Peru, Últimos Incidentes de Seguridad

  1. Ransomware tipo 1:

Día identificado: 17/12/17

Sistema afectado: Windows Server (no se ha tenido accesso a la versión)

Archivos alterados: (to get password email id *id* to *email*!!).exe/.rar

Ejemplo: NombreArchivo.doc(!!to get password email 123456791 to brcode2017@gmail.com!!).exe

Otros correos electrónicos: brcode2017@gmail.com, brcodes17@gmail.com, eucodes17@gmail.com, uscodes17@gmail.com, brcodes16@gmail.com, mxsecinfo@gmail.com.

Monto de recuperación por el Ciber delicuente: US$ 4,000 por ID, obviamente NO se recomienda pagar el rescate.

Recuperación: A la fecha no se tiene un proceso de recuperación bajo este tipo ransomware.

Recomendación: Backup, Backup, Backup; generar backup de la data más importante de la empresa hacia una unidad externa y probarlo frecuentemente. En paralelo seguir con las recomendaciones de seguridad que abajo se detallan.

Sin embargo haciendo búsqueda en Internet encontramos que probablemente lo catalogan como:

2. Ransomware tipo 2:

Día identificado: 07/12/17

Sistema afectado: Windows Server y Workstation

Archivos con extensión: “.arena

Recomendación:

  • Backup, Backup, Backup. Sacar Backup y probarlo mensual.

Recuperación:

3.- Ramsonware tipo 3:

Día identificado: 30/11/17

Sistema afectado: Windows Server 2012 R2

Screenshot:

Solución: Guía y recomendaciones para el ransomware “Petya”.

  • Actualizar el sistema operativo y aplicaciones que tengas en el servidor o PC, Actualización de seguridad (MS17–010) para todas las plataformas, desde Windows XP a Windows 10.

Para Windows Server 2012 R2 y Windows Server 2016: Método de Server Manager para deshabilitar SMBv1.

  • Para Windows 8.1 y Windows 10:
  • Aplicar segmentación de red dividir la red de servidores (Base de Datos, SQL Server, Oracle Server, Web Intranet, SAP Server, SAP DB, File Server, etc) de la red de usuarios, y de la red de invitados como el Wifi.

3. Phishing Bancario:

Entidad afectada: Entidad financiera estatal que provee servicios financieros.

Día identificado: 29/11/17

Screenshot:

Recomendaciones a nivel de usuario:

  • No abrir correo electrónico SPAM, Siempre validar la fuente desde donde viene el correo.

Los atacantes siguen usando correo spam para propagar el mensaje, enviado correos MASIVOS a clientes del Banco y no clientes, fijarse en la cuenta desde donde fueron enviados, en este caso: infopaci@bnacion.com, los atacantes usan un dominio muy parecido al dominio de la institución.

Sobre el link: Multired Virtual https://take.flyt.it/, el cual ya no existe!!

4. Defacement:

Sistema afectado: Página de Gerencia Territorial local.

Dominio: http://gthc-j.gob.pe/

Día identificado: 28/11/17

Evidencia:

Se observa que esta alojado en un web hosting y no tiene los niveles de seguridad adecuados como servicios, puertos disponibles desde internet.

### Conclusiones:

  • Backup, Backup, Backup.

Bloqueando direcciones IP de China:

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store