Medidas contra Ransomware
Ultimamente hay un nuevo pico de ataques Ransomware a las empresas, por ello voy a realizar una actualización de medidas preventivas y si ya eres víctima como responder:
¿Qué es Ransomware?
“secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción, frecuentemente el atacante dinero a través de bitcoins.
Métodos de Infección:
Hasta lo observado existen tres métodos de infección:
- SPAM de Correo electrónico, a la víctima le llega un correo con un archivo adjunto tipo: pdf, xls, word y al hacerle click se inicia el ransomware.
- Memorias USBs, a través de una memoria infectada y directamente ingresa a una PC de la organización.
- Servidor de la empresa publicado a Internet sin protección o con una configuración básica o por default que luego el atacante aprovechara para ingresar a la red. Ejemplo Servidor Terminal Server.
De los tres métodos anteriores, en los últimos meses he visto que el atacante aprovecha el Servidor Terminal Server/RDP 3389/tcp conectado y publicado a Internet con medidas de protección básicas. El atacante aprovecha esta vulnerabilidad, de la siguiente forma:
- Identificando que el puerto 3389/tcp está abierto desde Internet.
- Realizando ataques de fuerza bruta probando una lista de usuarios y contraseñas o utilizando un exploit para obtener el control total del servidor.
- Una vez que el atacante ingresa al servidor RDP empieza a buscar en la red Interna archivos de mayor “valor”, tipo: .sql,. bkp, grandes, recientes y luego los encripta para finalmente pedir un rescate a las empresas.
Sí ya eres Victima de un Ransomware:
- Te recomiendo desconectar de la red la computadora infectada.
- Tomar una foto de los archivos infectados donde se vea la extensión y así puedas buscar si hay publicado un decryptor.
- Copia el Readme.txt que te deja el atacante, si es posible me lo puedes enviar a mi correo personal.
- El siguiente link de la #nomoreransomware es un buen recurso para buscar un decryptor: https://www.nomoreransom.org/crypto-sheriff.php?lang=en
Recomendaciones Preventivas:
- Backup de la data más importante de la Empresa:
- Backup, Backup, Backup! (Dependiendo del negocio, quizas lo mejor sea diario o semanal)
- Probar el Restore en cada Backup. (Igual sería probarlo diario o semanal)
2. Personas
- Desarrollar un programa de Concientización periódico en la Empresa con apoyo de la Alta Gerencia.
- Recomiendo el programa de #Incibe (Instituto de Ciberseguridad de España), esta muy bien la estructura y el material, Kit Concienciación
3. PCs de Usuarios:
- Actualizar los sistemas operativos, para ello siempre es recomendable ver la página oficial de #Windows Update
- Actualizar el antivirus/antimalware.
- Actualizar aplicaciones que usas frecuentemente por ejemplo: Adobe Acrobat Updates
4. Servidores:
- Actualizar los sistemas operativos. Por ejemplo aplicar los parches de seguridad para la vulnerabilidad CVE-2019–0708
- Actualizar el antivirus/antimalware.
- No ejecutar los servicios públicos como usuario Administrador.
- No publicar el servicio RDP a Internet, recomiendo usar el VPN SSL o VPN IPSEC del firewall perimetral.
4. Seguridad Perimetral:
- Afinar las políticas de Antispam y Antivirus para minimizar la recepción de correo malicioso.
- Revisar la configuración de las reglas de seguridad de tu firewall perimetral con reglas de entrada y salida.
- Sí no estas usando el servicio de Terminal Service, bloquear el puerto 3389/tcp en el firewall perimetral.
- Sí necesitas una conexión remota, habilitar la conexión VPN IPsec o VPN SSL en tu firewall/VPN así podrás ingresar vía Web (https). Ejemplo con #Fortigate conexión VPN SSL y verificar el Antivirus del usuario remoto.
5. Gestión:
- Contar con herramientas que te brinden una visión global de los ataques que van dirigidos a tu empresa.
- Habilitar eventos, registros, logs para que tengas visualización de la actividad de malware de la red Interna.
Fuentes:
Incibe, Kit de concienciación:
FortiGate Cookbook — SSL VPN Web/Tunnel Mode (5.6)
Aplicar Parche para la Vulnerabilidad CVE-2019–0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708