El CGII ha tomado conocimiento de diferentes incidentes de seguridad relacionados a la distribución e infección  de malware de tipo ransomware afectando a instituciones públicas, como es el caso del ransomware Thanos, STOP Djvu y Sodinokibi donde las formas de infección pueden ser las siguientes:

• Correos maliciosos, mediante campañas de spam con archivos adjuntos.
• Publicidad maliciosa o malvertising, es decir código malicioso presente en los anuncios que aparecen durante la navegación web, tanto para ser ejecutado directamente en el equipo, como para redirigir a servidores donde se descargan otros ejecutables.
• Ataques de fuerza bruta sobre el protocolo Remote Desktop Protocol (RDP).
• Explotación de vulnerabilidades del equipo, como en el caso del ransomware sodinokibi que explota la vulnerabilidad CVE-2019-2725 que afecta al componente Oracle WebLogic Server de Oracle Fusion Middleware.

Impacto:

• Implementarse con derechos de usuario elevados para acceder a todos los archivos, así como a los recursos del sistema sin restricciones.
• Robar las contraseñas guardadas en el equipo.
• Cifrar la información y solicitar un pago para su recuperación.

Sistemas afectados:

• Sistemas Operativos Microsoft Windows.

Medidas preventivas:

• Concientizar a los usuarios de no abrir correos sospechosos, archivos o enlaces de fuentes no confiables y evitar compartir información personal.
• Utilizar el escaneo y filtrado de contenido en el servidor de correo.
• Evitar el uso de dispositivos USB desconocidos.
• Mantener el sistema operativo y software actualizados con sus respectivos parches de seguridad.
• Mantener siempre el software antivirus en ejecución y actualizado, el ransomware thanos usa la técnica de renombrar los archivos a enlaces simbólicos para evadir la detección. Verifique que su solución antimalware implementa esta detección.
• Otorgar a los usuarios privilegios mínimos, y evitar usar ordenadores con cuentas con privilegios de administrador.
• Segregación de red, segmentación de ordenadores y servidores de usuarios en diferentes subredes para limitar la propagación de incidentes.
• Limitar la exposición de la red interna de la institución a información o servicios que no necesitan ser accesibles desde el exterior.
• No instalar software desde fuentes desconocidas, ya que las misma puede estar modificada para este fin.
• Comprobar que los sistemas con escritorio remoto (RDP) expuestos a internet tengan una contraseña robusta.
• Aumentar el monitoreo de tráfico no usual que tengan conexiones en puertos 135TCP/UDP y 445TCP/UDP.
• Realizar copias de seguridad periódicas de sus archivos críticos.

Mitigación:

• Aislar de la red las computadoras infectadas y desconectar de internet.
• No pagar por el rescate, ya que no se tiene garantía de recuperar la información secuestrada.
• Detectar el tipo de ransomware, para ello puede usar la solución antimalware que tenga o mediante servicios en línea, alguno de ellos:
  • https://id-ransomware.malwarehunterteam.com/index.php
  • https://www.nomoreransom.org/crypto-sheriff.php?lang=en
• Verificar si a la fecha se tiene alguna solución disponible para recuperar la información, algunos de los servicios en línea donde puede consultar:
  • https://www.nomoreransom.org/en/decryption-tools.html
  • https://decrypter.emsisoft.com/
  • https://noransom.kaspersky.com/?tool
• En caso de no ser posible el descifrado, guardar un respaldo de estos archivos para que a futuro de existir una solución se pueda realizar su restauración.

Eliminar el ransomware:

• Es importante conocer el tipo de ransomware para ello ejecute un escaneo usando un software de detección y eliminación de virus informáticos de confianza.

Referencias:

https://www.cgii.gob.bo/es/alertas-de-seguridad/ransomware-sodinokibirevil-para-sistemas-windows
https://www.fortinet.com/blog/threat-research/analysis-of-net-thanos-ransomware-supporting-safeboot…
https://www.kaspersky.com/resource-center/threats/how-to-prevent-ransomware
https://sensorstechforum.com/es/vpsh-virus-file/