Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Enunciado
La empresa Invent S.L, que dispone de sedes en Australia, Italia y España, ha sufrido un incidente
de seguridad en cada una de ellas.
Sede en Australia
Por una parte, en la sede de Australia, se ha detectado la fuga de información sensible de varios
de sus empleados (direcciones de correo y contraseñas). El conjunto de afectados indica haber
recibido una campaña de correos sospechosos con adjuntos HTML similares al portal de Office 365
durante los últimos días. Esta empresa no tiene (2FA) factor de autenticación en dos pasos, por lo
que un atacante podría acceder al correo corporativo y otro tipo de aplicativos públicos en
Internet alojados en Microsoft. Puesto que hay más de 10.000 empleados en la empresa, no es
posible el reseteo y bloqueo de todas las cuentas por motivos de continuidad de negocio, por lo
que es necesario localizar únicamente a los afectados.
Sede en Italia
Por otra parte, en Italia se ha producido un acceso no autorizado a uno de sus servidores de
contabilidad. Dicho acceso ha sido detectado mediante una revisión periódica por el equipo de IT.
En este caso, el equipo planea contratar a un proveedor externo para que se haga cargo de este
incidente.
Sede en España
Puesto que formamos parte del equipo de respuesta ante incidentes de la compañía, nuestra
misión consiste en descubrir qué ha pasado en cada una de las situaciones que se plantean.
Para ello el equipo de IT nos ha facilitado las siguientes evidencias:
Australia: logs de tráfico del proxy de navegación en el intervalo de fechas en el que se produjo el
incidente.
España: estado de los puertos abiertos en el sistema y parte del mensaje de rescate.
Se pide
Generar un script para parsear la captura de tráfico facilitada, de forma que muestre el
resultado final por línea de comandos. (2p)
¿Qué direcciones de correo de usuario se han visto afectadas? Se puede realizar un análisis
manual si no se ha conseguido realizar el apartado anterior. (1,5p)
Han sufrido un ataque con el Ransomware que se llama RANSOM XPAN, el cual se distribuye a
través de correo electrónico, descargar de aplicaciones gratuitas, entre otros medios.
¿Qué riesgo existe para una entidad cuando se produce una fuga de información como la
descrita en el incidente de Australia? (0,75p)
Este incidente es muy grave y supone un enorme impacto negativo para toda la empresa que ha
sido atacada, debido a que al obtener el correo y la contraseña de varios de sus empleados podría
obtener informaciones confidenciales, acceso a otros servicios, debido a que los usuarios suelen
usar la misma contraseña para todos los acceso, incluyendo contraseña de acceso al ordenador de
la empresa. Con este incidente, la empresa perdería reputación, confiabilidad y puede haber
perdido documentos como listas de clientes.
Sí, en este caso se debería desconectar de la red el equipo del usuario afectado, para así evitar
que se propague la amenaza entre los demás usuarios.
¿Qué parte hardware del servidor se debería clonar/volcar antes de apagar el equipo?
(0,1p)
Nota:
¿Qué habría que calcular tras el clonado del disco para verificar su integridad? (0,1p)
Después de finalizado el clonado, se debe verificar el hash del disco para comprobar que la
copia es idéntica al original.
Describa brevemente la cadena de custodia que se debe seguir para el traspaso de las
evidencias al proveedor externo (máx. 15 líneas) (0,4p)
Identificar los medios físicos y hacer un inventario de todos los dispositivos.
Realizar fotografía del entorno donde se ha producido el suceso.
Vídeo grabación con fecha y hora.
Separación de los dispositivos, etiquetado y protección de estos.
Documentación y registros de control. (apertura de acta y registro de número de serie y
elementos).
Firma del acta de los intervinientes.
Certificación de Entrada – Salida – Entrada (registro de salidas).
Analizar las evidencias facilitadas para la sede de Australia:
Generar un script para parsear la captura de tráfico facilitada, de forma que muestre el
resultado final por línea de comandos. (2p)
mgarcia@invent.com
Es una infección de malware bien diseñada que se centra en encriptar los archivos de los
usuarios con una combinación complicada de algoritmos. El virus NM4 pertenece a la
familia de variantes de ransomware que emplean tanto encriptación AES y RSA para
complicar el proceso de desencriptación de los datos electrónicos
¿Cuál ha sido el vector de entrada utilizado por esta amenaza? (Utilizar la evidencia
spain.jpg) (0,75p)