CoronaVirus & Ciberdelincuencia

La improvisación del teletrabajo en la empresa

Intro

En los últimos días hemos conocido las medidas que se están acometiendo para frenar la expansión del corona-virus tanto en España como en el resto de países. Entre otras medidas está el confinamiento junto con nuestros familiares permitiendo realizar tele-trabajo desde el Hogar.  Nos enfrentamos a un cambio de modelo en cuanto a la relación laboral.

Pero la precipitación de la empresa en la toma de medidas ha provocado un incremento del 200% del ransomware vía RDP, debido a que se han abierto puertos en el router.

Al tiempo que los ordenadores del hogar no estaban bajo el paraguas de seguridad de la empresa y podrian ser usados como caballos de troya para acceder a la empresa.

Muchos han optado por realizar NAT directo a los distintos puestos de la empresa.  Grave Error!

Proceso

Cambiar el puerto de la aplicacion realizando NAT no impide que el atacante compruebe que servicio hay detrás de él.

Existen multitud de aplicaciones de análisis de puertos y servicios. Pongamos por ejemplo Zenmap.  Este programa es gratuito y podéis realizar pruebas.

Desde principios del 2019, el equipo de Reditelsa ha denunciado la existencia de un problema de seguridad en la utilización de RDP directa sin VPN. Los atacantes llegan hasta el login de entrada del equipo y allí son capaces de realizar operaciones de Croaking; capacidad de preguntar por las versiones de sistema y aplicaciones de la victima,  y contrastar con exploit-db  las vulnerabilidades y maneras de penetrar en el sistema con privilegios elevados.

www.exploit-db.com es una pagina oficial de publicación de vulnerabilidades, pero existen otras muchas de igual condición.

Recomendamos desde aqui la utilizacion de RDP pero siempre por VPN, nunca por NAT Directo.

Ejemplo

Correo Electrónico de Mercadona Infectado con Virus

Aprovechando el miedo provocado por el desabastecimiento de supermercados o las largas colas que estamos sufriendo ante la noticia de que podamos recluirnos una larga temporada en casa, muchos hemos optado por realizar la compra online. 

Parece ser que los “Chicos Listos de Internet” con el propósito de generar aun mas daño han lanzado a la red un correo electrónico con un link para la descarga de una factura de Mercadona.

 

Esta es la segunda vez que se recibe. La primera con igual esquema se detecto a primeros de mes.

El link lleva a la descarga de un fichero infectado con una variante de ElistarA 38.58 malware SYSUPDATE que elude al cortafuegos modificando claves del registro e instala una DLL: <LS_APPDATA> \ kbmtaft.dll

 

Correo Electrónico de Mercadona Infectado con Virus
Errores de Instalación y Configuración Windows

Relativo a esta tecnología