Peru, Últimos Incidentes de Seguridad
- Ransomware tipo 1:
Día identificado: 17/12/17
Sistema afectado: Windows Server (no se ha tenido accesso a la versión)
Archivos alterados: (to get password email id *id* to *email*!!).exe/.rar
Ejemplo: NombreArchivo.doc(!!to get password email 123456791 to brcode2017@gmail.com!!).exe
Otros correos electrónicos: brcode2017@gmail.com, brcodes17@gmail.com, eucodes17@gmail.com, uscodes17@gmail.com, brcodes16@gmail.com, mxsecinfo@gmail.com.
Monto de recuperación por el Ciber delicuente: US$ 4,000 por ID, obviamente NO se recomienda pagar el rescate.
Recuperación: A la fecha no se tiene un proceso de recuperación bajo este tipo ransomware.
Recomendación: Backup, Backup, Backup; generar backup de la data más importante de la empresa hacia una unidad externa y probarlo frecuentemente. En paralelo seguir con las recomendaciones de seguridad que abajo se detallan.
Sin embargo haciendo búsqueda en Internet encontramos que probablemente lo catalogan como:
2. Ransomware tipo 2:
Día identificado: 07/12/17
Sistema afectado: Windows Server y Workstation
Archivos con extensión: “.arena”
Recomendación:
- Backup, Backup, Backup. Sacar Backup y probarlo mensual.
- Concientizar a tus usuarios, tarea difícil pero clave para Prevenir.
- No abrir archivos adjuntos en correos de dudosa procedencia. Se observa que usualmente infecta tu PCs/Sevidores a través de correos electrónicos SPAM con archivos adjuntos infectados con código malicioso/Malware.
- No ejecutar actualizaciones falsas de software que aparecen en tu Windows.
- Actualizar el sistema operativo con los últimos parches de seguridad a toda la red Windows, servidores, estaciones de trabajo, etc.
- Actualizar la última versión del Antivirus y sobre todo activar “Scanner todos los archivos que se descargan a tu PC/servidor”.
Recuperación:
- Reiniciar tu sistema Windows afectado en modo seguro presionando F8 al momento de la inicialización y elige: Safe mode with networking, logearte y descargarte un anti-malware de tu preferencia,
- He recibido muy buenos comentarios de Malwarebytes aqui el link: https://www.malwarebytes.com/mwb-download/. Adicional como referencia un resumen de diferentes fabricantes Anti Malware: http://www.techradar.com/news/software/applications/best-free-anti-spyware-and-anti-malware-software-1321656
- Otra herramienta de utilidad es Reimage Repair para tu descarga.
- Haciendo una busquedad Kaspersky tiene un Decryptor para recuperar el archivo encriptados con la extensión: *.arena.
3.- Ramsonware tipo 3:
Día identificado: 30/11/17
Sistema afectado: Windows Server 2012 R2
Screenshot:
Solución: Guía y recomendaciones para el ransomware “Petya”.
- Actualizar el sistema operativo y aplicaciones que tengas en el servidor o PC, Actualización de seguridad (MS17–010) para todas las plataformas, desde Windows XP a Windows 10.
- Validar si tienes el MS17–010, esta instalado.
- Sí no puedes actualizar, desahabilitar SMBv1 según los pasos que se documentan en el articulo 2696547 de la Microsoft Knowlede Base.
Para Windows Server 2012 R2 y Windows Server 2016: Método de Server Manager para deshabilitar SMBv1.
- Para Windows 8.1 y Windows 10:
- Aplicar segmentación de red dividir la red de servidores (Base de Datos, SQL Server, Oracle Server, Web Intranet, SAP Server, SAP DB, File Server, etc) de la red de usuarios, y de la red de invitados como el Wifi.
- Es recomendable que estos tres grupos de usuarios NO estén en la misma red compartiendo recursos, implementar VLANs y que no exista ruteo entre ellas y sí tienes un firewall o IPS entre ellas mucho mejor para proteger los servidores de ataques originados desde la red de usuarios internos o invitados wifi internos, ver el siguiente link.
- Aplicar el principio de mínimo privilegio que limitará el impacto de ataques de malware, por ejemplo nunca permitir que las PCs internas tengan el usuarios Administrator.
- Los que usan Windows 10 deberían aprovechar de capacidades, como Device Guard, para bloquear los dispositivos y permitir solo las aplicaciones de confianza, evitando así la ejecución del malware.
- Considere sacar provecho de Windows Defender Advanced Threat Protection, que detecta automáticamente los comportamientos que este nuevo ransomware usa.
3. Phishing Bancario:
Entidad afectada: Entidad financiera estatal que provee servicios financieros.
Día identificado: 29/11/17
Screenshot:
Recomendaciones a nivel de usuario:
- No abrir correo electrónico SPAM, Siempre validar la fuente desde donde viene el correo.
- No ejecutar el link del mensaje, para este caso: “Multired Virtual” es un link falso. Tu banco nunca te pedirá que le envíes tus claves o datos personales por correo.
- No hagas click en los hipervínculos o enlaces que te adjunten en el correo, ya que de forma oculta te podrían dirigir a una web fraudulenta.
- El sentido común y la prudencia es tan indispensable como mantener tu equipo protegido con: Antivirus actualizado que bloquee este tipo de ataques, actualizado tu sistema operativo y navegadores web Internet Explorer, Chrome, etc.
Los atacantes siguen usando correo spam para propagar el mensaje, enviado correos MASIVOS a clientes del Banco y no clientes, fijarse en la cuenta desde donde fueron enviados, en este caso: infopaci@bnacion.com, los atacantes usan un dominio muy parecido al dominio de la institución.
Sobre el link: Multired Virtual https://take.flyt.it/, el cual ya no existe!!
4. Defacement:
Sistema afectado: Página de Gerencia Territorial local.
Dominio: http://gthc-j.gob.pe/
Día identificado: 28/11/17
Evidencia:
Se observa que esta alojado en un web hosting y no tiene los niveles de seguridad adecuados como servicios, puertos disponibles desde internet.
### Conclusiones:
- Backup, Backup, Backup.
- Cada dispositivo que tenga IP en su red sea un servidor, estación de trabajo, camará IP, laptop, etc debe estar con los últimos parches de seguridad a nivel de sistema operativo y aplicación.
- No abrir correo electrónico SPAM, Siempre validar la fuente desde donde viene el correo.
- En el firewall perimetral afinar las reglas de seguridad tanto de entrada y salida, activar las funcionalidades de capa 7 como IPS (Intrusion Prevention System), Anti-malware para trafico “http, https, dns” .
- Una medida adicional es bloquear trafico de paises desde no tienes comunicación utilizando la Geolocalización por IPs, ejemplo China.
Bloqueando direcciones IP de China:
