Comunicat de ciberseguretat en relació a les campanyes

Dilluns, 7 d'octubre de 2019 a les 00:00

de correu fraudulent - Octubre 2019.

S'està produint l'enviament massiu de correus fraudulents amb contingut maliciós associat a una amenaça d'alt risc. Els correus estan relacionats amb el programari maliciós conegut com Emotet. A més d’apropiar-se informació i propagar-se via correu electrònic, Emotet funciona com un cavall de Troia que obre la porta a altres actors. Aquests, al seu torn, solen desplegar programari maliciós per a l’espionatge, la intrusió a les organitzacions i el xifrat d’informació amb el propòsit de demanar un rescat econòmic

Un dels factors que està provocant que aquestes campanyes estiguin tenint un gran èxit és el reaprofitament de fils de correu anteriors compromesos per a guanyar-se la confiança de l’usuari. En molts casos, es suplanta una de les identitats (com a mínim el nom d’una d’elles) i s’adjunten documents ofimàtics amb contingut maliciós via macros. Els correus maliciosos solen ser textos breus i en termes vagues, que aparenten ser la resposta a un missatge previ.

“Pendiente de confirmación del material que necesitáis” o “nueva plantilla” són exemples reals del seu contingut. L’origen del correu sol mostrar-se als clients de correu amb dues adreces, sent la darrera qui envia el correu i normalment desconeguda pel destinatari.

Us recomanem les següents mesures per a fer front a aquesta amenaça:

•  Conscienciació de usuaris: desconfiar dels adjunts que provinguin de direccions

desconegudes o sospitoses. Desconfiar si un missatge té dues direccions diferents com 

•  Actualitzar els Anti-Virus

•  Monitoritzar i denegar les comunicacions sortints dels tallafocs cap els ports 447, 449 i 20 d’ubicacions externes

•  Revisar que la última còpia de seguretat realitzada de la informació que es consideri com a més critica sigui complerta i assegurar tenir-la offline

Per altra banda, també recomanem les següents mesures addicionals a aplicar:

•  Incrementar les mesures de protecció del correu entrant: 

o  Avaluar la implementació del bloqueig d'aquells correus amb arxius de Microsoft Office amb Macros (excel inclòs) 

o  Bloquejar correus que continguin URLs malicioses relacionades amb Emotet. o  Analitzar el correu entrant amb un antivirus amb firmes actualitzades o  A ser possible, analitzar el correu entrant en sistemes d'anàlisi dinàmic del

comportament (sandboxes).

•  Segmentació de la xarxa

•  Desactivar el RDP quan no sigui estrictament necessari

•  Segmentació a nivell d’usuari: establir un protocol pel qual l’usuari no pugui accedir des

de qualsevol equip, per tal d’evitar que, en cas que les credencials d’aquest estiguin

compromeses, es pugui accedir a qualsevol màquina de l’àrea en qüestió.

•  Revisió de privilegis i canvi de credencials 

o  Revisar configuració de regles a nivell administratiu

•  Evitar execucions de programes i codi temporalment

En cas d’incident contactar amb el CESICAT-CERT cert@cesicat.cat

Darrera actualització: 07.10.2019 | 14:58