ENTEL Weekly Threat Intelligence Brief del 30 de octubre al 05 de noviembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• LockBit amenaza a Boeing con filtrar datos robados en ciberataque  
• Ransomware HelloKitty aprovecha vulnerabilidad crítica en Apache ActiveMQ  
• Sindicato de Pilotos de American Airlines fue afectado por un ataque de tipo ransomware  
• Botnet Mozi fue extrañamente desactivada, un alivio temporal en la lucha contra el malware  
• Botnet Proxy 'Socks5Systemz' infecta 10.000 dispositivos y vende acceso a suscriptores  
• Turla y su evolución: nueva versión de la puerta trasera Kazuar se enfoca en el sigilo y evasión  
• StripeFly, un malware avanzado que pasó desapercibido por más de 5 años  
• Malware BiBi-Linux sobrescribe archivos en lugar de cifrarlos en ataques selectivos  
• Nueva campaña publicitaria maliciosa promociona versiones falsas de PyCharm a través de Google  
• Malware NodeStealer: una amenaza que se propaga a través de anuncios maliciosos en Facebook  
• Vulnerabilidad crítica en Cisco IOS XE explotada a gran escala: análisis de CVE-2023-20198  
• Atlassian advierte sobre vulnerabilidad crítica en Confluence que podría causar pérdida de datos  
• Ataque activo a dispositivos BIG-IP: F5 advierte sobre la explotación de dos vulnerabilidades recientes  
• Servidores expuestos a Internet en riesgo por la vulnerabilidad CVE-2023-46604 en Apache ActiveMQ  
• Vulnerabilidad 'Citrix Bleed' CVE-2023-4966: Actores de amenazas atacan organizaciones de todo el mundo  
• FIRST lanza CVSS v4.0: La próxima generación del sistema de calificación de vulnerabilidades  
• Microsoft Exchange afectado por cuatro vulnerabilidades de día cero reveladas por ZDI

LockBit amenaza a Boeing con filtrar datos robados en ciberataque  

Boeing está investigando un ciberataque que afectó a su negocio de distribución y repuestos después de que la banda de ransomware LockBit afirmara haber comprometido la red de la compañía y robado datos. La compañía asegura que el incidente no afectó la seguridad de los vuelos y está colaborando con agencias reguladoras y policiales en una investigación interna en curso, así mismo ha notificado a sus clientes y proveedores sobre el incidente.

El sitio web de servicios de Boeing actualmente no funciona con un mensaje que dice que la interrupción en curso se debe a "problemas técnicos".

LockBit amenazó con filtrar información robada si Boeing no se comunicaba antes de una fecha límite, aunque la página de filtración de datos en su sitio web oscuro ya ha sido eliminada.

La banda de ransomware LockBit ha sido responsable de numerosos ataques en todo el mundo y ha extorsionado grandes sumas de dinero a organizaciones estadounidenses en los últimos años. Boeing, uno de los gigantes aeroespaciales y de defensa más grandes del mundo, está evaluando la situación y colaborando con las autoridades en la investigación. 

Ransomware HelloKitty aprovecha vulnerabilidad crítica en Apache ActiveMQ  

El grupo de ransomware HelloKitty está aprovechando una vulnerabilidad crítica de ejecución remota de código (CVE-2023-46604) en Apache ActiveMQ para infiltrarse en redes y cifrar dispositivos. Esta vulnerabilidad, con un puntaje CVSS de 10.0, permite a los atacantes ejecutar comandos de shell arbitrarios mediante la explotación de tipos de clases serializadas en el protocolo OpenWire. A pesar de una actualización de seguridad publicada el 25 de octubre de 2023, hasta el 30 de octubre aún es posible encontrar más de tres mil servidores expuestos a Internet utilizando versiones vulnerables.

Rapid7 informó que han detectado al menos dos casos de actores de amenazas explotando CVE-2023-46604 para distribuir el ransomware HelloKitty y extorsionar a las organizaciones afectadas. HelloKitty es una operación de ransomware que se dio a conocer en 2020 y recientemente se filtró su código fuente en foros de ciberdelincuencia de habla rusa.

Los ataques comenzaron tan solo dos días después de que Apache publicará la actualización de seguridad. Rapid7 analizó los archivos MSI utilizados en los ataques y descubrió que contenían un ejecutable .NET que realizaba acciones maliciosas, como cifrar archivos y detener procesos específicos.

Se insta a los administradores de sistemas a aplicar las actualizaciones de seguridad de Apache ActiveMQ lo antes posible para mitigar esta amenaza. Las versiones vulnerables oscilan entre 5.15 y 5.18, y las correcciones están disponibles en las versiones 5.15.16, 5.16.7, 5.17.6 y 5.18.3. La vulnerabilidad sigue siendo una preocupación debido a la persistencia de servidores no parcheados.

Sindicato de Pilotos de American Airlines fue afectado por un ataque de tipo ransomware  

Allied Pilots Association (APA), es el sindicato que representa alrededor de 15.000 pilotos de American Airlines, y quienes sufrieron un ataque de ransomware el pasado lunes 30 de octubre, aunque la APA confirmó que ciertos sistemas se vieron comprometidos y cifrados, aún no ha revelado si la información personal de los pilotos se vio comprometida o la cantidad exacta de personas afectadas. 

El sindicato está trabajando con expertos externos en ciberseguridad para evaluar el alcance total del incidente y está restaurando sus sistemas a partir de copias de seguridad. 

Este ataque de ransomware se suma a una serie de problemas de seguridad cibernética que ha enfrentado American Airlines en los últimos años, incluyendo violaciones de datos y ataques anteriores.

Botnet Mozi fue extrañamente desactivada, un alivio temporal en la lucha contra el malware  

La botnet de malware Mozi, conocida por realizar ataques de denegación de servicio distribuido (DDoS) principalmente en dispositivos IoT, experimentó una extraña desactivación en agosto de 2023. Según un informe de Eset, la actividad de la botnet se desvaneció inicialmente en India el 8 de agosto, seguida por un cese similar en China, donde se originó la botnet, el 16 de agosto. Luego, el 27 de septiembre, un mensaje UDP fue enviado a todos los bots de Mozi, desencadenando una serie de acciones que incluyeron la terminación del proceso de malware, la deshabilitación de servicios del sistema y el reemplazo de archivos Mozi.

El análisis de código reveló similitudes entre el código original de Mozi y los binarios utilizados en la desactivación, lo que sugiere la posible participación de los creadores originales de la botnet o las autoridades chinas en esta acción. Aunque la desactivación de Mozi es una buena noticia, sigue habiendo muchas otras botnets de malware DDoS en busca de dispositivos IoT vulnerables en la web, por lo que se insta a los usuarios a tomar medidas de seguridad, como actualizar firmware y usar contraseñas seguras.

Botnet Proxy 'Socks5Systemz' infecta 10.000 dispositivos y vende acceso a suscriptores  

La botnet proxy conocida como 'Socks5Systemz' ha infectado alrededor de 10.000 dispositivos en todo el mundo, convirtiéndolos en servidores proxy que se venden a suscriptores por precios que van desde $1 a $140 (USD) al día en criptomonedas. El malware Socks5Systemz se distribuye a través de cargadores de malware como 'PrivateLoader' y 'Amadey' y se propaga mediante phishing, kits de explotación y otros medios. La botnet ha existido desde al menos 2016, pero recientemente ha llamado la atención.

El bot se inyecta en la memoria del host y establece la persistencia a través de un servicio de Windows llamado 'ContentDWSvc'. Utiliza un sistema de algoritmo de generación de dominio para conectarse con su servidor de comando y control (C2). Los dispositivos infectados se utilizan como servidores proxy y se venden a otros actores de amenazas. La infraestructura de control de la botnet se encuentra en Europa, principalmente en Francia. La distribución geográfica de las infecciones es global, con un mayor número en India, Estados Unidos y varios países de América del Sur y África.

La botnet ofrece dos niveles de suscripción, "Estándar" y "VIP", con diferencias en el número de subprocesos y tipos de proxy permitidos. Estos servicios se utilizan para eludir restricciones geográficas y tienen un impacto significativo en la seguridad de Internet y el secuestro no autorizado de ancho de banda.

Turla y su evolución: nueva versión de la puerta trasera Kazuar se enfoca en el sigilo y evasión

El grupo de hackers ruso Turla, también conocido como Pensive Ursa, ha sido observado utilizando una versión actualizada de la puerta trasera Kazuar en sus ataques. Kazuar es un implante basado en .NET que se caracteriza por su capacidad para interactuar sigilosamente con sistemas comprometidos y extraer datos. 

Este grupo, vinculado al Servicio Federal de Seguridad de Rusia (FSB), ha estado activo desde al menos 2004 y ha sido implicado en ataques dirigidos en Europa del Este y Ucrania. 

Investigadores de Palo Alto a través de un informe, han detectado las mejoras en Kazuar e indican que Turla continúa evolucionando sus métodos de ataque y sofisticación, incluyendo el uso de técnicas avanzadas de antianálisis y cifrado de cadenas personalizados para evadir la detección. La puerta trasera Kazuar opera en un modelo de subprocesos múltiples, lo que le permite establecer un control de flujo asincrónico y modular. Esta amenaza admite una amplia gama de funciones que facilitan la recopilación de datos, el robo de credenciales y la comunicación con los servidores de comando y control (C2) a través de HTTP. Además, Kazuar puede funcionar como un proxy para recibir y enviar comandos a otros agentes de Kazuar en la red infectada, lo que amplía su sigilo y complejidad. 

Estas capacidades antianálisis aseguran que Kazuar permanezca inactivo y cese la comunicación C2 si se detecta cualquier intento de depuración o análisis. En otro desarrollo relacionado, varias organizaciones estatales e industriales en Rusia han sido atacadas con una puerta trasera personalizada basada en Go, aunque el actor de amenazas detrás de la operación sigue siendo desconocido.

StripeFly, un malware avanzado que pasó desapercibido por más de 5 años

Según una investigación de Kaspersky, el malware denominado StripeFly ha logrado pasar desapercibido durante más de cinco años, infectando al menos un millón de dispositivos en todo el mundo. Kaspersky identificó esta amenaza como un "intrincado marco modular" que afecta tanto a sistemas Linux como Windows. El malware forma parte de una entidad más grande que utiliza un exploit personalizado llamado EternalBlue SMBv1 para infiltrarse en sistemas de acceso público. 

StripeFly puede descargar archivos binarios de un repositorio remoto y ejecutar scripts de PowerShell. Además, puede recopilar datos confidenciales y desinstalarse, este malware opera de manera sigilosa y se comunica con servidores de comando y control a través de la red TOR. 

StripeFly se propaga a través de sistemas infectados y garantiza la persistencia modificando el Registro de Windows o creando entradas en el programador de tareas. Además, se ha descubierto que descarga un minero de criptomonedas Monero para ocultar sus actividades maliciosas. Aunque se desconoce el propósito exacto de StripeFly, su sofisticación y persistencia sugieren la participación de un actor de amenaza avanzado (APT). La similitud con prácticas y estilos de codificación vistos en otros ciberataques sugiere una conexión con Equation Group y STRAITBIZARRE. A pesar de la aparición del ransomware ThunderCrypt, el propósito real del malware sigue siendo un misterio.

Malware BiBi-Linux sobrescribe archivos en lugar de cifrarlos en ataques selectivos

 Un nuevo malware llamado BiBi-Linux está siendo utilizado por grupos hacktivistas Pro-Hamas, en ataques dirigidos a sistemas Linux de empresas israelíes. A diferencia de la mayoría de los ransomware, BiBi-Linux no establece comunicación con servidores remotos ni ofrece notas de rescate. En cambio, corrompe los archivos sobrescribiéndolos con datos inútiles y daña tanto los datos como el sistema operativo. 

El malware permite a los atacantes elegir qué carpetas cifrar y puede borrar completamente el sistema operativo si se ejecuta con privilegios de root. BiBi-Linux utiliza múltiples subprocesos y un sistema de cola para mejorar la velocidad y la eficacia. Además, agrega una extensión a los archivos que indica cuántas veces se han sobrescrito. La falta de ofuscación y medidas de protección en el malware sugiere que los actores de amenazas se centran en maximizar el impacto de sus ataques. 

Los ataques de malware destructivo son utilizados por diversos grupos de amenazas, incluyendo a actores rusos, como parte de sus operaciones en países como Ucrania.

Nueva campaña publicitaria maliciosa promociona versiones falsas de PyCharm a través de Google

Una reciente campaña de publicidad maliciosa detectada por Malwarebytes, ha sido descubierta promoviendo versiones falsas de PyCharm a través de Google. 

El ataque aprovecha anuncios dinámicos de búsqueda de Google y se basa en un sitio web comprometido sin el conocimiento de su propietario. Cuando las víctimas hacen clic en el anuncio, son redirigidas a una página web pirateada que ofrece enlaces para descargar la aplicación PyCharm falsa. La ejecución del instalador PyCharm da como resultado la implementación de varias familias de infostealer y cargadores, como Amadey, PrivateLoader, RedLine, Stealc y Vidar, una avalancha de amenazas, que deja el sistema infectado completamente inutilizable.

Este nuevo hallazgo, destaca cómo los actores de amenazas pueden abusar de las campañas publicitarias de Google para distribuir malware de manera efectiva.

Malware NodeStealer: una amenaza que se propaga a través de anuncios maliciosos en Facebook

Una campaña de malware recientemente descubierta por Bitdefender, está utilizando cuentas comerciales comprometidas en Facebook para publicar anuncios falsos con imágenes provocativas de mujeres jóvenes. 

Estos anuncios engañan a las víctimas para que descarguen una versión actualizada de NodeStealer, un malware que roba cookies y contraseñas de navegadores. 

NodeStealer fue revelado por primera vez en mayo de 2023 y ha evolucionado para aprovechar una variante basada en Python en sus ataques. 

La campaña se centra en usuarios masculinos de Facebook en Europa, África y el Caribe, y su objetivo es comprometer cuentas y robar cookies para evitar medidas de seguridad, como la autenticación de dos factores. Esta amenaza forma parte de un creciente ecosistema de ciberdelincuencia en Vietnam, donde se utilizan principalmente anuncios de Facebook como vector de propagación.

Vulnerabilidad crítica en Cisco IOS XE explotada a gran escala: análisis de CVE-2023-20198 

 Se ha hecho público el código de explotación de la vulnerabilidad crítica de Cisco IOS XE, conocida como CVE-2023-20198, que fue utilizada como día cero para comprometer decenas de miles de dispositivos. Los investigadores de Horizon3.ai han detallado cómo un atacante puede eludir la autenticación en dispositivos vulnerables y crear un nuevo usuario con privilegios de nivel 15, lo que otorga control total sobre el dispositivo. 

El ataque se basa en la manipulación de solicitudes HTTP al servicio Web Services Management Agent (WMSA) y la explotación de IOS XE de Cisco. Una vez comprometido, el atacante tiene control total sobre el dispositivo y puede instalar implantes maliciosos en el disco sin necesidad de explotar otras vulnerabilidades.

Cisco ha lanzado parches para la mayoría de las versiones de IOS XE, pero la versión 17.3 aún está afectada. Aunque la empresa ha abordado la vulnerabilidad en las Actualizaciones de Mantenimiento de Software (SMU), miles de dispositivos continúan comprometidos. Inicialmente, se encontraron alrededor de 10.000 dispositivos afectados. La vulnerabilidad se explotó desde un día cero antes de que Cisco la revelara en octubre, y muchos de los dispositivos comprometidos pertenecen a proveedores de telecomunicaciones e Internet en todo el mundo.

Atlassian advierte sobre vulnerabilidad crítica en Confluence que podría causar pérdida de datos  

Atlassian, la empresa australiana de software, ha emitido una advertencia a los administradores de Confluence para que parcheen de inmediato las instancias expuestas a Internet debido a una vulnerabilidad crítica. 

Esta vulnerabilidad, rastreada como CVE-2023-22518, se clasifica como una falla de autorización inadecuada y afecta a todas las versiones de Confluence Data Center y Confluence Server. Aunque no afecta la confidencialidad de los datos, podría provocar la pérdida de datos si es explotada con éxito. 

Atlassian ha solucionado esta vulnerabilidad en ciertas versiones de Confluence y ha instado a los administradores a actualizar o aplicar medidas de mitigación, como la copia de seguridad de instancias sin parches y el bloqueo del acceso a Internet hasta que se actualicen. 

La vulnerabilidad ha sido objeto de ataques activos y se ha utilizado como día cero por el grupo de amenazas Storm-0062, respaldado por China. Parchear los servidores Confluence es esencial, ya que previamente se han convertido en objetivos para ataques de malware, incluyendo botnets de Linux, criptomineros y ransomware como AvosLocker y Cerber2021.

Ataque activo a dispositivos BIG-IP: F5 advierte sobre la explotación de dos vulnerabilidades recientes  

F5 ha alertado a los administradores de dispositivos BIG-IP sobre la explotación activa de dos vulnerabilidades recientemente descubiertas: CVE-2023-46747 y CVE-2023-46748. 

Estas vulnerabilidades permiten la ejecución de código arbitrario y la inyección SQL, respectivamente. 

F5 insta a los administradores a aplicar las actualizaciones de seguridad disponibles y proporciona un script para mitigar la vulnerabilidad CVE-2023-46747. 

CISA ha incluido estas vulnerabilidades en su catálogo KEV y ha instado a las agencias del gobierno federal a aplicar las actualizaciones antes del 21 de noviembre. 

Los actores de amenazas están explotando ambas vulnerabilidades en combinación, por lo que es esencial aplicar las mitigaciones para proteger los dispositivos BIG-IP. 

F5 advierte que los atacantes pueden borrar sus huellas, por lo que se debe considerar que los dispositivos no parcheados están comprometidos y se recomienda una fase de limpieza y restauración en estos casos.

Servidores expuestos a Internet en riesgo por la vulnerabilidad CVE-2023-46604 en Apache ActiveMQ  

Más de 3.000 servidores Apache ActiveMQ expuestos a Internet se consideran vulnerables a la reciente vulnerabilidad crítica de ejecución remota de código (CVE-2023-46604). 

Apache ActiveMQ es un intermediario de mensajes de código abierto utilizado en entornos empresariales para facilitar la comunicación entre sistemas. 

La vulnerabilidad CVE-2023-46604 tiene una gravedad crítica (puntuación CVSS v3: 10.0) y permite a los atacantes ejecutar comandos de shell arbitrarios explotando tipos de clases serializadas en el protocolo OpenWire. 

Las versiones afectadas se detallan, y se han lanzado correcciones recomendadas en las versiones 5.15.16, 5.16.7, 5.17.6 y 5.18.3. Se han identificado miles de servidores vulnerables, y su explotación podría resultar en la interceptación de mensajes, la interrupción del flujo de trabajo, el robo de datos y el movimiento lateral en la red. 

La aplicación de las actualizaciones de seguridad se considera urgente debido a la disponibilidad pública de detalles técnicos de la explotación.

Vulnerabilidad 'Citrix Bleed' CVE-2023-4966: Actores de amenazas atacan organizaciones de todo el mundo  

Los actores de amenazas han estado aprovechando la vulnerabilidad conocida como 'Citrix Bleed' (CVE-2023-4966) para atacar a organizaciones gubernamentales, técnicas y legales en diversas regiones del mundo, desde finales de agosto de 2023. 

Esta vulnerabilidad afecta a dispositivos Citrix NetScaler ADC y Gateway, permitiendo el acceso a información confidencial, ya existe un exploit disponible que expone la vulnerabilidad.

La explotación de la vulnerabilidad ha llevado al robo de credenciales y al movimiento lateral en la red. Debido a la falta de registro en los dispositivos, estos ataques son difíciles de detectar y requieren herramientas de monitoreo especializadas. 

Los atacantes utilizan una variedad de herramientas comunes en entornos empresariales para realizar reconocimiento de red, robo de credenciales y movimiento lateral. 

La aplicación de actualizaciones de seguridad no resuelve los problemas existentes, por lo que se necesita una respuesta completa al incidente. Mandiant ha proporcionado una guía de reparación detallada para abordar estas amenazas.

FIRST lanza CVSS v4.0: La próxima generación del sistema de calificación de vulnerabilidades  

El Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST) ha presentado oficialmente la versión 4.0 del Common Vulnerability Scoring System (CVSS), un estándar ampliamente utilizado para evaluar la gravedad de las vulnerabilidades de seguridad en el software. 

CVSS 4.0 introduce mejoras significativas, incluyendo una mayor granularidad en las métricas básicas, eliminación de ambigüedades en las puntuaciones posteriores, simplificación de métricas de amenazas y adición de métricas complementarias para evaluar vulnerabilidades. 

Esta versión también mejora la aplicabilidad en entornos de Operaciones de Tecnología (OT), Sistemas de Control Industrial (ICS) e Internet de las Cosas (IoT). 

La evolución de CVSS a lo largo de los años ha sido fundamental para la seguridad cibernética y se espera que esta versión proporcione una evaluación más precisa y completa de las vulnerabilidades.

Microsoft Exchange afectado por cuatro vulnerabilidades de día cero reveladas por ZDI  

Microsoft Exchange se encuentra en riesgo debido a cuatro vulnerabilidades de día cero que pueden ser explotadas de forma remota, permitiendo a los atacantes ejecutar código malicioso o acceder a información confidencial en sistemas afectados. 

Estas vulnerabilidades fueron dadas a conocer por la Iniciativa de Día Cero (ZDI) de Trend Micro y se informaron a Microsoft en septiembre de 2023. A pesar de reconocer los informes, Microsoft decidió no abordar de inmediato estas fallas, lo que llevó a ZDI a publicarlas bajo sus propios identificadores para alertar a los administradores de Exchange sobre los riesgos de seguridad.

Las vulnerabilidades incluyen una falla de ejecución remota de código (RCE) en la clase 'ChainedSerializationBinder' (ZDI-23-1578) y tres vulnerabilidades que resultan de una validación inadecuada de URI (ZDI-23-1579, ZDI-23-1580 y ZDI-23-1581). Si bien estas vulnerabilidades requieren autenticación para ser explotadas, los atacantes tienen múltiples formas de obtener credenciales de Exchange. La más grave de las fallas, ZDI-23-1578, podría permitir un compromiso total del sistema.

ZDI sugiere restringir la interacción con aplicaciones de Exchange y la implementación de la autenticación multifactor para mitigar estos riesgos. Aunque Microsoft ha revisado los informes y considera que las vulnerabilidades no requieren un servicio inmediato, seguirán evaluándose y las abordarán en futuras versiones y actualizaciones del producto.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del  06 al 12 de noviembre de 2023:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Educación
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Transportes y servicios automotrices

• Retail y servicios de consumo
• Servicios legales y profesionales
• Defensa y orden público
• Servicios empresariales y comercio

• Entretenimiento, cultura y arte
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Petróleo
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.