En consideración de la infección de ransomware acaecido en el conglomerado de retail Cencosud la tarde del día viernes, Widefense ha tomado los resguardos necesarios, realizando un constante seguimiento como parte de la campaña de protección frente a los constantes informes de ataques de ransomware informados por distintos CERT.
Ransomware Egregor y el modelo RaaS
Egregor es uno de los últimos ransom que también se ha asociado con el modelo Ransomware-as-a-Service (RaaS), el cual se basa en la venta o alquiler de kits de malware a personas o grupos que desean organizar ciberataques por empresas en la Dark Web.
Según fuentes, el vector de infección inicial y el mecanismo de propagación aún se desconocen, pero se anticipa que el ransomware Egregor puede infiltrarse a través de archivos adjuntos o enlaces en correos electrónicos no deseados.
CSOC Widefense – Medidas de refuerzo
Hemos reforzado nuestro monitoreo y servicio de ciberseguridad, notificando a todos nuestros clientes con el fin de mantenerlos actualizados de la información relevante asociada a esta amenaza. Entre las medidas tomadas, destacan:
Investigación constante de nuevos indicadores de compromiso que tengan relación con esta amenaza; realizando la carga preventiva. Cabe mencionar que esta acción se realiza en forma paralela a disponer de la validación de los fabricantes respecto a la detección de la amenaza, con el objetivo de anticiparnos a situaciones de potencial riesgo.
Ha sido reforzado el nivel de seguridad en las plataformas administradas.
Se ha reforzado la detección de eventos de correlación que estén asociados a propagación de una amenaza y/o incremento de detecciones.
Mantenemos reglas personalizadas que correlacionan los eventos con el objetivo de detectar posible actividad relacionada a ransomware.
Refuerzo del monitoreo de actividades sospechosas sobre las conexiones a los puertos TCP/UDP 135 y 445.
Recomendaciones
Recomendamos a todos nuestros clientes generar y/o mantener las buenas prácticas recomendadas frente a este tipo de ataques:
Mejores prácticas de red
Parche los sistemas operativos, el software y el firmware tan pronto como los fabricantes publican actualizaciones.
Verifique la correcta configuración de cada versión del sistema operativo para los activos para evitar que surjan problemas que los usuarios locales no puedan solucionar debido a que la administración local está desactivada.
Cambie periódicamente las contraseñas de los sistemas de red y las cuentas y evite reutilizar las contraseñas de diferentes cuentas.
Utilice la autenticación multifactor siempre que sea posible.
Desactive los puertos de acceso remoto RDP no utilizados y supervise los registros de los activos.
Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso teniendo en cuenta los privilegios mínimos.
Mantenga abiertos solo los puertos que son necesarios y audite sobre ellos.
Identificar activos críticos como servidores de bases de datos; cree copias de seguridad de estos sistemas y guarde las copias de seguridad fuera de línea desde la red.
Configurar soluciones antivirus y antimalware para que se actualicen automáticamente; realizar exploraciones periódicas.
Implementar la segmentación de la red. Por ejemplo, los datos confidenciales no deben residir en el mismo servidor y segmento de red que el entorno de correo electrónico.
Establecer autenticación, informes y conformidad de mensajes basados en dominio (DMARC), correo identificado por clave de dominio (DKIM) y marco de políticas de remitente (SPF) para su dominio
Mejores prácticas para concientizar al usuario
Centrarse en la sensibilización y la formación. Dado que los usuarios finales son el objetivo, informe a las partes interesadas de las amenazas, como el ransomware y las estafas de phishing, y cómo se entregan. Además, brinde capacitación a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades de seguridad cibernética emergentes generales.
Asegúrese de que los usuarios sepan a quién contactar cuando vean una actividad sospechosa o cuando crean que han sido víctimas de un ciberataque. Esto garantizará que la estrategia de mitigación establecida adecuada se pueda emplear de manera rápida y eficiente.
Prácticas recomendadas para mitigar ransomware
Realice copias de seguridad periódicas y proteja con contraseña las copias de seguridad.
Implemente un plan de recuperación para mantener y retener múltiples copias de servidores y datos confidenciales o privados en una ubicación segura y físicamente separada.
Indicadores de Compromiso conocidos hasta el momento:
IP
185[.]238[.]0[.]233
45[.]153[.]242[.]129
91[.]199[.]212[.]152
217[.]8[.]117[.]147
Dominios
*egregor.top
sekhmet*.*
ozcsgqmpjwromp[.]com
wsjlbbqemr23[.]com
xjkwkzdyfcabhr[.]com
fvkmmwlzvsqdod[.]com
dmvbdfblevxvx[.]com
tczzzlwpss[.]com
txvzmlfzlklhtf[.]com
xtngmptkcqk[.]biz
ihvxmjmdvbn[.]biz
qukqkdcjriz[.]ws
mtafdrvjmif[.]com
kcijbcqvdfv[.]org
tnlttlmxuhc[.]com
txmxffytum[.]biz
vjzwvzjmoc[.]com
ktmjqztagkm[.]org
saalzvhzgkk[.]cc
bvhtxgzwob[.]cc
vrfgwwcesy[.]org
uozwtmgpogg[.]info
qammsjskgkm[.]cc
jfbmnpxgpi[.]ws
hvwvrxpinnv[.]cn
mshrgnslzmqobm[.]com
twcdkhmttfeipv[.]com
Protección con Widefense
En Widefense contamos con soluciones de última generación que te pueden ayudar a resguardar tu organización frente a ciberataques.
WSyngular:
Simplifica la gestión y entrega una ciberseguridad silenciosa, en donde los usuarios navegan seguros sin preocupaciones de sitios o enlaces maliciosos. La protección dinámica de WSyngular incluye: Navegación Segura, Protección Antimalware y Prevención de ataques dirigidos. Es fácil de instalar y no requiere conocimiento especializado.
Además, tiene lo mejor de cuatro grandes marcas de ciberseguridad combinada en un solo producto, como lo son:
Smart Response: La configuración especializada automatiza la respuesta a las amenazas, mientras la inteligencia artificial enriquece la protección y la ajusta al riesgo y el comportamiento de cada persona.
Secure Browsing: Desde su primer acceso a Internet los usuarios son protegidos por WSyngular y se mantienen seguros mientras acceden a todo tipo de páginas y sistemas.
Threat Hunting: WSyngular se centra en la estrategia de prevención, detectando y eliminando permanentemente las amenazas avanzadas que evaden otras soluciones de seguridad.
Zero Malware: La inteligencia artificial del software de seguridad informática WSyngular mantiene los computadores libres de malware. Diseñado para prevenir la ejecución de código malicioso, inmuniza los sistemas aún en las condiciones más exigentes.
[Solicita una demo gratuita aquí]
Conéctate sin miedo
Vive la ciberseguridad sin miedo. Conversa con uno de nuestros especialistas de ciberseguridad en contacto@widefense.com, agenda una asesoría en (+562) 2816 9000 o escríbenos vía WhatsApp al (+56 9 7569 9259).
Además, nos encuentras en Instagram y Facebook como @Widefense.
Fuentes:
https://blog.segu-info.com.ar/2020/11/nuevo-ransomware-egregor-cencosud-jumbo.html