Enviado por mpachacuti el Lun, 09/11/2020 - 12:40

 

El CGII ha tomado conocimiento de diferentes incidentes de seguridad relacionados a la distribución e infección  de malware de tipo ransomware afectando a instituciones públicas, como es el caso del ransomware Thanos, STOP Djvu y Sodinokibi donde las formas de infección pueden ser las siguientes:

  • Correos maliciosos, mediante campañas de spam con archivos adjuntos.
  • Publicidad maliciosa o malvertising, es decir código malicioso presente en los anuncios que aparecen durante la navegación web, tanto para ser ejecutado directamente en el equipo, como para redirigir a servidores donde se descargan otros ejecutables.
  • Ataques de fuerza bruta sobre el protocolo Remote Desktop Protocol (RDP).
  • Explotación de vulnerabilidades del equipo, como en el caso del ransomware sodinokibi que explota la vulnerabilidad CVE-2019-2725 que afecta al componente Oracle WebLogic Server de Oracle Fusion Middleware.

Impacto:

  • Implementarse con derechos de usuario elevados para acceder a todos los archivos, así como a los recursos del sistema sin restricciones.
  • Robar las contraseñas guardadas en el equipo.
  • Cifrar la información y solicitar un pago para su recuperación.

Sistemas afectados:

  • Sistemas Operativos Microsoft Windows.

Medidas preventivas:

  • Concientizar a los usuarios de no abrir correos sospechosos, archivos o enlaces de fuentes no confiables y evitar compartir información personal.
  • Utilizar el escaneo y filtrado de contenido en el servidor de correo.
  • Evitar el uso de dispositivos USB desconocidos.
  • Mantener el sistema operativo y software actualizados con sus respectivos parches de seguridad.
  • Mantener siempre el software antivirus en ejecución y actualizado, el ransomware thanos usa la técnica de renombrar los archivos a enlaces simbólicos para evadir la detección. Verifique que su solución antimalware implementa esta detección.
  • Otorgar a los usuarios privilegios mínimos, y evitar usar ordenadores con cuentas con privilegios de administrador.
  • Segregación de red, segmentación de ordenadores y servidores de usuarios en diferentes subredes para limitar la propagación de incidentes.
  • Limitar la exposición de la red interna de la institución a información o servicios que no necesitan ser accesibles desde el exterior.
  • No instalar software desde fuentes desconocidas, ya que las misma puede estar modificada para este fin.
  • Comprobar que los sistemas con escritorio remoto (RDP) expuestos a internet tengan una contraseña robusta.
  • Aumentar el monitoreo de tráfico no usual que tengan conexiones en puertos 135TCP/UDP y 445TCP/UDP.
  • Realizar copias de seguridad periódicas de sus archivos críticos.

Mitigación:

  • Aislar de la red las computadoras infectadas y desconectar de internet.
  • No pagar por el rescate, ya que no se tiene garantía de recuperar la información secuestrada.
  • Detectar el tipo de ransomware, para ello puede usar la solución antimalware que tenga o mediante servicios en línea, alguno de ellos:
    • https://id-ransomware.malwarehunterteam.com/index.php
    • https://www.nomoreransom.org/crypto-sheriff.php?lang=en
  • Verificar si a la fecha se tiene alguna solución disponible para recuperar la información, algunos de los servicios en línea donde puede consultar:
    • https://www.nomoreransom.org/en/decryption-tools.html
    • https://decrypter.emsisoft.com/
    • https://noransom.kaspersky.com/?tool
  • En caso de no ser posible el descifrado, guardar un respaldo de estos archivos para que a futuro de existir una solución se pueda realizar su restauración.

Eliminar el ransomware:

  • Es importante conocer el tipo de ransomware para ello ejecute un escaneo usando un software de detección y eliminación de virus informáticos de confianza.


Referencias:

https://www.cgii.gob.bo/es/alertas-de-seguridad/ransomware-sodinokibirevil-para-sistemas-windows
https://www.fortinet.com/blog/threat-research/analysis-of-net-thanos-ransomware-supporting-safeboot-with-networking-mode
https://www.kaspersky.com/resource-center/threats/how-to-prevent-ransomware
https://sensorstechforum.com/es/vpsh-virus-file/