semana, Cisco confirmó la existencia de una vulnerabilidad de día cero utilizada por estas bandas de ransomware y proporcionó soluciones en un  boletín de seguridad provisional .

Sin embargo, las actualizaciones de seguridad para los productos afectados aún no están disponibles.

Para más información sobre CVE-2023-20269 visitar: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1708/

Cisco publica vulnerabilidad crítica que afecta a sus productos

Cisco ha publicado 6 nuevos avisos de seguridad que contemplan 7 vulnerabilidades de las cuales 1 es de severidad Crítica, 1 de severidad Alta y 5 de severidad Media, las cuales afectan a los siguientes productos:

• Cisco BroadWorks Application Delivery Platform
• Cisco BroadWorks Xtended Services Platform
• Cisco Identity Services Engine (ISE)

CVE-2023-20238 [CVSSv3: 10.0]
Vulnerabilidad de omisión de autenticación en la plataforma de entrega de aplicaciones Cisco BroadWorks y en la plataforma de servicios Xtended

Una vulnerabilidad en la implementación del inicio de sesión único (SSO) de Cisco BroadWorks Application Delivery Platform y Cisco BroadWorks Xtended Services Platform podría permitir que un atacante remoto no autenticado falsifique las credenciales necesarias para acceder a un sistema afectado. 

Esta vulnerabilidad se debe al método utilizado para validar los tokens de SSO. Un atacante podría aprovechar esta vulnerabilidad autenticándose en la aplicación con credenciales falsificadas. Un exploit exitoso podría permitir al atacante cometer fraude telefónico o ejecutar comandos con privilegios de la cuenta falsificada.

Nota: Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No existen soluciones alternativas que aborden esta vulnerabilidad.

Para más información visitar:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1708/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 11  al 20 de septiembre de 2023:

Objetivos observados durante semana de análisis: 

• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Educación
• Infraestructura tecnológica
• Retail y servicios de consumo
• Banca y Finanzas
• Servicios de salud, sociales y farmacia
• Construcción e inmobiliaria
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Defensa y orden público
• Entretenimiento, cultura y arte
• Infraestructura tecnológica - Componentes
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Agricultura, ganadería, silvicultura y pesca - consumo

• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Servicios empresariales y comercio
• Educación

• Infraestructura tecnológica - Componentes
• Servicios de salud, sociales y farmacia
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes

• Entretenimiento, cultura y arte
• Shipment y cadena de suministros
• Gobierno
• Petróleo

• Retail y servicios de consumo
• Defensa y orden público
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - producción
• Organizaciones sin fines de lucro
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.