Ransomware Zeppelin ataca organizaciones de infraestructura critica

Posted onAuthorASILeave a comment

La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), de los Estados Unidos, han alertado sobre la difusión del ransomware Zeppelin hasta el 21 de junio de 2022.

El ransomware Zeppelin funciona como Ransomware como Servicio (RaaS) y ataca, desde 2019 hasta al menos junio de 2022, a empresas y organizaciones de infraestructura crítica, incluidos contratistas de defensa, instituciones educativas, fabricantes, empresas de tecnología, y especialmente organizaciones en las industrias de la salud y la medicina.

Para acceder a las redes de las víctimas, el ransomware Zeppelin se aprovecha del Protocolo de Escritorio Remoto (RDP), explota vulnerabilidades del cortafuegos de SonicWall, o utiliza campañas de phishing. Zeppelin se implementa como un archivo .DLL o .EXE, o dentro de un cargador de PowerShell.

Antes del cifrado, el ransomware extraen archivos de datos confidenciales para venderlos o publicarlos si no hay pago de rescate, que es en Bitcoin, que va desde varios miles de dólares hasta más de un millón de dólares.

Recomendaciones para reducir la probabilidad y el impacto de los incidentes de ransomware:

  1. Implementar un plan de recuperación para mantener y conservar múltiples copias de datos confidenciales o propietarios y servidores en una ubicación segura, segmentada y separada físicamente.
  2. Requerir todas las cuentas con inicios de sesión con contraseña.
  3. Requerir autenticación multifactor para todos los servicios en la medida de lo posible.
  4. Mantener todos los sistemas operativos, software y firmware actualizados.
  5. Segmentar las redes para evitar la propagación de ransomware.
  6. Identificar, detectar e investigar la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de redes.
  7. Instalar, actualizar periódicamente y habilitar la detección en tiempo real del software antivirus en todos los hosts.
  8. Revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas nuevas o no reconocidas.
  9. Auditar cuentas de usuario con privilegios administrativos y configurar controles de acceso según el principio de mínimo privilegio.
  10. Deshabilitar los puertos no utilizados.
  11. Considerar agregar un banner de correo electrónico a los correos electrónicos recibidos desde fuera de su organización.
  12. Deshabilitar los hipervínculos en los correos electrónicos recibidos.
  13. Implementar el acceso basado en el tiempo para las cuentas establecidas en el nivel de administrador y superior.
  14. Deshabilitar las actividades y los permisos de línea de comandos y secuencias de comandos.
  15. Mantener fuera de linea las copias de seguridad de los datos y realizar las copias de seguridad y restauración con regularidad.
  16. Asegurar que todos los datos de respaldo estén encriptados, y cubran toda la infraestructura de datos de la organización.

Fuente: Alert (AA22-223A). #StopRansomware: Zeppelin Ransomware.

Deja una respuesta