Ransomware

//Ransomware

Ransomware

Ransomware

Ransomware no es nada nuevo. De hecho tiene cerca de 30 años desde su primer aparición. Lo que es nuevo, es el USO preferido de estos por los Ciber-criminales.

Una cosa es cierta, el Ransomware no desaparecerá pronto (posiblemente NUNCA) y lo único que puedes hacer es proteger y defender, de la mejor manera, a tu organización.

Los ataques por Ransomware datan de 1989 y existen dos tipos de variantes: Crypto y Locker. Crypto-ransomware cifran archivos, carpetas, discos duros, etc. Locker-ransomware es mas común verlo en dispositivos Android, en donde solo deja sin acceso a los usuarios en sus dispositivos.

Un ransomware en similar a un Malware, el cual se instala el mismo y correo dentro del sistema operativo sin el conocimiento del usuario. A diferencia de un Malware que esconde y borra información valiosa, un Ransomware no esconde dicha información. Tan pronto como el ransomware bloquea y cifra la información del usuario, le notifica de su propia presencia y solicita dinero por el rescate de dichos datos.

Para aumentar la angustia de la víctima, el ransomware incorpora un reloj de cuenta regresiva con una fecha limite de pago por el rescate de la información o de lo contrario la llave de descifrado sera destruida y con esto también cualquier oportunidad de recuperación de los datos.

Ransomware y sus fases

Pagar por el “rescate” de la información, comúnmente significa que el atacante va a descifrar los datos o proveer de la llave de descifrado, lamentablemente no siempre sucede así y solo gastamos el dinero solicitado sin que se cumpla lo que prometen.

Ahora, el ataque puede ser que no termine ahi. El atacante usualmente instala malware adicionales para poder obtener información personal, propiedad intelectual o credenciales del usuario para una futura extorsión.

Detén el Ransomware antes de que comience

Aun el usuario mas educado en recomendaciones de seguridad de informática, puede convertirse en una víctima de exploits sofisticados que pueden infectar tu maquina con ransomware.

Los antivirus tradicionales basados en firmas, pueden proteger a las organizaciones de algunos malwares conocidos. Sin embargo, existen muchas variantes de estos ataques que pueden inyectar PowerShell, scripts, macros, ataques con remote shell y ataques basados (dirigidos) en memoria que simplemente un Antivirus tradicional no puede detener. Estos ataques conforman mas del 50% de los ataques que enfrentan día a día las organizaciones.

14 mejores prácticas para evadir y/o evitar infecciones con Ransomware

El primer paso que se debe de tomar, es contar con una solución de Antivirus de siguiente generación que pueda proteger a los endpoints, servidores y sistemas mas críticos.

14 mejores prácticas para evadir y/o evitar infecciones con Ransomware

antes mencionadas en nuestro articulo sobre Petya
  1. Respalda tu información regularmente. Verifica la integridad de los respaldos y pruébalos para ver si funciona el proceso de recuperación.
  2. Protege tus respaldos. Asegurate que los respaldos no estén dentro de la misma red o maquina donde se realizaron inicialmente. Un respaldo puede ser la única forma de recuperarte después de una infección de ransomware.
  3. Configura firewalls para bloquear las direcciones IP maliciosas conocidas.
  4. Segmentación de Red. La segmentación de red ayuda que de manera lógica sea muy difícil que se esparza el malware entre las redes de usuarios y servidores.
  5. Actualiza los parches de sistemas operativos, software y firmwares de dispositivos. Considera usar una herramienta de administración centralizada para este tipo de actividades.
  6. Implementa planes o entrenamientos de concientización de seguridad informática. Los objetivos principales, y los mas fáciles de llegar, son los usuarios finales, así que cada uno necesita del conocimiento de estar alerta de este posible tipo de ataque.
  7. Escanea todo el correo entrante y saliente para detectar posibles executables infectados para que no lleguen al usuario final.
  8. Habilita soluciones de Anti-Spam robustas para prevenir emails falsos (phishing) para autenticar todo el correo entrante con mecanismos como Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC), and DomainKeys Identified Mail (DKIM).
  9. Bloquea los Ads. Bloquear los Ads de sitios con mala reputación reduce los riesgos que puedan infectarse.
  10. Usa el principio de “pocos privilegios” para la administración de cuentas. No se debe de asignar a usuarios finales permisos de tareas administrativas a menos que sea muy necesario.
  11. Implementa soluciones con tecnología de Antivirus de Siguiente Generación (NG-AV) para inspeccionar archivos e identificar actividad sospechosa de acuerdo al comportamiento que tengan los ataques de malware o sin-malware (malware-less).
  12. Utiliza Listas Blancas de Aplicaciones las cuales permiten a los sistemas operativos, solo ejecutar las aplicaciones conocidas o permitidas por la política de seguridad de la organización.
  13. Categoriza la información de acuerdo a su valor e implementa segmentación física y lógica de las redes y datos según cada unidad organizacional.
  14. Ejecuta pruebas de penetración cada año, así como análisis de vulnerabilidades periódicas.

Conclusión

Los Ransomware están aquí y no desaparecerán. Los criminales están haciendo mucho dinero en una forma exorbitante y tienen muy poca resistencia por parte de las organizaciones.

Han salido más variantes de ransomware en los últimos 18 meses que en los últimos 29 años juntos.

Para minimizar los riesgos de una infección por medio de ransomware se necesita una estrategia profunda entre Operadores de Seguridad de TI y los usuarios finales, en donde no es suficiente con tener un software independiente para la protección, se necesita capacitación, seguridad en el endpoint de siguiente generación y una muy buena política de respaldo de la información.

Autor: Jesús Ramirez 
Edicion: Martín Chávez
Diseño: Jesus Jezzini
2017-07-31T12:31:21+00:00 julio 3rd, 2017|Categories: Noticias|Tags: , , , , , , , |Comentarios Desactivados en Ransomware