Medidas contra Ransomware

4 min readSep 16, 2019

Ultimamente hay un nuevo pico de ataques Ransomware a las empresas, por ello voy a realizar una actualización de medidas preventivas y si ya eres víctima como responder:

¿Qué es Ransomware?

“secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción, frecuentemente el atacante dinero a través de bitcoins.

Métodos de Infección:

Hasta lo observado existen tres métodos de infección:

SPAM de Correo electrónico, a la víctima le llega un correo con un archivo adjunto tipo: pdf, xls, word y al hacerle click se inicia el ransomware.
Memorias USBs, a través de una memoria infectada y directamente ingresa a una PC de la organización.
Servidor de la empresa publicado a Internet sin protección o con una configuración básica o por default que luego el atacante aprovechara para ingresar a la red. Ejemplo Servidor Terminal Server.

De los tres métodos anteriores, en los últimos meses he visto que el atacante aprovecha el Servidor Terminal Server/RDP 3389/tcp conectado y publicado a Internet con medidas de protección básicas. El atacante aprovecha esta vulnerabilidad, de la siguiente forma:

Identificando que el puerto 3389/tcp está abierto desde Internet.
Realizando ataques de fuerza bruta probando una lista de usuarios y contraseñas o utilizando un exploit para obtener el control total del servidor.
Una vez que el atacante ingresa al servidor RDP empieza a buscar en la red Interna archivos de mayor “valor”, tipo: .sql,. bkp, grandes, recientes y luego los encripta para finalmente pedir un rescate a las empresas.

Sí ya eres Victima de un Ransomware:

Te recomiendo desconectar de la red la computadora infectada.
Tomar una foto de los archivos infectados donde se vea la extensión y así puedas buscar si hay publicado un decryptor.
Copia el Readme.txt que te deja el atacante, si es posible me lo puedes enviar a mi correo personal.
El siguiente link de la #nomoreransomware es un buen recurso para buscar un decryptor: https://www.nomoreransom.org/crypto-sheriff.php?lang=en

Recomendaciones Preventivas:

Backup de la data más importante de la Empresa:

Backup, Backup, Backup! (Dependiendo del negocio, quizas lo mejor sea diario o semanal)
Probar el Restore en cada Backup. (Igual sería probarlo diario o semanal)

2. Personas

Desarrollar un programa de Concientización periódico en la Empresa con apoyo de la Alta Gerencia.
Recomiendo el programa de #Incibe (Instituto de Ciberseguridad de España), esta muy bien la estructura y el material, Kit Concienciación

3. PCs de Usuarios:

Actualizar los sistemas operativos, para ello siempre es recomendable ver la página oficial de #Windows Update

Actualizar el antivirus/antimalware.
Actualizar aplicaciones que usas frecuentemente por ejemplo: Adobe Acrobat Updates

4. Servidores:

Actualizar los sistemas operativos. Por ejemplo aplicar los parches de seguridad para la vulnerabilidad CVE-2019–0708

Actualizar el antivirus/antimalware.
No ejecutar los servicios públicos como usuario Administrador.
No publicar el servicio RDP a Internet, recomiendo usar el VPN SSL o VPN IPSEC del firewall perimetral.

4. Seguridad Perimetral:

Afinar las políticas de Antispam y Antivirus para minimizar la recepción de correo malicioso.
Revisar la configuración de las reglas de seguridad de tu firewall perimetral con reglas de entrada y salida.
Sí no estas usando el servicio de Terminal Service, bloquear el puerto 3389/tcp en el firewall perimetral.
Sí necesitas una conexión remota, habilitar la conexión VPN IPsec o VPN SSL en tu firewall/VPN así podrás ingresar vía Web (https). Ejemplo con #Fortigate conexión VPN SSL y verificar el Antivirus del usuario remoto.

5. Gestión:

Contar con herramientas que te brinden una visión global de los ataques que van dirigidos a tu empresa.
Habilitar eventos, registros, logs para que tengas visualización de la actividad de malware de la red Interna.