Ransomware afecta a empresa de Telecomunicaciones

Publicado hace 10 meses 24-10-2023

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) del Ministerio del Interior y Seguridad Pública fue notificado por una empresa de telecomunicaciones de Chile, sobre un ransomware que afectó parte de sus plataformas IaaS durante la mañana del lunes 23 de octubre.

De acuerdo a lo informado por la institución afectada, revisaron sus plataformas IaaS de forma exhaustiva, para analizar el incidente e impacto.
Para las instituciones con servicios IaaS se recomienda las siguientes medidas preventivas:
•Realizar un escaneo completo a su infraestructura con antivirus.
• Verificar que no exista algún software sospechoso en sus sistemas.
• Revisar las cuentas existentes en su servidor y confirmar que no se hayan creado nuevas cuentas.
• Analizar el rendimiento de procesamiento y discos duros para asegurarse que no esté alterado.
• Revisar si hay algún tipo de variación en la información o fuga de datos de la empresa y sus bases de datos.
• Revisar su tráfico de red.
• Conservar un registro actualizado de sus sistemas para garantizar un monitoreo efectivo.
• Restringir el acceso a través de SSH a servidores, solo en caso estrictamente necesario.

Así mismo los siguientes indicadores de compromiso ya se agregaron a nuestro sistema:

SHA256 Nombre Archivo Descripcion
58c20b0602b2e0e6822d415b5e8b53c348727d8e145b1c096a6e46812c0f0cbc log.dll Ransomware DLL
5822b7c0b07385299ce72788fd058ccadc5ba926e6e9d73e297c1320feebe33f TmDbgLog.dll Ransomware DLL
43a3fd549edbdf0acc6f00e5ceaa54c086ef048593bfbb9a5793f52a7cc57d1c u.exe Vector de ejecución (TrendMicro AirSupport)
3476f0e0a4bd9f438761d9111bccff7a7d71afdc310f225bfebfb223e58731e6 d.exe Vector de ejecución (BitDefender Update Downloader)

Cabe destacar que los programas u.exe y d.exe detectados en las máquinas infectadas son aplicaciones legítimas de distintos antivirus. Sin embargo, el atacante aprovecho vulnerabilidades existentes en ellas para la carga lateral de las DLL maliciosas.

Recomendaciones:
Contar con usuarios con el mínimo de privilegios y realizar copias de seguridad de forma regular, almacenándolas en diferentes lugares y medios.

Referencias:
https://www.csirt.gob.cl/alertas/10cnd23-00115-03/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

PoolParty Injection
Publicado hace 9 meses 12-12-2023

La nueva técnica de inyección de procesos llamada "PoolParty", presentada por primera vez en la Black Hat Europe 2023, descubierta por investigadores de SafeBreach y analizada a fondo por Alon Leviev, consiste en un conjunto de ocho técnic......

Medusa Ransomware
Publicado hace 9 meses 11-12-2023

¿Cómo Trabaja? Obtiene un acceso privilegiado a los sistemas a través de protocolos de escritorio remoto (RDP) vulnerables y campañas de phishing engañosas. Una vez que infringe un sistema, Medusa emplea PowerShell para la ejecuci&oac......

8Base Ransomware
Publicado hace 9 meses 06-12-2023

A principios de mayo del 2023, el grupo 8base como parte de su modelo de extorsión incluía un blog en TOR donde publican las empresas que han sido víctimas de su ransomware, este blog se encuentra disponible publicamente en la darkweb. Cabe destacar que, aunq......

BOLETINES RECIENTES

...
PoolParty Injection
Publicado hace 9 meses 12-12-2023
Leer más
...
Medusa Ransomware
Publicado hace 9 meses 11-12-2023
Leer más
...
8Base Ransomware
Publicado hace 9 meses 06-12-2023
Leer más