Peru, Últimos Incidentes de Seguridad

  1. Ransomware tipo 1:

Día identificado: 17/12/17

Sistema afectado: Windows Server (no se ha tenido accesso a la versión)

Archivos alterados: (to get password email id *id* to *email*!!).exe/.rar

Ejemplo: NombreArchivo.doc(!!to get password email 123456791 to brcode2017@gmail.com!!).exe

Otros correos electrónicos: brcode2017@gmail.com, brcodes17@gmail.com, eucodes17@gmail.com, uscodes17@gmail.com, brcodes16@gmail.com, mxsecinfo@gmail.com.

Monto de recuperación por el Ciber delicuente: US$ 4,000 por ID, obviamente NO se recomienda pagar el rescate.

Image for post
Image for post

Recuperación: A la fecha no se tiene un proceso de recuperación bajo este tipo ransomware.

Recomendación: Backup, Backup, Backup; generar backup de la data más importante de la empresa hacia una unidad externa y probarlo frecuentemente. En paralelo seguir con las recomendaciones de seguridad que abajo se detallan.

Sin embargo haciendo búsqueda en Internet encontramos que probablemente lo catalogan como:

Image for post
Image for post

2. Ransomware tipo 2:

Día identificado: 07/12/17

Sistema afectado: Windows Server y Workstation

Archivos con extensión: “.arena

Image for post
Image for post

Recomendación:

  • Backup, Backup, Backup. Sacar Backup y probarlo mensual.

Recuperación:

Image for post
Image for post

3.- Ramsonware tipo 3:

Día identificado: 30/11/17

Sistema afectado: Windows Server 2012 R2

Screenshot:

Image for post
Image for post

Solución: Guía y recomendaciones para el ransomware “Petya”.

  • Actualizar el sistema operativo y aplicaciones que tengas en el servidor o PC, Actualización de seguridad (MS17–010) para todas las plataformas, desde Windows XP a Windows 10.

Para Windows Server 2012 R2 y Windows Server 2016: Método de Server Manager para deshabilitar SMBv1.

Image for post
Image for post
  • Para Windows 8.1 y Windows 10:
Image for post
Image for post
  • Aplicar segmentación de red dividir la red de servidores (Base de Datos, SQL Server, Oracle Server, Web Intranet, SAP Server, SAP DB, File Server, etc) de la red de usuarios, y de la red de invitados como el Wifi.
Image for post
Image for post
Image for post
Image for post
Image for post
Image for post
Image for post
Image for post

3. Phishing Bancario:

Entidad afectada: Entidad financiera estatal que provee servicios financieros.

Día identificado: 29/11/17

Screenshot:

Image for post
Image for post

Recomendaciones a nivel de usuario:

  • No abrir correo electrónico SPAM, Siempre validar la fuente desde donde viene el correo.

Los atacantes siguen usando correo spam para propagar el mensaje, enviado correos MASIVOS a clientes del Banco y no clientes, fijarse en la cuenta desde donde fueron enviados, en este caso: infopaci@bnacion.com, los atacantes usan un dominio muy parecido al dominio de la institución.

Image for post
Image for post

Sobre el link: Multired Virtual https://take.flyt.it/, el cual ya no existe!!

4. Defacement:

Sistema afectado: Página de Gerencia Territorial local.

Dominio: http://gthc-j.gob.pe/

Día identificado: 28/11/17

Evidencia:

Image for post
Image for post
Image for post
Image for post

Se observa que esta alojado en un web hosting y no tiene los niveles de seguridad adecuados como servicios, puertos disponibles desde internet.

### Conclusiones:

  • Backup, Backup, Backup.
Image for post
Image for post

Bloqueando direcciones IP de China:

Image for post
Image for post

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store