Las informaciones brindadas por medios que no estaban especializados en el manejo de estas crisis, generaron cierta confusión, muchos no entendían que era un ataque netamente corporativo, y salieron a brindar consejos, sin entender o estudiar el vector.

El plan que elaboramos trató de ser simple, claro y de implementación rápida para que cualquier equipo que requiera repasar sus medidas de seguridad pudiese hacer frente a la amenaza.

Con el correr de la semana, identificamos una nueva amenaza, conocida como Adylkuzz, que utilizaba los mismos exploits que WannaCry (EternalBlue / Double Pulsar), por lo cual consideramos responsable comunicar de forma masiva, las medidas más adecuadas para hacer frente a estas amenazas.

Recomendaciones a tener en cuenta;

  • Coloque un firewall de tráfico SMB tanto dentro, como fuera de la red de su organización.
  • Filtre de forma contundente dispositivos BYOD o activos con parches (seguridad) que faltan al acceder a recursos de la red.
  • Restrinja la comunicación de la estación de trabajo a la estación de trabajo, sólo habilite a lo que es necesario.
  • Segmente las redes de modo que el compromiso de un punto final no dé automáticamente acceso a toda la red
  • Deshabilite las funciones heredadas innecesarias que son susceptibles de ser explotadas.
  • Aplique los parches de los proveedores de manera oportuna para reducir el número de vulnerabilidades explotables en el software instalado como parte de un programa de evaluación de la vulnerabilidad.
  • Limite el acceso a los datos importantes sólo a aquellos que están obligados a tenerlo. El acceso de lectura / escritura sólo debe concederse cuando exista un requisito de negocio explícito.
  • Deshabilite el puerto 445

Por Gabriel Zurdo – CEO de BTR Consulting