Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Boletín
Ciberseguridad
CLARO EMPRESAS
Fuentes:
https://thehackernews.com/2023/06/3-reasons-saas-security-is-imperative.html
Índice
1. Malware 4
1.1 Akira ransomware apunta múltiples sectores y se extiende en
sistemas Linux
1.2 Nuevo malware Stealer apunta a gestores de contraseñas en
sistemas Windows
2. Vulnerabilidades 09
2.1 Vulnerabilidad crítica en sistema y arquitectura SAP
3. Phishing 12
3.1 BlackCat distribuye ransomware a través de sitios phishing
de WinSCP
4. Adversarios 16
4.1 Actor de amenazas Neo_Net roba datos bancarios de usuarios
de Europa y América
5. Indicadores de Compromiso 18
6. Fuentes 21
Prioridad
Crítica Alta Media
02
01
Malware
ALTA Malware
04
ALTA Malware
Recomendaciones:
› Ejecutar el bloqueo de los Indicadores de compromiso detallados en el ítem 5.
› Implementar controles de seguridad que garanticen el respaldo de la información y deben estar
fuera de línea y en redes separadas.
› Implementar un control de seguridad que realice actualizaciones periódicas en estaciones de traba-
jo, dispositivos móviles, portátiles y otros activos críticos de la organización.
› Implementar campañas de concientización asociado a malware &phishing para que los usuarios
puedan abstenerse de abrir enlaces y archivos adjuntos de correo electrónico que no sean de con-
fianza sin verificar su autenticidad.
› Implementar o tercerizar soluciones avanzadas de ciberseguridad tales como EDR/XDR que permi-
tan la identificación de amenazas basado en comportamiento.
05
MEDIA Malware
06
MEDIA Malware
Recomendaciones:
› Ejecutar el bloqueo de los Indicadores de compromiso detallados en el ítem 5.
› Implementar soluciones avanzadas de ciberseguridad tales como EDR (Endpoint Detection &
Response) para detectar y responder en forma oportuna ante eventos y e incidentes de Ciberseguri-
dad sobre los activos críticos de la organización.
› Implementar soluciones avanzadas de multi factor authentication para correo electrónico, Active
Directory, aplicaciones web y dispositivos móviles.
› Implementar reglas YARA para escanear la memoria de los procesos recién iniciados y detectar cual-
quier presencia de cadenas sospechosas.
› Implementar campañas de concientización de phishing & malware para evitar que los usuarios
descarguen archivos o abran archivos adjuntos de correo electrónico, especialmente de fuentes
desconocidas.
› Implementar un control de seguridad que pueda monitorear las instalaciones de extensiones en los
navegadores web, sobre todo si son de fuentes no confiables.
07
02
Vulnerabilidades
CRÍTICA Vulnerabilidades
09
CRÍTICA Vulnerabilidades
Recomendaciones:
› Realizar las actualizaciones y recomendaciones de seguridad emitidos por SAP. Para más detalle
diríjase a la referencia del punto 6.4 del boletín.
› Implementar un programa de respaldo y recuperación que considere todos los activos críticos de la
organización.
› Implementar y mantener un programa de “Patch Management” (Actualizaciones de ciberseguridad)
que considere todos los activos que soporten el negocio de la organización.
› Desarrollar capacitaciones con frecuencia definida sobre la importancia de salvaguardar la informa-
ción de la organización.
10
03
Phishing
MEDIA Phishing
12
MEDIA Phishing
M1036
M1015
M1013
T1078 Cuentas válidas M1027
M1026
M1018
M1017
ACCESO INICIAL
M1048
M1050
Aprovechar la aplicación orientada al M1030
T1190
público M1026
M1051
M1016
M1049
M1040
M1045
Intérprete de comandos y
EJECUCIÓN T1059 M1042
secuencia de comandos
M1038
M1026
M1021
M1038
Debilitar las defensas: M1022
T1562.001
Deshabilitar o modificar herramientas M1024
M1018
M1041
Eliminación del indicador:
T1070.001 M1029
Borrar registro de eventos de Windows
M1022
M1040
M1043
M1028
ACCESO A Volcado de credenciales del sistema
T1003.001 M1027
CREDENCIALES operativo: memoria LSASS
M1026
M1025
M1017
M1037
Servicios remotos: recursos compartidos M1035
MOVIMIENTO LATERAL T1021.002
de administración de SMB/Windows M1027
M1026
M1057
M1037
M1031
T1048 Exfiltración sobre protocolo alternativo M1030
M1022
EXFILTRACIÓN M1018
M1057
T1567 Exfiltración a través del servicio web
M1021
M1030
M1022
IMPACTO T1489 Parada de Servicio
M1024
M1018
13
MEDIA Phishing
Recomendaciones:
› Ejecutar el bloqueo de los Indicadores de compromiso detallados en el ítem 5.
› Ejecutar las recomendaciones referentes a las técnicas de Mitre ATT&CK en las cuales se podrá
observar la mitigación para cada tipo de técnica y/o sub-técnica de ataque. Para más detalle diríjase
a la referencia desde el punto 6.6 hasta el punto 6.18 del boletín.
› Implementar políticas de instalación y uso de software en dispositivos designados a los usuarios de
la organización.
› Implementar un programa de capacitación que tenga como alcance todos los usuarios de la organi-
zación sobre temas identificación de phishing.
› Implementar un control de seguridad que tenga la capacidad de detectar y bloquear malware como
producto de la utilización de URLs maliciosas.
› Implementar una tecnología con capacidad de detección y respuesta a nivel de punto final para
evitar posibles infecciones de malware.
› Implementar una tecnología de DLP para el caso de prevención de fuga de información en el punto
final.
14
04
Adversarios
ALTA Adversarios
16
ALTA Adversarios
Recomendaciones:
› Ejecutar el bloqueo de los indicadores de compromiso detallados en el ítem 5.
› Implementar o tercerizar un servicio de MDR con alcance 24x7x365 con el propósito de detectar y
responder en el menor tiempo posible ante cualquier intento de ataque de un actor de amenazas.
› Implementar un programa de capacitación que tenga como alcance todos los usuarios de la organi-
zación sobre temas identificación de SMS phishing y Vishing.
› Tercerizar un servicio de Deception con alcance de detección y contención de amenazas contra la
organización.
› Implementar políticas de seguridad que considere la autenticación y autorización según correspon-
da el uso de los recursos de los usuarios.
› Implementación de una tecnología XDR que alcance todos los activos críticos de la organización.
17
Indicadores de compromiso
Indicadores de compromiso
5.1 IPs
77.105.147[.]140 (Ítem Malware: 1.2)
77.105.147[.]92 (Ítem Malware: 1.2)
77.105.147[.]86 (Ítem Malware: 1.2)
5.2 DOMINIO
bbva.info-cliente[.]net (Ítem Adversarios: 4.1)
santander.esentregas[.]ga (Ítem Adversarios: 4.1)
bbva.esentregas[.]ga (Ítem Adversarios: 4.1)
correos.esentregas[.]ga (Ítem Adversarios: 4.1)
5.3 EMAIL
emaildecryptors@avast.com.iocs (Ítem Malware: 1.1)
5.4 Hashes
(Ítem Malware: 1.1)
SHA256: 1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296
MD5: 302f76897e4e5c8c98a52a38c4c98443
18
Indicadores de compromiso
19
Indicadores de compromiso
MD5: 66549eea3459b225ee57310223dd9514
20
Fuentes
Fuentes
6.1 https://blog.cyble.com/2023/06/28/akira-ransomware-extends-reach-to-linux-platform/
6.2 https://www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work
6.3 https://www.securityweek.com/details-disclosed-for-critical-sap-vulnerabilities-including-w
ormable-exploit-chain/?web_view=true
6.4 https://sec-consult.com/blog/detail/responsible-disclosure-of-an-exploit-chain-targeting-the
-rfc-interface-implementation-in-sap-application-server-for-abap/
6.5 https://thehackernews.com/2023/07/blackcat-operators-distributing.html
6.6 https://attack.mitre.org/techniques/T1078/
6.7 https://attack.mitre.org/techniques/T1190/
6.8 https://attack.mitre.org/techniques/T1059/
6.9 https://attack.mitre.org/techniques/T1562/001/
6.10 https://attack.mitre.org/techniques/T1562/009/
6.11 https://attack.mitre.org/techniques/T1070/001/
6.12 https://attack.mitre.org/techniques/T1003/001/
6.13 https://attack.mitre.org/techniques/T1087/
6.14 https://attack.mitre.org/techniques/T1135/
6.15 https://attack.mitre.org/techniques/T1021/002/
6.16 https://attack.mitre.org/techniques/T1048/
6.17 https://attack.mitre.org/techniques/T1567/
6.18 https://attack.mitre.org/techniques/T1489/
6.19 https://www.sentinelone.com/blog/neo_net-the-kingpin-of-spanish-ecrime/
21
Conozca las opciones de seguridad que Claro Empresas tiene para ofrecerle contactándose con su Consultor
Corporativo o escribiéndonos a claroempresas@claro.com.pe con el asunto “Ciberseguridad”.