IR-001 PLAYBOOK VIRUS Y RANSOMWARE v1.6

IR PLAYBOOK
VIRUS Y
RANSOMWARE
SEGUROS CONSORCIO
PLAYBOOK-IR-001
Vicepresidencia
Mercado Corporaciones
Centro de Ciberinteligencia
julio de 2020
IR PLAYBOOK VIRUS Y RANSOMWARE
SEGUROS CONSORCIO PLAYBOOK-IR-001
Cláusula de confidencialidad
Este documento ha sido generado para SEGUROS CONSORCIO, por tanto, la información contenida en él
es única, original, privado e intransferible, catalogándolo como un documento con un nivel de clasificación:
Confidencial.
Entel CyberSecure presenta este documento entendiendo que el mismo será mantenido bajo estricta
confidencialidad por parte del cliente, asumiendo la obligación de mantener absoluta reserva respecto a la
información contenida. Asimismo, se compromete a no divulgar, copiar, difundir y/o transferir este
documento en su totalidad o parcialidad.
2
Todos los derechos están reservados. Ninguna parte de este documento puede ser reproducido, transmitido ni Centro de
almacenado en un sistema recuperable o por otros medios, mecánico, fotográfico, eléctrico, electrónico, o de otro
modo sin el permiso explícito de los propietarios del copyright.© Entel 2019-2020 Ciberinteligencia
Identificación del documento
Nombre del documento Declaración del Servicio Análisis de Eventos

Versión Versión 1.5
Fecha de publicación 06/07/2020

Creado por Centro de Ciberinteligencia
Nombre del archivo PLAYBOOK VIRUS Y RANSOMWARE
Número de páginas 17
Control de versiones del documento
Nombre del Archivo Versión Resumen de cambios producidos Fecha
IR Playbook "Virus y Ransomware"

1.2 Primera versión 06-07-2020
Actualización responsables
1.3 CONSORCIO 06-07-2020
Actualización responsable CCI-

1.4 ENTEL 06-07-2020

1.5 Actualización de formato 06-07-2020
Actualización de documento
1.6 CONSORCIO 06-07-2020
3
Índice
Identificación del documento ............................................................................................3

Control de versiones del documento .................................................................................3
1. Preparación ................................................................................................................5
1.1. Documento de requisitos ....................................................................................5
1.2. Levantamiento de la Información .......................................................................5
1.3. Procedimientos pre-Incidente .............................................................................5
2. Proceso del Playbook ..................................................................................................7
2.1. Workflow (EJEMPLO) ...........................................................................................7
2.2. Descripción de las Etapas del Playbook ...............................................................8
2.3. Roles responsables por etapa .............................................................................8
3. Acciones y Remediación: Procedimiento Cliente .....................................................10
3.1. Etapa de Identificación ......................................................................................10
3.2. Etapa de Contención .........................................................................................12
3.3. Etapa de Erradicación........................................................................................14
3.4. Etapa de Recuperación......................................................................................15
3.5. Etapa post Incidente .........................................................................................16
4. Contactos ..................................................................................................................17
4
1. Preparación
1.1. Documento de requisitos
El documento de requisitos será elaborado en forma de planilla para solicitar la información necesaria de
cada servidor en el alcance, procedimientos de contención, responsables administrativos y contactos de cada
uno de ellos.
Este documento tiene el propósito de establecer un documento único para el levantamiento de los
servidores y que permita posteriormente contar con la información necesaria para ejecutar el Playbook en
una situación de incidente o en un entrenamiento coordinado.
1.2. Levantamiento de la Información
El levantamiento de la información será realizado de la siguiente forma:
Para el caso de clientes de CCI, se deberá realizar un levantamiento de forma proactiva para preparar el
Playbook y posteriormente coordinar actividades de entrenamientos internos y con clientes.
Para el caso de clientes de CCI que no cuenten con la información del documento de requisitos, el
levantamiento de la información será realizado de forma reactiva en caso de incidentes. El no contar con este
levantamiento podría invalidar la ejecución del Playbook, ya sea en una situación de incidente real o en un
caso de entrenamiento.
1.3. Procedimientos pre-Incidente
Los procedimientos pre-Incidente proponen una estrategia de trabajo proactiva para hacer frente a
incidentes comunes. El objetivo principal es crear una figura de prevención y preparación en la organización.
Estos procedimientos comienzan por completar el documento de requisitos con el detalle de los
servidores, herramientas para temas de contención y contactos de los encargados de cada uno de ellos y
finaliza con la implementación de los procedimientos y herramientas necesarias.
A continuación, se proponen procedimientos pre-incidentes.
• Completar el documento “CCI-IR Documento de requisitos Playbooks CONSORCIO.xlsx” asociado

a este documento.
• Para la compresión de los activos que puedan ser afectados por causa de Virus o Ransomware,
se propone contar con esquemas, segmentos de red y software actualizado relacionado con la
plataforma de servidores.
• Habilitar las mitigaciones iniciales a nivel de networking con el fin de aislar el host, servidor,
hypervisor o red afectada del resto de la organización.
5
• Definir un procedimiento de restauración de respaldos asociados a los SLA de la organización.
• Definir un procedimiento para la habilitación de site de contingencia.
• En caso de no existir, desplegar herramientas de monitoreo para detectar comportamiento

anómalo en entornos de servidores.
• Obtener logs de los servidores desde consolas antivirus, antispam, filtro de contenido, firewall
perimetral, IPS/IDS y dispositivos de comunicaciones. Se debe asegurar que se están enviando
todos los eventos a un dispositivo de correlación y análisis.
• En caso de que aplique, contar con los contactos de proveedores de soluciones de seguridad,
soporte, infraestructura, etc.
6
2. Proceso del Playbook
2.1. Workflow (EJEMPLO)
El workflow del Playbook representa un esquema completo del proceso, el cual simplifica los pasos a
seguir durante el proceso de incidente.
Ilustración 1. Esquema del proceso de PLAYBOOK
7
2.2. Descripción de las Etapas del Playbook
A continuación, se presenta una tabla que describe los objetivos de cada etapa:
Etapa Descripción
Esta etapa se compone de la identificación y alcance inicial de la alerta de

Identificación
seguridad.
La etapa de contención tiene como objetivo contener y mitigar los efectos del
Contención
ataque en los sistemas afectados.
La etapa de erradicación tiene por objetivo tomar las acciones necesarias para
Erradicación
remover el contenido no deseado.
La etapa de recuperación tiene por objetivo restaurar el sistema a una condición
Recuperación
normal de operación.
Esta etapa tiene por objetivo documentar y generar un informe del incidente.
Post Incidente
También propone ajustar el plan de IR y actualizar la base documental.
Tabla 1. Descripción de las Etapas del Playbook
2.3. Roles responsables por etapa
La siguiente tabla define los roles responsables por cada etapa:
Etapa Rol Responsable (CCI IR) Rol Responsable
• Líder de Ciberseguridad
• Soporte en Terreno (Desktop)
• Líder Producción e Infraestructura
Identificación
Seguridad Defensiva: Tier 1 y 2. • Mesa de Ayuda
• Proveedor de Infraestructura (Servidores)
Contención
IR: Analista de Incidente • Mesa de Ayuda
Erradicación
IR: Analista de Incidente • Proveedor servicio Incident Response
8
Etapa Rol Responsable (CCI IR) Rol Responsable

• Mesa de Ayuda
• Jefe de Servicios Usuario Final
Recuperación
IR: Analista de Incidente • Mesa de ayuda
• Proveedor servicio Incident Response
IR: Líder de Incidente, Analista de • Líder Continuidad de Negocios
Post Incidente
Incidente • Jefe de Seguridad de la Información
Tabla 2. Roles responsables por etapa
9
3. Acciones y Remediación: Procedimiento Cliente
3.1. Etapa de Identificación
La etapa de identificación se compone de la identificación y alcance inicial de la alerta de seguridad.
Etapa Roles Responsables
Identificación
• Mesa de Ayuda
Tabla 3. Etapa de Identificación
Procedimiento de la etapa de Identificación
Nº Tarea/Descripción Responsable
I1.1 Confirmar la afectación del sistema por un

malware. Algunos ejemplos pueden ser:
- Lentitud excesiva en el sistema. • Líder de Ciberseguridad

- Alertas propias del antivirus.
Numerosos archivos modificados en un corto plazo, • Soporte en Terreno (Desktop)
especialmente en directorios compartidos. • Mesa de ayuda
I1.2 Si es un ataque a través de Ransomware, se

pueden observar los siguientes comportamientos:
Normalmente se recibirá un mensaje con • Líder de Ciberseguridad
instrucciones respecto al cifrado de datos y el pago
que se exige. Se debe recoger esta evidencia. • Líder Producción e Infraestructura
Existen casos donde se podría limitar el acceso al • Soporte en Terreno (Desktop)
I1
sistema (boot). • Mesa de ayuda
10
I1.3 Los archivos del sistema afectado o parte de ellos

se encontrarán cifrados, por lo tanto, no serán
accesibles, la recomendación es:
Si sólo es una carpeta se recomienda aislar el resto de

los archivos en una ubicación externa para no ser
afectado por el malware, (identificar extensión).
No existe seguridad de que los archivos puedan ser • Líder de Ciberseguridad

recuperados por lo que se recomienda respaldar los • Líder Producción e Infraestructura
archivos, aunque estén cifrados en caso de generación
de herramienta que permita recuperar los archivos • Soporte en Terreno (Desktop)
posteriormente. • Mesa de ayuda
Entregar nombre del servidor o Desktop afectado y
nombre del responsable de servicio:
Si es en un Desktop se debe entregar el nombre de • Líder Producción e Infraestructura
usuario y equipo.
Si corresponde a un Servidor se debe entregar el
nombre del servidor y el responsable de este para • Mesa de ayuda
I2
iniciar las actividades de recuperación. •
I3.1 Levantar archivos de logs del servidor (Exportar
visor de eventos):
En entornos GNU/Linux se debe exportar el

contenido de la carpeta /var/log/*.
En entornos Microsoft Windows se debe exportar el • Líder Producción e Infraestructura
visor de eventos o en individualizar los registros
como son: security o • Soporte en Terreno (Desktop)
EVENTLOG_WARNING_TYPE (0x0002). • Mesa de ayuda
I3.2 Analizar logs de servidores, balanceadores,
firewalls, antispam para identificar orígenes del
ataque, los registros a recuperar son:
• Logs de tráfico.
• Logs de UTM (si existen).
• Logs de navegación. • Líder de Ciberseguridad
• Logs de resoluciones DNS. • Soporte en Terreno (Desktop)
I3.3 Revisar información que maneja la mesa de
ayuda:
• Cantidad de usuarios afectados.

• Ubicaciones de los afectados. • Líder de Ciberseguridad
I3
• Tiempo de vida del ticket. • Mesa de ayuda
11
I3.4 Solicitar revisión de los archivos de bases de datos

y determinar si fueron afectados.
• Se debe revisar la integridad de la BBDD. • Líder Producción e Infraestructura
• Se debe revisar la operatividad de la BBDD. • Soporte en Terreno (Desktop)
Solicitar a proveedor envío de muestra a fabricante de

antivirus, si este no es capaz de detectar la amenaza
para descartar falso positivo: Se debe dar acceso al
proveedor a un equipo afectado para la ejecución de
herramientas de toma de muestras según el
I4
procedimiento del fabricante. • Líder de Ciberseguridad
Convocar a las áreas o responsables
I5
correspondientes. • Líder de Ciberseguridad
Si se concluye que es un ataque por Ransomware, se
I6
deberá convocar a Comité de Crisis CONSORCIO. • Líder de Ciberseguridad
Notificar del incidente y activación del playbook a
comité de crisis consorcio para información y
I7
evaluación. • Líder de Ciberseguridad
Tabla 4. Procedimiento de la etapa de Identificación
3.2. Etapa de Contención
Esta etapa tiene como objetivo contener y mitigar los efectos del ataque en los sistemas afectados.
Contención
• Mesa de Ayuda
12
Procedimiento de la etapa Contención
En caso de identificar algún correo electrónico • Proveedor de Infraestructura
malicioso como vector de ataque, difundir en la (Servidores)
organización la obligación de NO responder dicho
correo electrónico, no interactuar y reportar a la mesa • Soporte en Terreno (Desktop)
C1
de ayuda. • Líder Producción e Infraestructura
• Sacar de producción el servidor o estación afectado
para evitar propagación de la infección a través de • Proveedor de Infraestructura
red. (Servidores)
• Si el origen del ataque se logra identificar, se debe • Soporte en Terreno (Desktop)

C2
aislar el segmento de red al que pertenece. • Líder Producción e Infraestructura
Si se detectan conexiones con servidor de C&C, solicitar
el bloqueo de tráfico:
• A IP de destino • Líder de Ciberseguridad

• A registro DNS destino • Líder Producción e Infraestructura
C3
• A otras ubicaciones dentro de la red interna. • Soporte en terreno (Desktop)
Si aplica, posteriormente será revisado por personal del
C4
Grupo IR del CCI de Entel (Análisis Forense). • Líder de Ciberseguridad
Informar al comité de crisis de las medidas de
C5
contención y evolución del incidente • Líder de Ciberseguridad
13
3.3. Etapa de Erradicación
La etapa de erradicación tiene por objetivo tomar las acciones necesarias para remover el contenido no
deseado.
Erradicación
• Mesa de Ayuda
Procedimiento de la etapa Erradicación
Posterior al análisis:
• Remover la infección de forma manual o con la

solución Antivirus si es que el proveedor de la
solución entregó el update necesario.
• Eliminar manualmente los archivos individualizados • Líder de Ciberseguridad
del malware. • Líder Producción e Infraestructura
E1
• Usar una herramienta certificada de eliminación. • Soporte en terreno (Desktop)
Si lo anterior no es posible:
• Evaluar la restauración de backup funcional y válido

del servidor o sistemas de archivos afectados.
• Evaluar la restauración de un punto anterior del
sistema completo.
• Evaluar la reinstalación de sistema operativo. • Líder de Ciberseguridad
• Volver a E1 si es necesario antes de avanzar a la • Líder Producción e Infraestructura
E2
siguiente etapa. • Soporte en terreno (Desktop)
14
3.4. Etapa de Recuperación
La etapa de recuperación tiene por objetivo restaurar el sistema a una condición normal de operación.
Recuperación
• Mesa de ayuda
Procedimiento de la etapa recuperación
• Debe asegurar que la solución antivirus posea las

actualizaciones necesarias. • Líder de Ciberseguridad
• Programar el despliegue sobre los sistemas • Líder Producción e Infraestructura
R1 protegidos por esta. • Soporte en terreno (Desktop)
R2 Vuelta atrás de failover de servidores (si aplica) • Soporte en terreno (Desktop)
Monitorear el comportamiento del servidor y entorno
de red:
• Por posible nueva infección. • Líder Producción e Infraestructura
R3 • Por pérdida de servicio. • Soporte en terreno (Desktop)
Realizar una revisión completa del servidor y de los • Líder Producción e Infraestructura
R4 servicios provistos por este (checklist de seguridad). • Soporte en terreno (Desktop)
Notifica al comité de crisis de las medidas tomadas y la
R5 erradicación de la amenaza y/o incidente. • Líder de Ciberseguridad
Tabla 10. Procedimiento de la etapa de recuperación
15
3.5. Etapa post Incidente
Esta etapa tiene por objetivo documentar y generar un informe del incidente. También propone ajustar
el plan de IR y actualizar la base documental.
Post Incidente
• Líder Continuidad de Negocios
Procedimiento de la etapa Post Incidente
Nº Tarea Responsable
P1 Gestionar reporte de incidente. • Jefe de Seguridad de la Información
Revisar y discutir las lecciones aprendidas con
las áreas interna y los proveedores que hayan • Líder Producción e Infraestructura
P2 participado del incidente. • Jefe de Seguridad de la Información
Entregar informe de incidente, incluyendo
lecciones aprendidas a comité de crisis para • Líder de Ciberseguridad
P3 su conocimiento y toma de razón. •
• Jefe de Seguridad de la Información
P4 Ajustar documento Playbook • Líder Continuidad de Negocios
Tabla 12. Procedimiento de la etapa de Incidente
16
4. Contactos
A continuación, se presenta la tabla de contactos necesarios para el desarrollo del procedimiento descrito
en el documento:
NIVEL 1
Nombre / Empresa / Correo Números
Rol Electrónico telefónicos
Gerardo Mendez | CONSORCIO
Ciberseguridad gerardo.mendez@consorcio.cl +56 9 5836 7790
Juan Carlos Herrera | CONSORCIO
Mesa de ayuda (*) Juancarlos.Herrera@consorcio.cl +56 9 6120 2906
Marcelo Coliman | CONSORCIO
Proveedor de Correo (*) marcelo.coliman@consorcio.cl +56 2 2249 2110
Proveedor de Infraestructura Marcelo Coliman | CONSORCIO
(Servidores) marcelo.coliman@consorcio.cl +56 2 2249 2110
Soporte en Terreno Juan Carlos Herrera | CONSORCIO
(Desktop) (*) Juancarlos.Herrera@consorcio.cl +56 9 6120 2906
Líder Producción e Pablo Silva | CONSORCIO
Infraestructura pablo.silva@consorcio.cl +56 9 7965 1273
Tabla 13. Contactos Nivel 1
(*) Servicio Horario Oficina
NIVEL 2
Nombre / Empresa / Correo Números
Rol Electrónico telefónicos
Cesar Labbe | CONSORCIO
Líder Ciberseguridad Cesar.labbe@consorcio.cl +56 9 6842 9137
Hector Muñoz | CONSORCIO
Mesa de ayuda Hector.Munoz@consorcio.cl +56 9 9750 4470
Proveedor de Correo Hector.Munoz@consorcio.cl +56 9 9750 4470
Proveedor de Infraestructura Hector Muñoz | CONSORCIO
(Servidores) Hector.Munoz@consorcio.cl +56 9 9750 4470
Soporte en Terreno (Desktop) Hector.Munoz@consorcio.cl +56 9 9750 4470
Líder Producción e Hector Muñoz | CONSORCIO
Infraestructura Hector.Munoz@consorcio.cl +56 9 9750 4470
Tabla 14. Contactos Nivel 2
17

IR-001 PLAYBOOK VIRUS Y RANSOMWARE v1.6

Cargado por

Copyright:

Formatos disponibles

IR-001 PLAYBOOK VIRUS Y RANSOMWARE v1.6

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

IR-001 PLAYBOOK VIRUS Y RANSOMWARE v1.6

Cargado por

Copyright:

Formatos disponibles

IR PLAYBOOK

Identificación del documento

Nombre del documento Declaración del Servicio Análisis de Eventos

Fecha de publicación 06/07/2020

Control de versiones del documento

Nombre del Archivo Versión Resumen de cambios producidos Fecha

IR Playbook "Virus y Ransomware"

Actualización responsable CCI-

IR Playbook "Virus y Ransomware"

Identificación del documento ............................................................................................3

1.1. Documento de requisitos

1.2. Levantamiento de la Información

El levantamiento de la información será realizado de la siguiente forma:

1.3. Procedimientos pre-Incidente

A continuación, se proponen procedimientos pre-incidentes.

• Completar el documento “CCI-IR Documento de requisitos Playbooks CONSORCIO.xlsx” asociado

• Definir un procedimiento de restauración de respaldos asociados a los SLA de la organización.

• Definir un procedimiento para la habilitación de site de contingencia.

• En caso de no existir, desplegar herramientas de monitoreo para detectar comportamiento

2. Proceso del Playbook

2.1. Workflow (EJEMPLO)

Ilustración 1. Esquema del proceso de PLAYBOOK

2.2. Descripción de las Etapas del Playbook

Esta etapa se compone de la identificación y alcance inicial de la alerta de

2.3. Roles responsables por etapa

La siguiente tabla define los roles responsables por cada etapa:

Etapa Rol Responsable (CCI IR) Rol Responsable

Etapa Rol Responsable (CCI IR) Rol Responsable

3. Acciones y Remediación: Procedimiento Cliente

3.1. Etapa de Identificación

La etapa de identificación se compone de la identificación y alcance inicial de la alerta de seguridad.

Etapa Roles Responsables

Procedimiento de la etapa de Identificación

I1.1 Confirmar la afectación del sistema por un

- Lentitud excesiva en el sistema. • Líder de Ciberseguridad

I1.2 Si es un ataque a través de Ransomware, se

I1.3 Los archivos del sistema afectado o parte de ellos

Si sólo es una carpeta se recomienda aislar el resto de

No existe seguridad de que los archivos puedan ser • Líder de Ciberseguridad

En entornos GNU/Linux se debe exportar el

• Cantidad de usuarios afectados.

I3.4 Solicitar revisión de los archivos de bases de datos

Solicitar a proveedor envío de muestra a fabricante de

3.2. Etapa de Contención

Etapa Roles Responsables

Procedimiento de la etapa Contención

• Si el origen del ataque se logra identificar, se debe • Soporte en Terreno (Desktop)

• A IP de destino • Líder de Ciberseguridad

3.3. Etapa de Erradicación

Etapa Roles Responsables

Procedimiento de la etapa Erradicación

• Remover la infección de forma manual o con la

• Evaluar la restauración de backup funcional y válido

3.4. Etapa de Recuperación

Etapa Roles Responsables

Procedimiento de la etapa recuperación

• Debe asegurar que la solución antivirus posea las

3.5. Etapa post Incidente

Etapa Roles Responsables

Procedimiento de la etapa Post Incidente