Santiago, 03 de abril del 2019.
Estimados clientes, de acuerdo al evento de seguridad causado por el malware EMOTET, enviamos nuestro comunicado oficial.
Antecedentes del evento:
Durante el pasado viernes 22 la SBIF (Superintendencia de Bancos e Instituciones Financieras) denunció la presencia de software malicioso detectado en los sistemas de algunos clientes pertenecientes al segmento Empresas.
Comunicado emitido por CSIRT:
Tras confirmar la actividad e identidad del software que estaba ejecutando esta amenaza, el CSIRT (Equipo de respuesta ante incidentes de seguridad informática del Ministerio del Interior) emitió el siguiente comunicado:
https://www.csirt.gob.cl/media/2019/03/comunicado-ciberseguridad-2.pdf
De acuerdo a la información del CSIRT, en esta ocasión la actividad del software malicioso se realizaría complementariamente con una vulnerabilidad presente en winrar, por lo que recomienda bloquear este tipo de archivos en el servicio de correos por todo el tiempo que se mantenga la alerta vigente.
Información del malware EMOTET:
Desde el año 2014, el virus Emotet ha actuado en sistemas de todo el mundo como spam, gusano de red, visualizador de contraseñas de email y navegador, así como interviniendo aplicaciones. Puede generar ataques de DDos y robar distintos tipos de datos, hasta poder llegar a convertir los equipos o servidores en propios atacantes.
El malware EMOTET, lleva bastantes años de actividad en los que ha ido evolucionando y mutando en funcionalidades y módulos de descarga. Es lo que se conoce como un malware polimórfico y que hoy en día, está integrado con varias funciones maliciosas debido que consta de varios módulos que descarga de su servidor C&C (Comando y Control).
A esto, debemos añadirle otras características del malware:
. Se propaga a través de la red utilizando diversas técnicas.
. Está en constante evolución.
. Siguen apareciendo nuevas variantes.
. Desde su aparición, no ha dejado de propagarse y de mutar constantemente para evitar ser detectados por los antimalwares.
EMOTET es uno de “los programas maliciosos más costosos y destructivos; la fuerza de este troyano es tal que el Departamento de Seguridad Nacional de EEUU debió lanzar en su momento una alerta técnica al respecto y está considerado como el malware más avanzado de hoy; dicho malware, es capaz de infectar con rapidez a toda una empresa y solo necesita que una persona abra un archivo malicioso adjunto a un correo electrónico.
Distribución del malware EMOTET a través de un correo malicioso:
Fuente: https://www.us-cert.gov/ncas/alerts/TA18-201A
Medidas preventivas específicas:
. Bloquear los archivos con extensiones .rar en el correo corporativo.
. Parchar el software winrar.
. Educar a los usuarios finales.
. Aislar de la red a la máquina que se encuentre afectada.
. Solicitar soporte de especialistas, en caso de detectar equipos con comportamiento sospechoso.
Medidas preventivas generales:
. Educar a los usuarios finales.
. Contar con un software Antimalware corporativo actualizado.
. Contar con un NGFW o NGIPS, con todas sus funcionalidades de seguridad activadas y actualizadas.
. Contar con un control de navegación tanto en contenido como en seguridad.
. Contar con un Antispam.
. Mantener actualizados y parchados todos los sistemas operativos.
. Mantener actualizados y parchados todos los softwares.
. No usar sistemas operativos descontinuados.
. Restringir los accesos a los usuarios que se conectan en forma remota a la empresa.
. Segmentar la red y separar los servicios críticos de la red de funcionarios y/o de visitas.
. Proteger el segmento de los servicios críticos, con elementos de seguridad para ese fin.
. Contar con un protocolo corporativo, para eventos de seguridad.
. Realizar periódicamente análisis de seguridad o vulnerability assessment enfocados en la infraestructura de seguridad.
Links relacionados:
https://es.wikipedia.org/wiki/Emotet
https://www.us-cert.gov/ncas/alerts/TA18-201A
National Vulnerability Database relacionado:
CVE: CVE-2018-202500
https://nvd.nist.gov/vuln/detail/CVE-2018-20250
Contáctenos a: soporte@tecnovan.com
