ENTEL Weekly Threat Intelligence Brief del 25 de septiembre al 01 de octubre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Nuevo grupo de ciberactores llamado ShadowSyndicate asociado a varias familias de Ransomware
• FBI emite alerta ante aumento de ataques de ransomware duales y personalizados desde julio 2023  
• Ciberactores de Dark Angels responsables de ciberataque con ransomware contra Johnson Controls   
• Ransomware LostTrust y su probable vinculación con la banda MetaEncryptor  
• Manuales de drones militares, están siendo utilizados en campañas de phishing contra el ejército ucraniano  
• Lazarus Group es vinculado a ataque de ciberespionaje contra empresa aeroespacial de España, haciéndose pasar como reclutador de Meta  
• Grupo OilRig utiliza una nueva cepa de malware llamado Menorah, para campañas de ciberespionaje 
• Un troyano de acceso remoto llamado ZenRAT, se está haciendo pasar por un conocido gestor de contraseñas
• La Cruz Roja Estadounidense está siendo usada como señuelo para distribuir malware a través de campañas de phishing
• Ataques de BlackTech respaldados por China comprometen enrutadores en Japón y EE. UU.
• ASMCrypt, un nuevo cargador de malware que está siendo utilizado por grupos de ciberactores
• Técnica de phishing ZeroFont, está siendo nuevamente utilizada por ciberactores, para eludir los filtros de seguridad en correos electrónicos
• Vulnerabilidad crítica en Progress Software, permite a atacantes ejecutar comandos remotos
• Openfire bajo asedio, vulnerabilidad CVE-2023-32315 expone servidores a ataques remotos y ransomware
• Vulnerabilidad crítica en libwebp afecta a navegadores y aplicaciones populares
• Prueba de concepto disponible en GitHub, para explotar vulnerabilidad crítica en SharePoint Server 

Nuevo grupo de ciberactores llamado ShadowSyndicate asociado a varias familias de Ransomware

Los expertos en ciberseguridad de Group-IB, han identificado a un nuevo grupo de ciberactores llamado ShadowSyndicate, que ha estado activo desde julio de 2022 y se ha asociado con hasta siete familias de ransomware diferentes. Este grupo, que trabaja con afiliados de ransomware, ha sido vinculado a actividades de ransomware relacionadas con cepas como Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus y Play, utilizando herramientas post-explotación y cargadores disponibles en la DDW (Deep Dark Web). Además, se han descubierto conexiones con otras operaciones de malware como TrickBot, Ryuk/Conti, FIN7 y TrueBot. Estos hallazgos se producen en un contexto en el que los ataques de ransomware siguen siendo una amenaza importante para las empresas y organizaciones a nivel global.

FBI emite alerta ante aumento de ataques de ransomware duales y personalizados desde julio 2023  

La Oficina Federal de Investigaciones (FBI) de EE. UU. ha emitido una advertencia sobre una nueva tendencia preocupante en el mundo de la ciberseguridad. Desde julio de 2023, se ha observado un incremento en los ataques de ransomware duales, donde los ciberdelincuentes despliegan dos variantes diferentes de ransomware contra las mismas víctimas empresariales. Estas variantes incluyen AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum y Royal, utilizadas en combinaciones diversas. Aunque no se tiene información exacta sobre la magnitud de estos ataques, se cree que ocurren en intervalos cercanos, generalmente entre 48 horas y 10 días.

Este cambio en las tácticas de los ciberdelincuentes también ha implicado un mayor enfoque en el robo de datos personalizados, herramientas de limpieza y malware para ejercer presión sobre las víctimas y forzar los pagos de rescate. El FBI advierte que esta combinación de cifrado de datos, exfiltración y pérdidas financieras representa una grave amenaza para las entidades afectadas.

Aunque los ataques de ransomware duales no son completamente nuevos, su aumento se atribuye a la explotación de vulnerabilidades de día cero y al crecimiento de intermediarios y afiliados en el panorama del ransomware.

Ciberactores de Dark Angels responsables de ciberataque con ransomware contra Johnson Controls  

Johnson Controls International, es una empresa multinacional que desarrolla sistemas de control industrial, equipos de seguridad, sistemas de climatización y equipos de seguridad contra incendios, ha sido víctima de un ataque masivo de ransomware. El ataque afectó significativamente las operaciones de la empresa y sus subsidiaria, incluyendo York, Tyco, Luxaire, Coleman, Grinnel, Simplex y Ruskin. El incidente comenzó después de un ataque inicial en las oficinas de la empresa en Asia y resultó en el cifrado de dispositivos de la empresa, incluyendo servidores VMware ESXi.

Los clientes de las subsidiarias de Johnson Controls informaron interrupciones técnicas y se les dijo que se debía a un ciberataque. Los atacantes, conocidos como Dark Angels, han exigido un rescate de 51 millones de dólares y afirman haber robado más de 27 TB de datos corporativos durante el ataque. Johnson Controls está trabajando con expertos externos en ciberseguridad para investigar el incidente y coordinarse con las aseguradoras. Se espera que el incidente cause interrupciones continuas en las operaciones comerciales de la empresa y podría afectar la publicación de resultados financieros.

Dark Angels es una operación de ransomware que se ha centrado en organizaciones de todo el mundo desde mayo de 2022. Utilizan cifradores de Windows y VMware ESXi, y roban datos para llevar a cabo ataques de doble extorsión. También operan un sitio de filtración de datos llamado 'Dunghill Leaks' a través de la red TOR, para extorsionar a sus víctimas. 

Ransomware LostTrust y su probable vinculación con la banda MetaEncryptor  

La operación de ransomware conocida como LostTrust se cree que es un cambio de marca de MetaEncryptor, ya que utilizan cifradores y sitios de fuga de datos prácticamente idénticos. LostTrust comenzó a atacar organizaciones en marzo de 2023, pero se hizo ampliamente conocido en septiembre cuando comenzaron a utilizar un sitio de filtración de datos que actualmente enumera 53 víctimas en todo el mundo.

Se desconoce si LostTrust solo se dirige a dispositivos Windows o si también utiliza un cifrador de Linux. Las similitudes entre LostTrust y MetaEncryptor incluyen la misma plantilla en los sitios de fuga de datos, biografía similar y cifradores casi idénticos. Además, se ha descubierto que ambas operaciones se basan en el cifrador de ransomware SFile2.

El cifrador LostTrust deshabilita varios servicios de Windows y agrega la extensión "[.]losttrustencoded" a los archivos cifrados. Las notas de rescate indican que los actores detrás de LostTrust solían ser hackers éticos antes de cambiar a actividades delictivas debido a la falta de presupuesto para sus servicios de seguridad.

El sitio de filtración de datos de LostTrust se utiliza para extorsionar a las víctimas amenazando con filtrar datos robados si no se paga el rescate. Actualmente, no se sabe si pagar un rescate garantiza la eliminación de datos y la entrega de un descifrador funcional. El análisis y la investigación de esta operación de ransomware están en curso.

Manuales de drones militares, están siendo utilizados en campañas de phishing contra el ejército ucraniano  

El ejército ucraniano se encuentra bajo el blanco de una campaña de phishing que utiliza manuales de drones como señuelo para distribuir el conjunto de herramientas de post explotación de código abierto llamado Merlin. La campaña, denominada STARK#VORTEX, se inicia mediante un archivo de Ayuda HTML de Microsoft que ejecuta un código JavaScript malicioso al abrirse. Este código se encarga de realizar una serie de acciones, incluyendo la ejecución de código PowerShell para contactar a un servidor remoto y recuperar un binario ofuscado.

La carga útil extraída, el Merlin Agent, se configura para comunicarse con un servidor de comando y control (C2), lo que permite a los atacantes tomar el control del host infectado. Aunque la cadena de ataque es aparentemente simple, los atacantes emplearon técnicas de ofuscación y TTP (Tactics, Techniques, and Procedures) complicados para evadir la detección.

Esta no es la primera vez que se utiliza Merlin en ataques contra organizaciones gubernamentales ucranianas, ya que el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ya había detectado una cadena de ataque similar a principios de agosto de 2023. Los archivos CHM se utilizan como señuelos para infectar computadoras con esta herramienta de código abierto, y CERT-UA atribuyó estas intrusiones a un actor de amenazas conocido como UAC-0154.

Lazarus Group es vinculado a ataque de ciberespionaje contra empresa aeroespacial de España, haciéndose pasar como reclutador de Meta

El Grupo Lazarus, vinculado a Corea del Norte, está relacionado con un ataque de ciberespionaje dirigido a una empresa aeroespacial en España. El actor de amenazas se hizo pasar por un reclutador de Meta en LinkedIn y engañó a los empleados de la empresa para que abrieran un archivo ejecutable malicioso bajo la apariencia de un desafío o cuestionario de codificación. Este ataque forma parte de una campaña de phishing de larga data llamada Operación Dream Job, que busca atraer a empleados de interés estratégico con ofertas laborales atractivas para iniciar una cadena de infección.

El objetivo final del ataque es la implementación de una carga útil denominada LightlessCan, que es más sofisticada que su predecesor, BLINDINGCAN. El ataque comenzó cuando el reclutador falso envió desafíos de codificación y convenció a la víctima de ejecutar archivos maliciosos, lo que conllevó a la afectación del sistema y la violación de la red corporativa. El ataque también utiliza un descargador HTTP(S) llamado NickelLoader para implementar programas maliciosos en el dispositivo de la víctima, incluyendo el troyano de acceso remoto LightlessCan y una variante de BLINDINGCAN llamada miniBlindingCan.

LightlessCan tiene la capacidad de ejecutar hasta 68 comandos distintos, lo que aumenta su sofisticación. Además, utiliza medidas de seguridad de ejecución para evitar que las cargas útiles se descifren y ejecuten en máquinas no autorizadas. Este ataque es parte de una serie de actividades cibernéticas recientes de grupos de amenazas vinculados a Corea del Norte en varios sectores y países.

Grupo OilRig utiliza una nueva cepa de malware llamado Menorah, para campañas de ciberespionaje  

El grupo de ciberactores respaldados por Irán conocido como OilRig ha sido vinculado a una campaña de phishing que utiliza una nueva cepa de malware llamada Menorah. Este malware está diseñado para ciberespionaje y tiene la capacidad de identificar máquinas, leer y cargar archivos, además descargar otros archivos o malware. Aunque no existen detalles específicos de las víctimas, las campañas realizadas indican que al menos uno de los objetivos es una organización en Arabia Saudita. OilRig, también conocido como APT34, es un grupo iraní de amenazas persistentes avanzadas (APT) especializado en operaciones encubiertas de recopilación de inteligencia. La cadena de infección reciente documentada por Trend Micro muestra el uso de un documento malicioso que crea una tarea programada para la persistencia y despliega el malware Menorah[.]exe. Este malware está escrito en [.]NET siendo una versión mejorada de SideTwist y está diseñado para tomar huellas digitales del host objetivo, enumerar archivos y directorios, cargar archivos desde el sistema comprometido y ejecutar comandos de shell. El grupo OilRig sigue desarrollando y mejorando sus herramientas para eludir soluciones de seguridad y evitar las detecciones de los investigadores, lo que demuestra su habilidad en ciberespionaje y su capacidad para adaptarse a cada objetivo específico.

Un troyano de acceso remoto llamado ZenRAT, se está haciendo pasar por un conocido gestor de contraseñas  

Una nueva cepa de malware llamada ZenRAT se está distribuyendo a través de paquetes de instalación falsos del administrador de contraseñas Bitwarden. Este malware está dirigido específicamente a usuarios de Windows y opera como un troyano modular de acceso remoto (RAT) con capacidades de robo de información. ZenRAT se encuentra alojado en sitios web falsos que pretenden estar asociados con Bitwarden y ha sido propagado mediante ataques de phishing, publicidad maliciosa o envenenamiento de SEO. La carga útil del malware es una versión troyanizada del paquete de instalación estándar de Bitwarden, que contiene un ejecutable [.]NET malicioso. Además, los usuarios que visitan el sitio web engañoso desde sistemas que no son Windows son redirigidos a un artículo clonado sobre Bitwarden, mientras que los usuarios de Windows que hacen clic en enlaces de descarga para Linux o macOS son redirigidos al sitio legítimo de Bitwarden. ZenRAT recopila información del host infectado y la envía a un servidor de comando y control operado por los actores de amenazas. Se recomienda a los usuarios descargar software solo de fuentes confiables y verificar la autenticidad de los sitios web para mitigar estas amenazas.

La Cruz Roja Estadounidense está siendo usada como señuelo para distribuir malware a través de campañas de phishing  

Un nuevo actor de amenazas denominado AtlasCross ha sido identificado utilizando señuelos de phishing con temática de la Cruz Roja para desplegar dos puertas traseras previamente desconocidas llamadas DangerAds y AtlasAgent. Este actor se caracteriza por su alto nivel técnico y cautela en sus ataques dirigidos. La cadena de ataque comienza con un documento de Microsoft que contiene macros relacionadas con una campaña de donación de sangre de la Cruz Roja Estadounidense. Cuando se inicia, ejecuta macros maliciosas para establecer la persistencia y filtrar metadatos del sistema a un servidor remoto. Posteriormente, extrae archivos maliciosos como DangerAds, que actúa como un cargador para iniciar AtlasAgent, un malware capaz de recopilar información del sistema y ejecutar comandos. Ambas puertas traseras incorporan funciones evasivas para evitar la detección por herramientas de seguridad. Se sospecha que AtlasCross ha comprometido servidores públicos explotando vulnerabilidades conocidas y los ha convertido en servidores de comando y control (C2). Aunque se desconoce la verdadera identidad y patrocinadores de AtlasCross, sus procesos de ataque son sólidos y maduros, y actualmente se enfocan en ataques dirigidos a objetivos específicos dentro de un dominio de red.

Ataques de BlackTech respaldados por China comprometen enrutadores en Japón y EE. UU.  

Agencias de ciberseguridad de Japón y Estados Unidos han emitido advertencias conjuntas sobre ataques perpetrados por un grupo de hackers respaldado por el estado chino conocido como BlackTech. Estos ataques se centran en manipular silenciosamente los enrutadores de sucursales para acceder a las redes de varias empresas en ambos países. BlackTech ha demostrado ser capaz de modificar firmware de enrutadores sin detección y utilizar las relaciones de confianza para avanzar desde subsidiarias internacionales hacia las oficinas centrales en Japón y Estados Unidos. Los sectores afectados incluyen el gubernamental, industrial, tecnológico, de medios, electrónico y de telecomunicaciones, así como entidades relacionadas con los ejércitos de ambos países. BlackTech ha estado activo desde al menos 2007 y ha utilizado una variedad de puertas traseras y malware personalizado en sus ataques, con un enfoque particular en Taiwán, Japón y Hong Kong. Las agencias de ciberseguridad instan a monitorear y fortalecer la seguridad de los enrutadores y a estar atentos a actividades inusuales relacionadas con SSH y cambios en la configuración de dispositivos de red para mitigar estas amenazas.

ASMCrypt, un nuevo cargador de malware que está siendo utilizado por grupos de ciberactores  

Los actores de amenazas han introducido un nuevo cifrador y cargador llamado ASMCrypt, considerado una versión avanzada de DoubleFinger. Su objetivo es cargar una carga final maliciosa sin ser detectado por sistemas de seguridad, facilitando ataques de ransomware y robo de datos. ASMCrypt se comunica a través de la red TOR y utiliza una técnica de cifrado en un archivo PNG oculto en un sitio de alojamiento de imágenes. La proliferación de cargadores se ha vuelto común entre actores de amenazas, incluyendo Bumblebee, CustomerLoader y GuLoader. Estos cargadores son utilizados para la distribución de software malicioso, y algunos actores incluso forman alianzas para mejorar su eficacia. La comunidad cibercriminal está en constante evolución, y las amenazas como Lumma Stealer demuestran que el malware sigue adaptándose y evolucionando en su funcionalidad y distribución.

Técnica de phishing ZeroFont, está siendo nuevamente utilizada por ciberactores, para eludir los filtros de seguridad en correos electrónicos

Los ciberdelincuentes han adoptado una táctica de phishing llamada "ZeroFont" que implica el uso de fuentes de punto cero en correos electrónicos para que parezcan haber sido escaneados de forma segura por las herramientas de seguridad de Microsoft Outlook. Esta técnica aprovecha las debilidades en la forma en que los sistemas de inteligencia artificial y procesamiento del lenguaje natural (NLP) analizan el texto en los correos electrónicos. Los atacantes insertan palabras o caracteres invisibles al establecer el tamaño de fuente en cero, lo que hace que el texto sea invisible para los usuarios, pero legible para los algoritmos de PNL.

El objetivo de esta táctica es eludir los filtros de seguridad y crear una falsa sensación de legitimidad y seguridad en los destinatarios, lo que aumenta la probabilidad de que abran el correo e interactúen con su contenido malicioso. Aunque la técnica ZeroFont no es nueva, esta es la primera vez que se documenta su uso de esta manera, lo que podría aumentar la efectividad de los ataques de phishing.

Vulnerabilidad crítica en Progress Software, permite a atacantes ejecutar comandos remotos  

Progress Software ha emitido parches para ocho vulnerabilidades, incluida una crítica (CVE-2023-40044) con una puntuación CVSS de 10.0, que afectan a su servidor WS_FTP y la interfaz del administrador. La vulnerabilidad crítica permite a atacantes previamente autenticados ejecutar comandos remotos en el sistema operativo del servidor. Otras fallas incluyen una de cruce de directorios, dos de secuencias de comandos entre sitios (XSS), una de inyección SQL, una de falsificación de solicitud entre sitios (CSRF) y dos más. Dado que estas vulnerabilidades pueden ser aprovechadas por grupos de ransomware como Cl0p, se insta a los usuarios a aplicar los parches de manera urgente. Además, Progress Software todavía está tratando las consecuencias de un ataque masivo a su plataforma MOVEit Transfer.

Openfire bajo asedio, vulnerabilidad CVE-2023-32315 expone servidores a ataques remotos y ransomware

Los servidores de mensajería Openfire están siendo atacados activamente debido a una vulnerabilidad crítica (CVE-2023-32315) que permite a atacantes no autenticados crear cuentas de administrador y ejecutar comandos remotos. Esta falla afecta a todas las versiones de Openfire desde 2015 hasta la 4.7.4. Aunque se lanzaron actualizaciones para solucionar el problema, más de tres mil servidores aún son vulnerables. Los atacantes han aprovechado esta vulnerabilidad para cifrar servidores con ransomware y desplegar criptomineros. Dr. Web ha detectado varios escenarios de ataque que explotan esta falla, incluyendo la instalación de troyanos de criptominería y puertas traseras basadas en C. Se recomienda aplicar las actualizaciones de seguridad disponibles para proteger los servidores. Además, se ha observado un ransomware desconocido que cifra servidores expuestos con una extensión [.]locked1 y exige rescates relativamente bajos. Se insta a los administradores a mantener sus servidores actualizados y seguros.

Vulnerabilidad crítica en libwebp afecta a navegadores y aplicaciones populares  

Google ha asignado un nuevo CVE-2023-5129 a una vulnerabilidad de libwebp, inicialmente catalogada como un error de Chrome (CVE-2023-4863), que fue parcheada hace dos semanas. La vulnerabilidad es de gravedad máxima, con una puntuación CVSS 10/10, y reside en el algoritmo de codificación Huffman utilizado por libwebp. Los atacantes pueden aprovecharla para ejecutar escrituras de memoria fuera de los límites mediante páginas HTML maliciosas. Esta vulnerabilidad afecta a las versiones anteriores a 116.0.5845.187 de Google Chrome y tiene implicaciones para proyectos que utilizan libwebp, incluyendo 1Password, Signal, Safari, Firefox, Edge, Opera y navegadores web de Android.

Prueba de concepto disponible en GitHub, para explotar vulnerabilidad crítica en SharePoint Server  

Se ha publicado en GitHub un código de explotación de prueba de concepto para una grave vulnerabilidad de omisión de autenticación en Microsoft SharePoint Server, identificada como CVE-2023-29357. Esta falla de seguridad permite la escalada de privilegios y puede ser explotada por atacantes no autenticados en ataques de baja complejidad sin requerir interacción del usuario. Un investigador logró ejecutar con éxito un ataque de cadena de vulnerabilidades, que involucra CVE-2023-29357 y otra falla crítica (CVE-2023-24955) que facilita la ejecución remota de código. Aunque el exploit disponible actualmente no permite la ejecución remota de código, podría combinarse con la segunda falla para lograr este objetivo.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 02 de octubre al 08 de octubre de 2023:

Objetivos observados durante semana de análisis: 

• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia

• Banca y Finanzas
• Educación

• Defensa y orden público
• Entretenimiento, cultura y arte
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes

• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios empresariales y comercio
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.