Alerta: Ransomware BitPaymer
Desde diversos medios se advierte de una campaña muy agresiva del Ransomware «BitPaymer» que esta afectando a importantes empresas Españolas.
Adjunto detalle de la incidencia publicada desde el Blog Segu-Info
Varias empresas españolas infectadas con Ransomware (Cadena SER, Everis y Prisa Radio)
Desde Hispasec nos advierten de la vulnerabilidades tanto de Microsoft Teams como de Google Chome
Tambien desde el mismo medio se advierte de un 0-day en Google Chrome que está siendo explotado
Vulnerabilidad en Microsoft Teams permite la descarga y ejecución de paquetes maliciosos
Desde el grupo de seguridad ITS se recomiendan una serie de medidas a fin de mitigar este tipo de riesgos.
MEDIDAS A TOMAR:
- A NIVEL PERIMETRAL:
- No disponer de ningún servidor RDP publicado a internet.
- No disponer de ningún servicio SMB expuesto al exterior.
- Si es necesario proporcionar este servicio, usar redes VPN para dar acceso a terceros a estos servicios y siempre limitando muy bien los orígenes y los destinos de las conexiones. El uso de equipos de salto o pasarelas pueden ayudar mucho en estas labores.
- Dado que se expande mediante el mismo protocolo, se recomienda limitar este acceso entre las redes de la organización. Además, si se dispone de Firewall en los propios servidores, se recomienda cortar o, en su defecto, limitar las conexiones permitidas para estos servicio en los propios servidores.
- MONITORIZACIÓN Y PROTECCIÓN DE SISTEMAS:
- Se recomienda monitorizar tráfico RDP o SMB no autorizado.
- Se recomienda deshabilitar los equipos de Microsoft Teams en los equipos corporativos.
- Se recomienda tener todos los equipos, especialmente aquellos expuestos a internet, al último nivel de parcheado.
- Se debería impedir la ejecución por directiva de dominio de comandos de POWERSHELL.
- Para evitar afecciones en usuarios con privilegios, se recomienda restringir el acceso a usuarios administradores en equipos locales y el uso de administradores locales diferentes en cada equipo, por ejemplo mediante LAPS.
- Por último, se recomienda realizar un comunicado interno indicando la situación actual y que todos los empleados tengas especial cuidado en la apertura de correos o mensajes de Skype o Teams.
Si normalmente debemos de estar atentos, en en este caso debemos de extremar nuestras precauciones.