Jesús Amorós CCR (curiosidades, consideraciones y recomendaciones)
Hola a todos, recientemente ccn-cert ha publicado el último informe sobre el ramsomware Ryuk, muy posiblemente es el ramsomware que ha afectado al SEPE, a muchas empresas y organizaciones antes.
Destacar que es una evolución de un ramsomware más antiguo con nuevas capacidades de descubrimiento de equipos vecinos y con un modus operandi modificado respecto de su origen.
En este ocasión el software ha sido modificado para encriptar con una clave distinta a cada objetivo (organización) lo que complica el caso ya que si una organización afectada consigue la clave o como desencriptar los datos no servirá para el resto de organizaciones.
Todos en mayor o menor medida hemos visto la noticia del SEPE, sin entrar en opinar, espero que lo recuperen cuanto antes y seguro que saldran muchas lecciones aprendidas, que eso es lo que de verdad es importante aprender de los incidentes.
Os dejo un resumen del informe publicado por el ccn-cert
- Curiosidad: No cifra el directorio de C:/ Windows como muchos otros ramsomware.
- Curiosidad: No cifra archivos con nombre xxxChromeyyy.txt xxxMozillayyy.txt.
- Curiosidad: No afecta a usuarios localizados en Rusia, Ucrania o Bielorrusia
- Puede Cifrar tu ordenador, las unidades remotas, los equipos de tu red y todas las redes vecinas si los equipos son vulnerables.
- Ryuk se copia al directorio C:/Users/Public de otras máquinas vulnerables para iniciar su expansión.
- Especial atención a las tareas de windows ya que Ryuk crea tareas schtasks.exe.
- Genera tráfico RPC (135/TCP) para comunicarse con Task Scheduler.
- Recomendación: No tener habilitado Wake-on-Lan.
- Recomendación: Tener segmentación de red y un firewall encargado de inspeccionar el tráfico podría reducir el ataque.
- Recomendación: Desactiva SMB si no lo usas.
- Recomendación: Actualiza o instala antivirus (No son infalibles pero ayudan a detectar anomalías o archivos maliciosos).
- Recomendación: Un Firewall de última generación puede ayudarte a detectarlo o mitigarlo.
- Recomendación: Una red segmentada puede acotar o reducir drásticamente su impacto, esto debería ser combinado con un firewall.
- Recomendación: Mantén tus sistemas actualizados.
- Recomendación: Haz auditorías a tus sistemas.
Una respuesta
[…] Aquí, en mi blog tenéis el artículo original. […]