uso de etiquetas de confianza cero para detectar y bloquear puntos finales comprometidos por REvil Ransomware Attack dirigido a la vulnerabilidad Kaseya VSA

0
0
0

Bienvenidos 👋, me llamo César Sánchez y vengo a ayudaros con: 👇​ uso de etiquetas de confianza cero para detectar y bloquear puntos finales comprometidos por REvil Ransomware Attack dirigido a la vulnerabilidad Kaseya VSA

Descripción
La protección en tiempo real de FortiClient AV detecta y bloquea los archivos de ransomware REvil (también conocido como Sodinokibi) para que no se instalen en el endpoint. El malware se detecta como W32/Sodinokibi.EAD4!tr.rescate.

En caso de que sus puntos finales no tengan habilitada la protección AV en tiempo real, puede usar FortiClient EMS para buscar y poner en cuarentena los puntos finales que pueden haber sido comprometidos con REvil Ransomware que apunta a la vulnerabilidad Kaseya VSA.

Para obtener más información sobre la amenaza, consulte el Informe de señales de amenazas de FortiGuard Lab:
Ransomware global y ataque a la cadena de suministro en Kaseya VSA que afecta a múltiples organizaciones


Solución

En su consola EMS, cree reglas de control de acceso de confianza cero para monitorear continuamente y bloquear automáticamente el acceso para puntos finales comprometidos:

  1. Ejecute el script adjunto, agregar_REvil_ZTNA_Rules.txt, para agregar reglas de detección de puntos finales explotados de Kaseya en su EMS v6.4.2 o superior. Abra CMD con acceso de administrador y ejecute este comando en la misma carpeta donde guardó el script:
  • sqlcmd -E -S .\fcems -d fcm_default -i add_REvil_ZTNA_Rules.txt
  • Este script agregará reglas de etiquetado ZTNA como se ve en la captura de pantalla a continuación. Edite una de las reglas recién agregadas y verifique si está configurada correctamente y haga clic en Guardar. También puede agregar reglas adicionales para detectar y etiquetar puntos finales con otras vulnerabilidades críticas.
  • En Etiquetas de confianza cero > Monitor de etiquetas, busque cualquier extremo con etiquetas «REvil comprometidas». Si se detecta alguno, estos puntos finales se pueden poner en cuarentena (desconectar de la red) y enviar para su investigación/remediación.
  • Como parte de Fabric, también puede usar estas etiquetas Zero Trust en FortiGate para restringir o poner en cuarentena automáticamente el acceso a la red para estos puntos finales sospechosos. Ver Cómo agregar etiquetas EMS ZTNA en la política dinámica de FortiOS para instrucciones.
    • Artículos relacionados  Estado fuera de línea de EMS

    Reglas de etiquetado ZTNA:

    FCT-Kaseya-zero_trust_tag_rules.png

    Monitoreo de etiquetas ZTNA:

    FCT-Kaseya-zero_trust_tag_monitor.png

    Poner en cuarentena un endpoint:

    FCT-Kaseya-endpoint_detalles.png

    ​🔒 A modo de despedida, felicitarte por haber leído hasta el final de esta publicación. Esperamos que haya sido de ayuda y que nos guardes en tus favoritos.
    Si no puedes encontrar solución a tu dilema escribe en la barra de arriba o pregúntanos en los comentarios.
    ¡Hasta luego!

    ¿Te ha resultado útil??

    0 / 0

    Deja una respuesta 0

    Your email address will not be published. Required fields are marked *