última hora

La FEMP informa a los Ayuntamientos de una alerta informática del troyano EMOTET

Interlineado+- AFuente+- Imprimir el artículo
La FEMP informa a los Ayuntamientos de una alerta informática del troyano EMOTET
Noticias relacionadas

COMUNICACIÓN AYUNTAMIENTO DE CIUDAD RODRIGO


Desde la Federación Española de Municipios y Provincias -FEMP- informa de una alerta de seguridad remitida por el Centro Criptológico Nacional y que afecta a cualquier versión de Microsoft Windows, al objeto de que adoptar las medidas oportunas en los sistemas. Se han detectado varios Ayuntamientos afectados:

ALERTA

Campaña troyano EMOTET

Fecha de publicación: 04/10/2019
Nivel de peligrosidad: Muy alta

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta a su Comunidad de una campaña muy agresiva de ataques del troyano EMOTET contra los usuarios finales. Aunque EMOTET tiene diferentes módulos y funcionalidades, su objetivo en esta ocasión está siendo el robo de credenciales bancarias pero, por su funcionamiento, no se descarta que pudiera cambiar su finalidad.

La campaña comenzó a mediados de septiembre y se distribuye a través de correos electrónicos que tienen un documento ofimático (Word) con macros que, al ser activadas, infectan el equipo. Los correos electrónicos suelen llevar algún asunto genérico para evitar ser sospechoso: “Propuesta”, “Respuesta”, “Privacidad” o “Nueva Plantilla”.

Sistemas afectados

Cualquier versión de Microsoft Windows.

Medidas de prevención

Para prevenir la infección para esta campaña concreta se pueden seguir las siguientes recomendaciones:

Instalación de la herramienta EMOTET stopper disponible en todos los equipos Windows a proteger disponible desde el siguiente enlace: http://ccn-cert.net/emotet2019.
Se deberán habilitar los mecanismos necesarios para que se ejecute tras cada reinicio.
Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática: http://ccn-cert.net/bpmail.
Durante la infección EMOTET emplea la ejecución de macros en Microsoft Word. Se recomienda deshabilitar dicha funcionalidad como principal medida de prevención.
De la misma manera se recomienda deshabilitar Powershell en aquellos equipos en los que no sea necesaria la ejecución de comandos en dicho lenguaje.
El CCN-CERT ha recopilado en 3 listas negras los indicadores que permiten la detección y bloqueo de esta campaña: listas de IP, dominios y hashes de las muestras empleadas. Pueden descargar dichas listas aquí: http://ccn-cert.net/emotet-ioc.
EMOTET puede desplegar ransomware en última instancia sobre los equipos infectados, concretamente se ha observado la familia Ryuk de ransomware. Actualmente no existe forma de descifrar los ficheros afectados por esta familia. Recomendamos la lectura de la Guía de Buenas Prácticas sobre Ransomware que el CCN-CERT ha elaborado: http://ccn-cert.net/bpransomware.

Mantener el Sistema Operativo y el antivirus actualizado

Medidas de detección

Para contrarrestar los efectos de esta campaña, el CCN-CERT recomienda la búsqueda en la red de los Indicadores de Compromiso (IOC). Concretamente se debe realizar la búsqueda en los registros de conectividad (proxy/firewall/DNS) para comprobar si ha existido conectividad con los dominios o IP incluidos en las listas negras (http://ccn-cert.net/emotet-ioc)
Para la detección en los equipos se puede utilizar las siguiente regla YARA: http://ccn-cert.net/emotet-yara.

Medidas de mitigación

Utilizar los indicadores proporcionados para identificar qué equipos se encuentran afectados por la campaña.
Sobre dichos equipos se deberá realizar una copia de seguridad de la información, incluso si éstos han sido cifrados por ransomware y no se dispone de copia de los mismos.
Tras ello será necesaria la reinstalación completa de todos los equipos afectados, es importante realizar este paso y NO intentar limpiar los mismos (ya que la reinfección de equipos es probable si no se realiza la reinstalación).
El Directorio Activo del Dominio ha de ser reconstruido de nuevo reseteando las credenciales de todos los usuarios.

Referencias complementarias:

CSIRTCV
ABUSE.CH
CCN-CERT BP MAIL
CCN-CERT BP Ransomware
Basque Cybersecurity Centre

 

0 Comentarios

Sin comentarios Este artículo no tiene todavía comentarios

Lo sentimos!

Pero puedes ser el primero Deja un comentario !

Deja tu comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados con *

  Acepto la política de privacidad

Información sobre protección de datos

  • Responsable: MASHFE, C.B.
  • La finalidad de la recogida y tratamiento de los datos personales que le solicito es para gestionar tu solicitud en este formulario de comentarios.
  • Legitimación: Tu consentimiento.
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos escribiendo a redaccion@ciudadrodrigo.net así como el derecho a presentar una reclamación ante una autoridad de control.
  • Contacto: redaccion@ciudadrodrigo.net.
  • Información adicional: Más información en nuestra política de privacidad.

 

Banner
Banner
Banner
Booking.com
Banner
Banner
Banner
Banner
Banner

últimos comentarios

Juan
November 10, 2019 Juan

Tu crees...? Eso no es asi [...]

ver artículo
Vecina
November 10, 2019 Vecina

Igual que en confluencia de Conde Foxá con Wetones todos los días coches aparcados en [...]

ver artículo
Manuel
November 09, 2019 Manuel

que atrevida es la ignorancia. La decoración del centro la pagan los comerciantes de cada [...]

ver artículo
Juana
November 08, 2019 Juana

No, el Ayuntamiento solo pone la fachada del mismo [...]

ver artículo