* La Habana, 21 de julio de 2015 * * Año 57 de la Revolución * * * * * * * * Estimado (a): * * * * Cómo parte de las acciones de la OSRI para proteger las redes cubanas, * tenemos a bien ponerles al tanto que se viene detectando tráfico de * entrada * y salida desde organizaciones cubanas hacia Centros de Mando y Control en * diferentes partes del mundo, incluyendo a Estados Unidos de América, con * patrones que se corresponden a sistemas comprometidos con el programa * malicioso relacionado con la campaña de ciberespionaje GRABIT. * * La infección se inicia cuando un usuario recibe un correo electrónico con * un * archivo adjunto que parece ser un documento de Microsoft Office Word * (.doc). * Si el destinatario abre el documento, el programa de espionaje se descarga * en su ordenador y una macro llamada AutoOpen abre una comunicación con un * servidor remoto comprometido que ha sido capturado por los atacantes, para * servir como un centro de descarga del malware. Los atacantes controlan a * sus * víctimas utilizando el keylogger HawkEye, una herramienta de espionaje * comercial de HawkEyeProducts, y un módulo de configuración que contiene * una * serie de herramientas de administración remota (RAT por sus siglas en * inglés). Entre los troyanos RAT empleados se encuentran el DarkComet y el * NanoCore. * * Los sistemas afectados hasta el momento, según el Laboratorio de la * empresa * Kaspersky, son: * * Windows 2000, * Windows 95, * Windows 98, * Windows Me, * Windows NT, * Windows Server 2003, * Windows XP * * * Los destinatarios de esta Alerta deben: * * * * 1. Enviar de manera INMEDIATA esta alerta a todas las entidades * subordinadas a su organización, Grupos Empresariales dentro y fuera de su * ubicación principal. * * 2. Además revisar: * * C:\Users\<USER-NAME>\AppData\Roaming\Microsoft. Precisando si contiene * archivos ejecutables, de ser así podría haber infección con el malware. * * * * 3. Precisar que las configuraciones del Sistema Windows no * contengan un archivo ejecutable grabit1.exe en la tabla de arranque. * * * * 4. Ejecutar "msconfig" y asegurarse que no existan registros de * grabit1.exe. * * * * 5. Adicionalmente se recomienda no abrir anexos de origen no * conocido, y mantener los programas antivirus actualizados. * * * * 6. Llevar a cabo acciones de divulgación y educación de * usuarios * sobre este tipo de ataque. * * * * 7. Identificar todas la PC de la red que estén generando * tráfico * hacia: * * * * IP 31.220.16.147 * * IP 31.170.163.242 * * IP 31.170.164.81 * * IP 112.209.76.184 * * IP 128.90.15.98 * * IP 185.28.21.32 * * IP185.28.21.35 * * IP 185.77.128.65 * * IP 193.0.200.136 * * IP 204.152.219.78 * * IP 208.91.199.223. * * * * 8. Bloquear las IP relacionadas en la lista anterior. Lo * anterior * no excluye que este tipo de ataque se genere desde otras IP aún no * identificadas. * * * * 9. Desconectar de la red y descontaminar las PC que puedan * estar * afectadas utilizando alguna solución de antivirus actualizados, de ser * posible Kaspersky y Segurmática Antivirus. * * * * 10. De no obtenerse resultados positivos, después de salvar la * información útil, formatear y reinstalar los sistemas utilizando los * programas autorizados por su institución. * * * * Respetuosamente
-- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
