Entelgy Innotec Security avisa sobre el incremento de actividad a lo largo de la jornada de hoy, 4 de noviembre, de una campaña de malware contra organizaciones españolas, relacionada posiblemente con el ransomware Ryuk. Estos incidentes están ligados a campañas de ransomware (cifrado de archivos y petición de rescate) y aún se desconoce plenamente el vector de entrada.

En estos momentos los profesionales del SmartSoc de la compañía se encuentran analizando muestras de este malware, recopilando IOCs y desplegándolos en nuestros sistemas de detección. De hecho, ya se ha localizado el siguiente hash.

Mientras se mantiene la investigación, el equipo de Entelgy Innotec Security le recuerda algunas medidas de seguridad a tener en cuenta:

• El malware puede utilizar la vulnerabilidad en SMB CVE-2017-0144 o RDP CVE-2019-0709 para infectar o propagarse. Se recomienda bloquear este tráfico en caso de contar con equipos no actualizados.
• Se han detectado envíos de correo dirigidos, incluso desde buzones legítimos, que incluyen adjuntos documentos ofimáticos con macros que ejecutan la llamada a los servidores C2. Se recomienda no abrir estos correos incluso confiando en el remitente.
• Recomendamos la realización de copias de seguridad/respaldo, tanto de los sistemas locales como de las ubicaciones distantes. A ser posible, deben mantenerse al menos dos copias de seguridad en diferentes localizaciones desconectadas del sistema.
• Activar la visualización de las extensiones de los ficheros para evitar ejecución de malware camuflado como fichero legítimos no ejecutable.