Blog NLT Secure

NLT Secure • nov 17, 2020

El fin de semana pasado el ransomware Egregor

fue noticia en los medios locales.


El modus operandi utilizado suele interrumpir los servicios de organizaciones, robando datos confidenciales y ejecutando el malware para cifrar sus archivos y amenazarlos con la divulgación de datos corporativos por “medios masivos” si el rescate no se paga a su debido tiempo.


A continuación, se comparten los Indicadores de Compromisos que fueron detectados durante la semana pasada por el Equipo del CSIRT. CSIRT recomienda a los administradores y usuarios bloquear los hashes publicados en este informe, y mantener un permanente monitoreo sobre el resto de los Indicadores de Compromiso.



Para conocimiento de la comunidad, compartimos los IoC (indicadores de compromiso) recopilados sobre el incidente:


HASH:
81DB87E45619188073E0CAC8E67B9C8DB4361297 FA33FD577F5EB4813BC69DCE891361871CDA860C 069EF8443DF750E9F72EBE4ED93C3E472A2396E2 ED5B60A640A19AFE8D1281BF691F40BAC34EBA8A 7BC6C2D714E88659B26B6B8ED6681B1F91EEF6AF F0215AAC7BE36A5FEDEEA51D34D8F8DA2E98BF1B
BD8C52BB1F5C034F11F3048E2ED89B7B8FF39261 07D4BCB5B969A01FB21DC28E5CB1B7CEB05F2912 03CDEC4A0A63A016D0767650CDAF1D4D24669795 E27725074F7BC55014885921B7EC8B5319B1EF8F AC634854448EB8FCD3ABF49C8F37CD21F4282DDE F73E31D11F462F522A883C8F8F06D44F8D3E2F01 D2D9484276A208641517A2273D96F34DE1394B8E E0CAAE0804957C5E31C53DD320CA83A5465169C9 D7CB471C1A6F400B04EF0CE19C3CE782F91F37C9


4c36c3533a283e1aa199f80e20d264b9

a654b3a37c27810db180822b72ad6d3e
6ad7b3e0873c9ff122c32006fdc3675706a03c4778287085a020d839b74cd780

c9d46c319ed01c183598f7b9a60b9bca34b2eea989f4659e9aa27c7a1bf8681c

830d274a1cbeebe34b0997d5c84c6028a0c72e74762f770f2240d12c1c4ba3a5

561092877e91f2741ed061cbe7a57d1af552b600c6654ccc588cb6bff7939152

072ab57f9db16d9fb92009c8e10b176bd4a2eff01c3bc6e190020cf5a0055505

9017c070ad6ac9ac52e361286b3ff24a315f721f488b53b7aaf6ac35de477f44

3aad14d200887119f316be71d71aec11735dd3698a4fcaa50902fce71bdccb07

9fffabede0ef679970666f04184340437cd70bc8fe870ee8174713ececf32398

311baa4d4229a8d6802d82a8d9935592bf9a7b6aaf0949f0fa0b094592f5e8a7

21960f49f296623f1ca6bc15ca8117f57774db97fd910855f75f15364879cfda

b027467332243c8186e59f68ff7c43c9e212d9e5074fedf003febcfedad4381a

f0adfd3f89c9268953f93bfdfefb84432532a1e30542fee7bddda14dcb69a76c

6ad7b3e0873c9ff122c32006fdc3675706a03c4778287085a020d839b74cd780

IP:
185.82.126.8
185.238.0.233

45.153.242.129

91.199.212.152


URL:

ozcsgqmpjwromp[.]com
wsjlbbqemr23[.]com

xjkwkzdyfcabhr[.]com

fvkmmwlzvsqdod[.]com

dmvbdfblevxvx[.]com

tczzzlwpss[.]com

txvzmlfzlklhtf[.]com

xtngmptkcqk[.]biz

ihvxmjmdvbn[.]biz

qukqkdcjriz[.]ws

mtafdrvjmif[.]com

kcijbcqvdfv[.]org

tnlttlmxuhc[.]com

txmxffytum[.]biz

vjzwvzjmoc[.]com

ktmjqztagkm[.]org

saalzvhzgkk[.]cc

bvhtxgzwob[.]cc

vrfgwwcesy[.]org

uozwtmgpogg[.]info

qammsjskgkm[.]cc

jfbmnpxgpi[.]ws

hvwvrxpinnv[.]cn

mshrgnslzmqobm[.]com

twcdkhmttfeipv[.]com

sekhmetleaks[.]top

sekhmet[.]top

egregoranrmzapcv[.]onion

wikiegregor[.]top

egregorwiki[.]top

egregor[.]top
http[:]//egregor4u5ipdzhv[.]onion/ https[:]//id-ransomware[.]malwarehunterteam[.]com/identify[.]php?

 

Direcciones Ip de servidor SMTP

donde es enviado el correo malicioso:

62.12.114.101
185.136.161.132
107.179.8.233
46.26.67.139

Correos electrónicos de donde son enviados los archivos adjunto con malware:

Gdk7b1EuiIwq5IzwsRwUHsvai@outbound5.angani.co
exinsts@gmail.com
lutfullah.ansary@aplombtechbd.com
cus-exp3@cargoworldconsol.com
golasage265@gmail.com
carlemau296@gmail.com
8QuE8nWIGXDqSrUHuMwJ6dM@mail.asiatradehub.biz



Recomendaciones que NLT Secure

sugiere implementar a la brevedad posible:


  • Mantener los equipos actualizados, tanto sistemas operativos como otros softwares instalados.
  • Aumentar el monitoreo de tráfico no usual.
  • No abrir documentos de fuentes desconocidas.
  • Tener precaución en abrir documentos y seleccionar enlaces de correos electrónicos.
  • Verificar y controlar los servicios de escritorio remoto (RDP).
  • Bloqueo de script o servicios remotos no permitidos en la instrucción.
  • Monitorear servicios SMB de forma transversal en la red.
  • Mantener actualizados las protecciones perimetrales de las instituciones.
  • Aumentar los niveles de protección en los equipos que cumplan las funciones de AntiSpam, WebFilter y Antivirus.
  • Verificar el funcionamiento, y si no es necesario, bloquear las herramientas como PsExec y Powershell.
  • Mantener especial atención sobre el tráfico sospechoso que tengan conexiones a los puertos 135TCP/UDP y 445TCP/UDP
  • Verificar periódicamente los indicadores de compromisos entregados por NLT Secure.
  • Segmentar las redes en base a las necesidades de sus activos, permitiendo solamente los puertos necesarios.


Recomendaciones que NLT Secure

sugiere implementar y verificar en paralelo:


  • Microsegmentación de redes en la arquitectura de T.I.
  • Fortalecer la cultura de seguridad de acuerdo con el plan de ciberseguridad
  • Medir la tasa de simulaciones de Phishing
  • Utilizar políticas Domain Keys Identified Mail en un marco de control del remitente (SPF) para correos electrónicos.






En caso de identificar anomalías, NLT Secure tiene a su disposición a los teléfonos +56 2 23994310 / +56 9 88307912, disponible en modalidad 24x7. El objetivo de una rápida notificación es poder colaborar en contener, mitigar o analizar el incidente según la línea de tiempo en la que se encuentre.


Medusa Ransomware

MEDUSA 'BLOG' RANSOMWARE HACE OTRA VICTÍMA EN LATINOAMÉRICA

Por NLT Secure 10 abr, 2023
Según información no oficial, antes de que los ciber-criminales hicieran público el pedido de rescate en su blog en la red Tor en el día 3 de abril (2023), la multinacional chilena, que recientemente fue víctima del Medusa Ransomware (o Medusa Blog), ya había informado el incidente a sus clientes y parceros en la semana anterior.

Máximas que ayudarán a mejorar tu Ciberseguridad y Ciber-Resiliencia* este 2023

Por NLT Secure 18 ene, 2023
La Ciberseguridad es una Cultura, no un producto

CTI-NLT > Microsoft Patch Tuesday de Enero corrige 1 zero-day más 11 vulnerabilidades críticas

Por NLT Secure 12 ene, 2023
Microsoft Patch Tuesday de Enero corrige 1 zero-day más 11 vulnerabilidades críticas
Google Malware

Uso de Google AdWords en campañas maliciosas | NLT Secure

Por NLT Secure 05 ene, 2023
Ciberdelincuentes abusan de Google Ads para distribuir malware

Ciberconsejos para una "Navidad Segura" | NLT Secure

Por NLT Secure 14 dic, 2022
Cibercartereo en formato Navideño

La Experiencia Clientes como factor de éxito en ciberseguridad | NLT Secure

Por NLT Secure 02 nov, 2022
La proactividad primero 

NLT Secure y Centro de Investigación de Universidad Mayor realizan charla por “Mes de la Concientización de la Ciberseguridad” | NLT Secure

Por NLT Secure 27 oct, 2022
Nuestro compromiso con la educación
SOC

La función del SOC y el trabajo colaborativo | NLT Secure

Por NLT Secure 21 oct, 2022
Conexión entre ciberdefensa y el negocio

La protección de la información financiera | NLT Secure

Por NLT Secure 12 oct, 2022
La responsabilidad en la protección de la información

El resguardo de la información sensible de los colaboradores | NLT Secure

Por NLT Secure 04 oct, 2022
En NLT Secure, Protegemos y cuidamos desde la ciberseguridad a nuestro entorno, brindando tranquilidad a las personas y sus negocios
Más Posts
Share by: