Comunicat de ciberseguretat en relació a les campanyes de correu fraudulent

El Centre de Seguretat de la Informació de Catalunya (CESICAT) transmetem un comunicat de seguretat relacionat amb campanyes de correu fraudulent.

S'està produint l'enviament massiu de correus fraudulents amb contingut maliciós associat a una amenaça d'alt risc. Els correus estan relacionats amb el programari maliciós conegut com Emotet. A més d’apropiar-se informació i propagar-se via correu electrònic, Emotet funciona com un cavall de Troia que obre la porta a altres actors. Aquests, al seu torn, solen desplegar programari maliciós per a l’espionatge, la intrusió a les organitzacions i el xifrat d’informació amb el propòsit de demanar un rescat econòmic.

Emotet es distribueix per correu en onades que es produeixen de forma recurrent coma mínim des d’agost del 2017. L'activitat havia cessat el segon trimestre de 2019, però a partir del 15 de setembre s'ha reprès de forma especialment activa i amb afectació global, fet que ha motivat el comunicat. Tot i això, es tracta d'una amenaça constant davant la qual cal buscar mesures efectives que puguin romandre actives de forma permanent.

Un dels factors que està provocant que aquestes campanyes estiguin tenint un gran èxit és el reaprofitament de fils de correu anteriors compromesos per a guanyar-se la confiança de l’usuari. En molts casos, es suplanta una de les identitats (com a mínim el nom d’una d’elles) i s’adjunten documents ofimàtics amb contingut maliciós via macros. Els correus maliciosos solen ser textos breus i en termes vagues, que aparenten ser la resposta a un missatge previ. "Pendiente de confirmación del material que necesitáis" o "nueva plantilla" són exemples reals del seu contingut. L’origen del correu sol mostrar-se als clients de correu amb dues adreces, sent la darrera qui envia el correu i normalment desconeguda pel destinatari.

Com a Centre de Seguretat de la Informació de Catalunya (CESICAT) us recomanem les següents mesures per a fer front a aquesta amenaça:

• Conscienciació de usuaris: desconfiar dels adjunts que provinguin de direccions desconegudes o sospitoses. Desconfiar si un missatge té dues direccions diferents com a origen.

• Desactivar l’execució per defecte de les macros.

• Actualitzar els Anti-Virus.

• Monitoritzar i denegar les comunicacions sortints dels tallafocs cap els ports 447, 449 i 20 d’ubicacions externes.

• Revisar que la última còpia de seguretat realitzada de la informació que es consideri com a més critica sigui complerta i assegurar tenir-la offline.

Per altra banda, també recomanem les següents mesures addicionals a aplicar:

• Incrementar les mesures de protecció del correu entrant: o Avaluar la implementació del bloqueig d'aquells correus amb arxius de Microsoft Office amb Macros (excel inclòs)

o Bloquejar correus que continguin URLs malicioses relacionades amb Emotet.

o Analitzar el correu entrant amb un antivirus amb firmes actualitzades

o A ser possible, analitzar el correu entrant en sistemes d'anàlisi dinàmic del comportament (sandboxes).

• Segmentació de la xarxa

• Desactivar el RDP quan no sigui estrictament necessari

• Segmentació a nivell d’usuari: establir un protocol pel qual l’usuari no pugui accedir des de qualsevol equip, per tal d’evitar que, en cas que les credencials d’aquest estiguin compromeses, es pugui accedir a qualsevol màquina de l’àrea en qüestió.

• Revisió de privilegis i canvi de credencials o Revisar configuració de regles a nivell administratiu

• Evitar execucions de programes i codi temporalment

En cas d’incident contactar amb el CESICAT: cert@cesicat.cat