Descripción
La protección en tiempo real de FortiClient AV detecta y bloquea los archivos de ransomware REvil (también conocido como Sodinokibi) para que no se instalen en el endpoint. El malware se detecta como W32/Sodinokibi.EAD4!tr.rescate.
En caso de que sus puntos finales no tengan habilitada la protección AV en tiempo real, puede usar FortiClient EMS para buscar y poner en cuarentena los puntos finales que pueden haber sido comprometidos con REvil Ransomware que apunta a la vulnerabilidad Kaseya VSA.
Para obtener más información sobre la amenaza, consulte el Informe de señales de amenazas de FortiGuard Lab:
Ransomware global y ataque a la cadena de suministro en Kaseya VSA que afecta a múltiples organizaciones
Solución
En su consola EMS, cree reglas de control de acceso de confianza cero para monitorear continuamente y bloquear automáticamente el acceso para puntos finales comprometidos:
- Ejecute el script adjunto, agregar_REvil_ZTNA_Rules.txt, para agregar reglas de detección de puntos finales explotados de Kaseya en su EMS v6.4.2 o superior. Abra CMD con acceso de administrador y ejecute este comando en la misma carpeta donde guardó el script:
- sqlcmd -E -S .\fcems -d fcm_default -i add_REvil_ZTNA_Rules.txt
Este script agregará reglas de etiquetado ZTNA como se ve en la captura de pantalla a continuación. Edite una de las reglas recién agregadas y verifique si está configurada correctamente y haga clic en Guardar. También puede agregar reglas adicionales para detectar y etiquetar puntos finales con otras vulnerabilidades críticas.En Etiquetas de confianza cero > Monitor de etiquetas, busque cualquier extremo con etiquetas «REvil comprometidas». Si se detecta alguno, estos puntos finales se pueden poner en cuarentena (desconectar de la red) y enviar para su investigación/remediación.Como parte de Fabric, también puede usar estas etiquetas Zero Trust en FortiGate para restringir o poner en cuarentena automáticamente el acceso a la red para estos puntos finales sospechosos. Ver Cómo agregar etiquetas EMS ZTNA en la política dinámica de FortiOS para instrucciones.
Reglas de etiquetado ZTNA:
![FCT-Kaseya-zero_trust_tag_rules.png FCT-Kaseya-zero_trust_tag_rules.png](data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHdpZHRoPSI5OTkiIGhlaWdodD0iNTYyIiB2aWV3Qm94PSIwIDAgOTk5IDU2MiI+PHJlY3Qgd2lkdGg9IjEwMCUiIGhlaWdodD0iMTAwJSIgc3R5bGU9ImZpbGw6I2NmZDRkYjtmaWxsLW9wYWNpdHk6IDAuMTsiLz48L3N2Zz4=)
Monitoreo de etiquetas ZTNA:
![FCT-Kaseya-zero_trust_tag_monitor.png FCT-Kaseya-zero_trust_tag_monitor.png](data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHdpZHRoPSI5OTkiIGhlaWdodD0iNTYyIiB2aWV3Qm94PSIwIDAgOTk5IDU2MiI+PHJlY3Qgd2lkdGg9IjEwMCUiIGhlaWdodD0iMTAwJSIgc3R5bGU9ImZpbGw6I2NmZDRkYjtmaWxsLW9wYWNpdHk6IDAuMTsiLz48L3N2Zz4=)
Poner en cuarentena un endpoint:
![FCT-Kaseya-endpoint_detalles.png FCT-Kaseya-endpoint_detalles.png](data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHdpZHRoPSI5OTgiIGhlaWdodD0iNDk0IiB2aWV3Qm94PSIwIDAgOTk4IDQ5NCI+PHJlY3Qgd2lkdGg9IjEwMCUiIGhlaWdodD0iMTAwJSIgc3R5bGU9ImZpbGw6I2NmZDRkYjtmaWxsLW9wYWNpdHk6IDAuMTsiLz48L3N2Zz4=)