Medidas contra Ransomware

Ultimamente hay un nuevo pico de ataques Ransomware a las empresas, por ello voy a realizar una actualización de medidas preventivas y si ya eres víctima como responder:

¿Qué es Ransomware?

“secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción, frecuentemente el atacante dinero a través de bitcoins.

Métodos de Infección:

Hasta lo observado existen tres métodos de infección:

  1. SPAM de Correo electrónico, a la víctima le llega un correo con un archivo adjunto tipo: pdf, xls, word y al hacerle click se inicia el ransomware.
  2. Memorias USBs, a través de una memoria infectada y directamente ingresa a una PC de la organización.
  3. Servidor de la empresa publicado a Internet sin protección o con una configuración básica o por default que luego el atacante aprovechara para ingresar a la red. Ejemplo Servidor Terminal Server.

De los tres métodos anteriores, en los últimos meses he visto que el atacante aprovecha el Servidor Terminal Server/RDP 3389/tcp conectado y publicado a Internet con medidas de protección básicas. El atacante aprovecha esta vulnerabilidad, de la siguiente forma:

  • Identificando que el puerto 3389/tcp está abierto desde Internet.
  • Realizando ataques de fuerza bruta probando una lista de usuarios y contraseñas o utilizando un exploit para obtener el control total del servidor.
  • Una vez que el atacante ingresa al servidor RDP empieza a buscar en la red Interna archivos de mayor “valor”, tipo: .sql,. bkp, grandes, recientes y luego los encripta para finalmente pedir un rescate a las empresas.

Sí ya eres Victima de un Ransomware:

  • Te recomiendo desconectar de la red la computadora infectada.
  • Tomar una foto de los archivos infectados donde se vea la extensión y así puedas buscar si hay publicado un decryptor.
  • Copia el Readme.txt que te deja el atacante, si es posible me lo puedes enviar a mi correo personal.
  • El siguiente link de la #nomoreransomware es un buen recurso para buscar un decryptor: https://www.nomoreransom.org/crypto-sheriff.php?lang=en

Recomendaciones Preventivas:

  1. Backup de la data más importante de la Empresa:
  • Backup, Backup, Backup! (Dependiendo del negocio, quizas lo mejor sea diario o semanal)
  • Probar el Restore en cada Backup. (Igual sería probarlo diario o semanal)

2. Personas

  • Desarrollar un programa de Concientización periódico en la Empresa con apoyo de la Alta Gerencia.
  • Recomiendo el programa de #Incibe (Instituto de Ciberseguridad de España), esta muy bien la estructura y el material, Kit Concienciación

3. PCs de Usuarios:

  • Actualizar los sistemas operativos, para ello siempre es recomendable ver la página oficial de #Windows Update
  • Actualizar el antivirus/antimalware.
  • Actualizar aplicaciones que usas frecuentemente por ejemplo: Adobe Acrobat Updates

4. Servidores:

  • Actualizar los sistemas operativos. Por ejemplo aplicar los parches de seguridad para la vulnerabilidad CVE-2019–0708

4. Seguridad Perimetral:

  • Afinar las políticas de Antispam y Antivirus para minimizar la recepción de correo malicioso.
  • Revisar la configuración de las reglas de seguridad de tu firewall perimetral con reglas de entrada y salida.
  • Sí no estas usando el servicio de Terminal Service, bloquear el puerto 3389/tcp en el firewall perimetral.
  • Sí necesitas una conexión remota, habilitar la conexión VPN IPsec o VPN SSL en tu firewall/VPN así podrás ingresar vía Web (https). Ejemplo con #Fortigate conexión VPN SSL y verificar el Antivirus del usuario remoto.

5. Gestión:

  • Contar con herramientas que te brinden una visión global de los ataques que van dirigidos a tu empresa.
  • Habilitar eventos, registros, logs para que tengas visualización de la actividad de malware de la red Interna.

Fuentes:

Incibe, Kit de concienciación:

Windows Update:

Adobe Updates:

FortiGate Cookbook — SSL VPN Web/Tunnel Mode (5.6)

Aplicar Parche para la Vulnerabilidad CVE-2019–0708

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

CISA Infraestructure:

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store