Alerta de Seguridad Informática por tráfico hacia y desde Internet de sistemas comprometidos con programa malicioso relacionados con la campaña de ciberespionaje GRABIT.

Cómo parte de las acciones de la OSRI para proteger las redes cubanas, tenemos a bien ponerles al tanto que se viene detectando tráfico de entrada y salida desde organizaciones cubanas hacia Centros de Mando y Control en diferentes partes del mundo, incluyendo a Estados Unidos de América, con patrones que se corresponden a sistemas comprometidos con el programa malicioso relacionado con la campaña de ciberespionaje GRABIT. La infección se inicia cuando un usuario recibe un correo electrónico con un archivo adjunto que parece ser un documento de Microsoft Office Word (.doc). Si el destinatario abre el documento, el programa de espionaje se descarga en su ordenador y una macro llamada AutoOpen abre una comunicación con un servidor remoto comprometido que ha sido capturado por los atacantes, para servir como un centro de descarga del malware. Los atacantes controlan a sus víctimas utilizando el keylogger HawkEye, una herramienta de espionaje comercial de HawkEyeProducts, y un módulo de configuración que contiene una serie de herramientas de administración remota (RAT por sus siglas en inglés). Entre los troyanos RAT empleados se encuentran el DarkComet y el NanoCore. Los sistemas afectados hasta el momento, según el Laboratorio de la empresa Kaspersky, son: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 

Los destinatarios de esta Alerta deben:

  1. Enviar de manera INMEDIATA esta alerta a todas las entidades subordinadas a su organización, Grupos Empresariales dentro y fuera de su ubicación principal.
  2. Además revisar:

C:\Users\<USER-NAME>\AppData\Roaming\Microsoft. Precisando si contiene archivos ejecutables, de ser así podría haber infección con el malware.

  1. Precisar que las configuraciones del Sistema Windows no contengan un archivo ejecutable exe en la tabla de arranque.
  1. Ejecutar “msconfig” y asegurarse que no existan registros de exe.
  1. Adicionalmente se recomienda no abrir anexos de origen no conocido, y mantener los programas antivirus actualizados.
  1. Llevar a cabo acciones de divulgación y educación de usuarios sobre este tipo de ataque.
  1. Identificar todas la PC de la red que estén generando tráfico hacia:

IP 31.220.16.147

IP 31.170.163.242

IP 31.170.164.81

IP 112.209.76.184

IP 128.90.15.98

IP 185.28.21.32

IP185.28.21.35

IP 185.77.128.65

IP 193.0.200.136

IP 204.152.219.78

IP 208.91.199.223.

  1. Bloquear las IP relacionadas en la lista anterior. Lo anterior no excluye que este tipo de ataque se genere desde otras IP aún no identificadas.
  1. Desconectar de la red y descontaminar las PC que puedan estar afectadas utilizando alguna solución de antivirus actualizados, de ser posible Kaspersky y Segurmática Antivirus.
  1. De no obtenerse resultados positivos, después de salvar la información útil, formatear y reinstalar los sistemas utilizando los programas autorizados por su institución.

 

Equipo de Respuesta a Incidentes Computacionales de Cuba

www.cucert.cu

Califique nuestro contenido
[Total: 0 Promedio: 0]
Compartir en:
mandy

Por mandy

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *