News, Seguridad Informática
Seguridad Informática Canarias: Aumento en los sistemas infectados por la campaña de EMOTET
El Equipo de Respuesta a Incidentes del Centro Criptilógico Nacional, CCN-CERT, informa de que se está detectando una amenaza de seguridad debido a un incremento importante de la campaña de ataques del código dañino EMOTET. Elantia, como empresa en el ámbito de la seguridad informática en Canarias hemos preparado este artículo para alertar de esta importante amenaza.
Antecedentes de Seguridad Informática en Canarias
Esta campaña comenzó en septiembre de 2019 y tuvo un gran impacto en todo el mundo ya que utiliza diferentes métodos para infectar equipos que utilizan el Sistema Operativo de Microsoft Windows. Lo mas preocupante de Emotet es que poseen módulos propios donde ejecutar diversas actividades que despliegan diferentes códigos dañinos como Trickbot.
Medidas de prevención
Al ver el método de actuación del código dañino, no hay un único área que cubrir (como podría ser solo el correo electrónico o las actualizaciones del sistema), sino que se deben tomar medidas que mejoren la seguridad a todos los niveles.
Debido a esto, el CCN-CERT recomenda la lectura de su informe CCN-CERT IA 76/19 Medidas de actuación frente al código dañino EMOTET donde aborda que hacer en relación al correo electrónico, los documentos ofimáticos de Word, el Sistema Operativo y la Arquitectura de Red.
Recomendaciones
En resumidas cuentas, las medidas de actuación pueden resumirse en las siguientes:
– Instalación de la vacuna EMOTET-stopper en todos los equipos Windows a proteger
– Mantener los Sistemas Operativos, el software de ofimática y el resto de software instalado en los equipos actualizados con los últimos parches de seguridad.
– Mantener los sistemas de antivirus actualizados con las últimas firmas disponibles.
– Evitar el uso de software que no disponga de soporte oficial.
– Deshabilitar el uso de macros en ficheros ofimáticos y mantener siempre que se desconfíe de su origen la vista protegida activada.
– Evitar o restringir los permisos administrativos cuando sea posible.
– Aislar los equipos infectados con código dañino.
– Aplicar políticas de backup, considerando respaldos fuera de línea y copias diarias, entre otras medidas.
– Forzar al empleo de contraseñas robustas.
– Deshabilitar la ejecución de macros en documentos office.
– Usar una política de whitelisting para las conexiones al exterior.
– Deshabilitar la ejecución de PowerShell, siempre que no sea necesario.
– Limitar el uso de cuentas con privilegios elevados, la activación del uso de escritorios remotos, el almacenamiento de contraseñas en formato de texto plano y, revisar el acceso y permisos de directorios compartidos.
– Aplicar políticas de red, como segmentación de red entre otras.
– EMOTET puede desplegar el troyano bancario Trickbot para robo información, seguido en última instancia del ransomware Ryuk sobre los equipos infectados. Recomendamos la lectura de los informes de Código Dañino CCN-CERT ID-26/19 Ryuk y CCN-CERT ID-24/19 TrickBot.
Centro Criptológico Nacional
Esperamos que este artículo le haya sido de utilidad para prevenir esta amenaza que ha ido tomando fuerza con el paso de los meses. Si necesita ampliar mas información, en Elantia estaremos encantados de ayudarle. Puede contactar con nosotros a través del siguiente botón.