TLP: White
Nivel de riesgo: [Crítico]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red, correos phishing.
Impacto: La infección exitosa de un equipo con este programa malicioso puede ocasionar que un usuario malintencionado cifre la información de la organización.

Descripción

Expertos en seguridad han identificado una campaña maliciosa relacionada con un programa del tipo ransomware denominado “MedusaLocker”. El programa malicioso fue identificado por primera vez en septiembre de 2019, y ha estado afectando a dispositivos a lo largo de todo el mundo. Hasta el momento, se han identificado diferentes variantes relacionadas con este programa malicioso, sin embargo, la mayor parte de la funcionalidad de este sigue siendo la misma, no obstante, ha habido cambios en la extensión del archivo utilizado para cifrar datos y en la nota de rescate del mismo.

Una de las primeras funciones que realiza MedusaLocker es hacer una copia en la ruta “%UserProfile%\AppData\Roaming\svchostt.exe” para crear una tarea que inicie el programa cada 30 minutos. Posteriormente, antes de cifrar los archivos, MedusaLocker realiza los siguientes pasos:

  1. Reinicia el servicio LanmanWorkstation, con el fin de asegurar que la red de Windows se esté ejecutando y, además, que las unidades de red del sistema sean accesibles.
  2. Crea en el editor de registro del sistema, “Regedit”, un valor “EnableLinkedConnections” en “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”. Con esto logra que todas las unidades de red disponibles estén completamente accesibles, incluso en un proceso iniciado por el UAC (Control de Cuentas de Usuario).
  3. Busca y cierra algunos procesos, como son: Wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, SQLADHLP, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, wxServer.exe, wxServerView, sqlservr.exe, sqlmangr.exe, RAgui.exe, supervise.exe, Culture.exe, RTVscan.exe, Defwatch.exe, sqlbrowser.exe, winword.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe, QBCFMonitorService.exe, axlbridge.exe, QBIDPService.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, 360se.exe, 360doctor.exe, wdswfsafe.exe, fdlauncher.exe, fdhost.exe, GDscan.exe, ZhuDongFangYu.exe. Con ello logra que cualquier archivo que estuviera directamente abierto por algún programa, o bien, se esté ejecutando en segundo plano, quede completamente cerrado.
  4. Posteriormente, MedusaLocker borra los registros presentes en “Shadow Volumen Copies” (servicio de Windows para la creación de copias de seguridad, instantáneas de archivos o volúmenes de computadora, incluso estando en uso) para que no puedan ser utilizadas en la restauración de archivos. Del mismo modo, elimina las copias de seguridad existentes creadas con Windows y deshabilita la reparación de inicio automático del sistema.
  5. Finalmente MedusaLocker realiza una búsqueda en las unidades del sistema localizando archivos que pueda cifrar, omitiendo aquellos que tengan las siguientes extensiones .exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted. También pasa por alto el contenido de los directorios: “USERPROFILE”, “PROGRAMFILES(x86)”, “ProgramData”, “\AppData”, “WINDIR”, “\Application Data”, “\Program Files”, “\Users\All Users”, “\Windows”, “\intel”, “\nvidia”.

De acuerdo con la variante del ransomware, los archivos son cifrados con una extensión diferente: [.]encrypted, [.]bomber, [.]boroff, [.]breakingbad, [.]locker16, [.]newlock, [.]nlocker, [.]skynet, utilizando el método AES, y la clave de descifrado, a su vez es cifrada con una clave pública RSA-2048 incluida en el propio ransomware.

Cuando termina el proceso de cifrado, este ransomware se pausa durante 60 segundos y después escanea nuevamente las unidades de disco y de red en buscando nuevos archivos por cifrar.

Es importante mencionar que MedusaLocker es capaz de realizar un escaneo en la red para identificar otros sistemas con el protocolo SMB activo y cifrar otras unidades. Hasta el momento, se desconoce la cantidad de criptomonedas solicitadas por el rescate, y además, no se ha hallado una forma efectiva para descifrar los archivos relacionados con este programa.

Finalmente, cabe destacar que en cada carpeta donde se haya cifrado un archivo, MedusaLocker crea un documento a modo de “nota de rescate” con el nombre de “HOW_TO_RECOVER_DATA[.]html”, el cual contiene dos direcciones de correo electrónico para poder contactar y obtener las instrucciones de pago para el descifrado de los archivos. Una pequeña fracción de la nota de rescate relacionada con MedusaLocker es la siguiente:

All your data are encrypted!
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
sambolero@tutanota[.]com
If you will get no answer within 24 hours contact us by our alternate emails:
rightcheck@cock[.]li […]

Nivel de riesgo

  • Crítico

Sistemas/tecnologías afectadas:

  • Sistemas operativos Microsoft.

Indicadores de compromiso IoCs

A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.

  • SHA-256
    • 0057E3EEB63DC437FD587F6786665FE6CDA739029CC4039720524A90166F6555
    • 00EBD55A9DE1FCDD57550D97463B6BC417184730E3F4646253BA53C4B473B7C0
    • 02F250A3DF59DEC575F26679EBD25DE7C1D5B4D9D08016685F87A3628A393F92
    • 03DF9DBF3FA35B88D948935E122A0217228ED7D1D3C892265791B55E38FAE24C
    • 03EBE8DC4828536FEA08858FDFC3B53237EB514FE8CF6BC7134AFB41B22F96A2
    • 0432B4AD0F978DD765AC366F768108B78624DAB8704E119181A746115C2BEF75
    • 0655322FD8A59A7F35F9D2E29159381F637DDAC9F344E9406889B6F3BE4683EA
    • 09669EBEBA0ED4611E0CBF91A25AC6D174D3D45AD934B1343AEF0329DD62DF8F
    • 0A82724CFB44769E69D75318B0868CD6DE4AA789951362B3E86199E6C7922610
    • 0BAD6382F3E3C8BF90F4A141B344154F8F70E31A98F354B8AC813B9FCDAF48F7
    • 0C840606112DF18BFA06D58195A0ED43715C56899445D55F55BC3789FDE14ED9
    • 0D66B419BDAB15DCA3E2D6C260E0F6DCAD857E06299828A1A8F5287C64C12A50
    • 1215F5C8C2D1B4CE8F120FE3C84061AAD2C1F8A65BF131B4FE91519E4DD31FCC
    • 124C65D01C6BA01DEAD43E246AE4C300D7345C8F46AE71EBF101BEF5510F35AA
    • 13849C0C923BFED5AB37224D59E2D12E3E72F97DC7F539136AE09484CBE8E5E0
    • 1501C45487915CF84CBD4CE6F8EBDCFA42E6610CB410C0823DEC44CF34FDD064
    • 19FDD96EBE242BB5D1B91DF5FBCF45E75881416D0C20DB5375430694031F0153
    • 1B32F444D33F50BB3A3507F53913ABDF130A742782CEE59651C75F497E797B9F
    • 1D1E8E2BD3F8276F629E315B2AC838DEAAC37F3B61CEB780A58F7DB611CF9669
    • 203B947A8D5016B98D5EC565CD0A20038203420B56C9C3CE736529282C7E98EC
    • 21ACD48A82D4A0E9D377930220E384BC256EAAAF9457A45553636C9F63AE6731
    • 21C644438A00FB75FABB577076933A99119E9F07E71EAAB3F7DC6C629860C4C0
    • 23D5E1F304319181ECFE2B4A5E68D74021D46F7455CC29008F4408EA19C4CB5C
    • 2C64F5F2BDE51F7C650078AEEE22A4B73E6B859A7327D0E3DD0D88A17E13DBB4
    • 2D9465975FAF46B3D592C6F06E089794CCA003F50E43F78559342229782BACA5
    • 2F6E2C6F96CD720A1CDF8A0FF51C6456B5700DC2FF38D90459DFD945E7CB2E53
    • 30CD6F1CA0D18D125AF409FAF1B66D3889A12E2F1B42D3270C2EE904F01FE7F0
    • 316A5895965FDEA58DE100355BA1B3A14C0515A40156FC7AB64BDB5D14379888
    • 31B92A2A2A6FCD58FEFA3BF7471911851284CB34E5FF668B99F724C653E3D77C
    • 3226F67009FED8B254B44E712620ED0020FA389B4D4EAE273B5F01EDDCF3F403
    • 326E08FB7CC034BEC055C074FED5CE475B5D99759C1F1E96E233854CEF0B103A
    • 3592C9268F515EFE1275760A21046A03A3067872FCB3DA7B53477527123C09A7
    • 36BACECCFE27FB8B1BE3D4F0A9E81B9028640AEEDF068D71B3A6D080E698A793
    • 383F9AA52D4D9DDDB396AE22B8713EC524F1C122275DA3EBD5D69D25685F2800
    • 3A5B015655F3AAD4B4FD647AA34FDA4CE784D75A20D12A73F8DC0E0D866E7E01
    • 3B71A640FF55A14C7407CEFF83C31EC4E69654CD29E79F53AE674378E3F97D7C
    • 3D9569D9C08D22FDBFB2C3536D1C2BF7A0E7B64F8556E83144AAD118C3504385
    • 3F7CBFE8C40EC4B599BA7DEA95321C377C1D9F08C56C62B6809157F73774BDE8
    • 40D752497C600BD688BC1CE36A28BFEC544BD68022B9EFEFF50FE8E114B55B1C
    • 42B17E87923CB88B6AE8F0666F963C15614F89FA560E663A84A056957B74BCA1
    • 439B55164BFD60188D68B361E869B743C9B9C50F81EE2D7FBA063794E9F59C5D
    • 446CA24F01FE77F068EBC8CD90B7529E5E7A76305A3DB12B84E8C21117C43A39
    • 44CB88C5249DE0FE7DBBB9FEB782F1D0327301DD6EC31810516BDFA79CC689BB
    • 45031B48FD957C9FF863B805684CACEB21CAF23F1CFFADE15915E88BD009C347
    • 45AEAFFA5A8E2124E8C35E7A0E8F055FB6BB5DED8A210AFD2D7FB30DCFC1F91D
    • 461F427D71D6E2E2320ED5F8E6160D6BEE23A98FF929D8D8B7567DCC6118D937
    • 4679460367675781E721E99B187160146736BF5023E50A9731EB700705EE1E58
    • 4937C5750EFCE178E2ABAA5107FAB12122E444FF85DBA666CB33003C15829695
    • 4976CE901F091D0A257ADFC2ACADF593A1B6593AA51A5949BF914C20D1B8E626
    • 49DA42D00CC3AD6379EAD2E07FD5F09BD358B144A6E78AAD4BB1A8298E2BB568
    • 4B889D9C4BCA4AB17A918CB64A1BA0D2E599A4F9A16A14D752C4E1D8352FE61F
    • 4CCC3A7C6B18DB6F7251C447E19E24C9DDE30A45E78D283ED367F6F0165C2FB1
    • 4CF090E3AE23EA6CBE76DF697BF7143BCC95ACFC1521FBE5AF77CB5033FAE87A
    • 4E66BEEA844C41EA0F5BA518F074A60D937A8F4EF5D09BD42C6D9ED15FA8232B
    • 50A334FF766B053DEE01EE1E410EEBC5A24144517C59F9317EC47BE9B70F6C48
    • 56DEA1387925E4E5EB3673C8656CE5366A74D5F105A590AE321AC3B233E12B50
    • 588A40E5D53016B2261E08229943063A71B40F034B998361C075BF7B8D5245FE
    • 590EA5FA2DB24715D72C276C59434B38D21678D6DCABB41F0E370F6DC56AB26B
    • 5950F7B8BB310671528EEEF934C532903A48D3D6FD80D03F1988F0807531001C
    • 5A5975CB3CAD1897786E2226D1605301F10A82C3EC53D90F7CD442DB3329564C
    • 5AA810E4891538670CC0DB6274B7276ABE84E8CCBBAEF1D3B1208B9AD419A9FA
    • 5AC1A43ADB1D5D693D2D9DCFF0A0D82873E21A20E7D76D5C698E688DDE7C6BFA
    • 5B7CA58A5439E639951DC045415AD71796D902039B879336C7536E3813CDF8DE
    • 5C599177F8C885CD9B4836107FE980F2CF67C3827D51197CE9AC1457B7917401
    • 5d4abf7721e27760bcac238c05ade2ccc5ee4a842ad3b488462b156a26c34407
    • 5E0587E61D94A40091480A2F5F78621362265B8702B3558A0DB536693159865F
    • 613F0384286BF9956143E5CD7F885CC9B2CF30ACAAB2FE67A891FF26AAA162FC
    • 614EF75F5D94B833B4E0C6CC329EB0BE9FB05AD3FC5E8B4A1299A6721D71EECF
    • 64036439D8424D555DE926EDCDB94BE77B54E38B79B05752E1C14617C1119454
    • 6B9CA4CBB68F23E164625614D9D074B7BB9E2C5AEB429034ED4D6440594CE64E
    • 6C7EDA3F5E9BBC685B0EEFDE2A51F0CCB06AD33805E617876A5124410CAC9945
    • 6CD65E5FCA2EC394954EBF2881F610E8727A9CBEEA624CDDFB37A5B8AA1A6E5F
    • 6E3B77A1131912156C3F65F3B7E8572BD2E02B8BB7180104E8BF36E2E1451D43
    • 6E627A092DF6D198AB7BA19A8F4F237059C602F83F44F8D58F2403BC06CD043A
    • 6EEB8DE811F707EC3B77E212D415F0D79DCA77B564D7738AE36612C457F451CC
    • 6F95B95D4C03CFBABEBF355D2E302A243EB3B3D227CF06D9184FC9C1AFF54178
    • 7143EDF164D55F36E514D78CF6A026B6777A3105752EBB86A660C67821A63D1E
    • 71A4E701874C1A8E6BBDDA79038B08B2FD36015A575FE167632EB629060B416
    • 72F9D83C7852F2247E24113CB379FFF71C06F095910726EA79479F16AAC6070F
    • 737648BF456A93FCCA84295EE0C735A71B2C98120CAB0E98C5B940E3FD75E451
    • 74CFE9DEB35D57BBA5FB7119AB1C07637DD90D2E27FC38C341D5422B4763D90D
    • 7B7CCE10967D657B7AD0A66270DFEE7000DAC8ACA2E39199C9713A4EE42279C2
    • 7DC751629D80EBBCB18FC08AB90C8503825898A591F2C9FBB0D0145173C646F9
    • 80F765C763CA57ECAAFF8FDB37DFBD0A577EEDA1D74456A8645517576E617B81
    • 85361265E3F97A280FD2950B49023F8CFCB204A55BEDF8BA467F078A6E3C45E0
    • 853F52243FFDB3D14C9657B923E8D6EF6ACCF14C43A758E47E0DF33E775883A6
    • 85E84BC2EEAB7076BEF9E347767A3491D32C3DB1B79DD3341C4B2AD99BAD6C64
    • 897737252CE8E474774548B99C9BB5FC52484FE51DF8E5D87945186ADF7A5DD5
    • 8B80A84B2A0A5A5F9670A951492749C3798C9F4D41589872224D57D41913FB46
    • 8C2DCE63957579F99A0E8C71755BD8A69298A4621D7B8984B06B69ED874F8D26
    • 8DA6436EF4376EC2A2A9DBEFE2EF2F782925842EEF665A4A6279E08411CCBCAD
    • 8E60F8AF3D15984ADE5527AD187BF740D1B0735E2AC6C05C27C46D579D39513F
    • 8F0F50FA1AD8E3922B8C10E76AC8AC970EBED56C4FD9EBB2BBF40088CDA7F1B3
    • 8F902D3901AE7F811678DBC71D87F04A0E27498FB9DA18D0EC3CF68D619BF84D
    • 930F1C048DEDDBFE067C50EA24A6DB82BA79C728E0ECD2A436E7DC3772D62202
    • 959C650E9B8E2B003D81E042DE8F4F81C7671437124D74136D5EC26F32A72437
    • 989408F2692A10B011471FBBDF55D9CCC8E438308393B35736FE02B45EC8C34C
    • 990594D6FB510DA51158DA683CB1CD57F1A00DBD9FF25725040AD7A9A6141187
    • 9C7008F98F63699807B6CE8F62D438FE15C3F2DF6F7BAC26B5F20A018559C139
    • 9CA1D2E2B96EB9286A2CCAE67E4DF23B072AC7ADFAEC5679E60288460260A5D8
    • A0FF2C622C32E05AEF8E7FB2E36B693AECC8CC04E049D3B47C0E0CB50D3AB575
    • A18FE0C257ADA1E2E34298ED4F657106D8D7FFB6E56F03932A4189C3A959841D
    • A5AF5ECBAB3ABA20B187245FB80ABC29ACF1EB94E464311AEC8F62C8E02C792F
    • A5D1100DC3AEC0A962CD2FF1A00CCB3EDC503139DE228467B8A1BD31AB1E4A1D
    • A6CC8BD23BBAFD0B356404EB24B50236815A03ABDFCF8D280DBEDD5C45BF6282
    • A96815920693DB2588E64038F10C17BB3C109DE086CEDFFD041CAC352820BA89
    • A9787581BE4C667438A07A060137D6A83ABCC2D1E33EEF1086622DECE56BB48F
    • A9CE91A9A1BCBE2CD2EC023CDF2F302C8AC4F6BFE04E83A9C4EDD1C47B53618E
    • AB0BECED52CAEBD816EE2088BF78B5A4A97F4AFEA994156A2D314A5C99E88CA8
    • ABF9A2DE38F28C4FCC4472A71E629452F144F73E56C9620CD2B05DBE4AC9A542
    • AE8E02D15C9B45A751E4E7F177F27F5BA7663FE6EC4B53CC68A6C1F5C2A3CFD9
    • B54358907C603CD9933D30B2D88791336486CFEA508DB0EDA45F367B79F23F92
    • B561A5D5BB5CF659F7F23FD833244A61031BC5C5E69972B22F4FF5C495A44203
    • B6214517043D1B0BC41F9754F851A905C5AC4AF30E30A7C0725A93BFCC063374
    • B929EA73A47347636C2C1148720C87EF974FB101C831F71FFD28943FA20EB55F
    • BB4D0F67360858A27DA21D79BF93B5C628045883712C3C2E10917BEBF6771C44
    • BBFFCD873B5FC74C4B15D3E906167068C968E5B0A7149775D42F9F7DCF057742
    • BCFC1CC0E68409404C81F3D30C7A730C62693CCDD62424115C34CF3E35B25805
    • BD1C7D8E9D02E9A637290E15755B3C1644BBFD755F016C1552EA977C394C04FD
    • BF62531E22B99B2757C777B7AC88D036061A44D78C095242136A23405A72EBBF
    • C01323AAE6C62466BDA8E6347E64266C725E6A754B06D4FC4AAD1C323D3E21ED
    • C632CE1DC34111C66EFB817F608BF3B547FC9DF5FED478D736B4C53A41BA193E
    • C7BA33D4EF49B5DD0E6AD4A17BB04733DB4832C5EF6BC07DA51A0A4FFD7D831F
    • CA9A44B15169B136D6A321C425DB5D2BB15A448B840024EB30F01B47F8E1CF00
    • D0D8628B44DA07AAAC7D2BC0287897B2ABAEAAEDED1D62CDEBB6B71078D82E3E
    • D55D96FD1F7DE8708506D20757975144B9F68D3A7511A1883538498FCDE03227
    • D57CFB4532C61BB54989B639533DBFB594DDCEFE0DACB9143BAE6CB791D64A56
    • D6223B02155D8A84BF1B31ED463092A8D0E3E3CDB5D15A72B5638E69B67C05B7
    • DB11260B9EFF22F397C4EB6E2F50D02545DBB7440046C6F12DBC68E0F32D57CE
    • DDB4776992155B9C5A26B47B53DF2FED780C67B45ECA5CBDF573E0DC3C20C371
    • DDE3C98B6A370FB8D1785F3134A76CB465CD663DB20DFFE011DA57A4DE37AA95
    • DEA283B001D4831F4D1FA3B0B8FBBD5BF3FCE091EB6F95892029F465CD751EC5
    • E09FA0314E538EDC337989B4065A25B07CCBF1F908DEF51B25FAD5A2DF16E7F6
    • E2148660AF56E9FDE27E26AE3DB205CA2D68EF1CAF968E21F498FA94D8B56EF9
    • E86234C97B85A388F5DF0A4900C1902F402210A9F73C26C3F856E25AE61BB80F
    • EA4285821C6292CC0AC5B740D3BC77484858432E29843A729434D48248793D82
    • EBB1738B4908D7DDA95DA08D404684F2EDE2CA8904D752A392F5BC3BB5043423
    • EF39979E9619EE75892F3C238DD464E5876BD2124E923F763D08E352E50226CA
    • F242308183C414A84B9574E0208FBD9BCFFF9E6F329BBD1FA46CD3DE92A15B0E
    • F30ED88AE66EA8F90EC2F437702D7736E64C7FEFDB70CE8B68AEBC7723217B88
    • F31B9F121C6C4FADAA44B804EC2A891C71B20439D043EA789B77873FA3AB0ABB
    • F325804AB5ABC4D08F2D755A0B057E3F39B11F462375AD93FCD800E572D832B7
    • F35A18F35F7A907F049E41860A5CF447792153972A24CBFAD0431978AEF1F611
    • F5E26F3E00A60F7DF8595998F608923325F020C275442375856B921188F4D1FA
    • F7FAC370FF01836FD82E68A9B95372F612785087821EBD8FB89FE1DCF7122B22
    • FF6AC7F88558B5A78EDDD8D89FE451EBEB1E68F450D199954345BA692D341B88
  • Direcciones de correo electrónico identificadas:
    • mrromber[@]cock[.]li
    • fartcool[@]protonmail[.]ch
    • sambolero[@]tutanoa[.]com
    • mrromber[@]tutanota[.]com
    • Ctorsenoria[@]tutanota[.]com
    • Folieloi[@]protonmail[.]com
    • rightcheck[@]cock[.]li
    • sypress[@]protonmail[.]com
    • bestcool[@]keemail[.]me
    • tanoss[@]protonmail[.]com
  • URLs relacionadas con esta campaña:
  • Nombres de archivos:
    • svchostt[.]exe
    • HOW_TO_OPEN_FILES[.]html
    • Advanced Port Scanner 2.4.2750[.]exe
    • d_upd1008[.]exe
    • fix[.]exe
    • NetworkShare_pre2[.]exe
    • b[.]bat
    • n[.]exe
    • NetworkShare[.]exe
    • kamikadze/32[.]exe
    • kamikadze/64[.]exe
    • kamikadze/64_log[.]txt
    • kamikadze/dump[.]bat
    • kamikadze/mimidrv (2)[.]sys
    • kamikadze/mimilib (2)[.]dll
    • kamikadze/86_log[.]txt
    • kamikadze/mimidrv[.]sys
    • kamikadze/mimilib[.]dll
    • qzx[.]txt
  • Rutas del sistema de archivos:
    • C:\Users\****\AppData\Local\Temp\qzx[.]ps1
  • Llaves de registro:
    • HKCU\SOFTWARE\Medusa
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ –>EnableLinkedConnections = 1
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System –> ConsentPromptBehaviorAdmin = 5
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System –> EnableLUA = 1

Medidas de contención

  • No abrir documentos cuyo origen sea desconocido y/o sospechoso.
  • Verificar el remitente de cada correo electrónico antes de realizar la descarga de cualquier documento adjunto.
  • Deshabilitar la ejecución automática de macros en documentos Microsoft Office.
  • Identificar los equipos internos que hayan podido realizar algún tipo de comunicación con los indicadores notificados.
  • Mostrar extensiones para tipos de archivos conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de archivo.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura: IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Aplicar una correcta seguridad perimetral e introducir los indicadores de compromiso proporcionados.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Utilizar una solución efectiva de filtrado de programas maliciosos y antispam.
  • Realizar copias de seguridad de manera periódica de la información crítica de la organización y mantenerlas aisladas y sin conectividad con otros sistemas.
  • Aplicar las actualizaciones de seguridad de forma regular en dispositivos de hardware y software.
  • Limitar el uso del protocolo SMB cuando no sea necesario.

Referencias