Medidas contra Ransomware

cesar farro

Ultimamente hay un nuevo pico de ataques Ransomware a las empresas, por ello voy a realizar una actualización de medidas preventivas y si ya eres víctima como responder:

¿Qué es Ransomware?

“secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción, frecuentemente el atacante dinero a través de bitcoins.

Métodos de Infección:

Hasta lo observado existen tres métodos de infección:

  1. SPAM de Correo electrónico, a la víctima le llega un correo con un archivo adjunto tipo: pdf, xls, word y al hacerle click se inicia el ransomware.
  2. Memorias USBs, a través de una memoria infectada y directamente ingresa a una PC de la organización.
  3. Servidor de la empresa publicado a Internet sin protección o con una configuración básica o por default que luego el atacante aprovechara para ingresar a la red. Ejemplo Servidor Terminal Server.

De los tres métodos anteriores, en los últimos meses he visto que el atacante aprovecha el Servidor Terminal Server/RDP 3389/tcp conectado y publicado a Internet con medidas de protección básicas. El atacante aprovecha esta vulnerabilidad, de la siguiente forma:

  • Identificando que el puerto 3389/tcp está abierto desde Internet.
  • Realizando ataques de fuerza bruta probando una lista de usuarios y contraseñas o utilizando un exploit para obtener el control total del servidor.
  • Una vez que el atacante ingresa al servidor RDP empieza a buscar en la red Interna archivos de mayor “valor”, tipo: .sql,. bkp, grandes, recientes y luego los encripta para finalmente pedir un rescate a las empresas.

Sí ya eres Victima de un Ransomware:

  • Te recomiendo desconectar de la red la computadora infectada.
  • Tomar una foto de los archivos infectados donde se vea la extensión y así puedas buscar si hay publicado un decryptor.
  • Copia el Readme.txt que te deja el atacante, si es posible me lo puedes enviar a mi correo personal.
  • El siguiente link de la #nomoreransomware es un buen recurso para buscar un decryptor: https://www.nomoreransom.org/crypto-sheriff.php?lang=en

Recomendaciones Preventivas:

  1. Backup de la data más importante de la Empresa:
  • Backup, Backup, Backup! (Dependiendo del negocio, quizas lo mejor sea diario o semanal)
  • Probar el Restore en cada Backup. (Igual sería probarlo diario o semanal)

2. Personas

  • Desarrollar un programa de Concientización periódico en la Empresa con apoyo de la Alta Gerencia.
  • Recomiendo el programa de #Incibe (Instituto de Ciberseguridad de España), esta muy bien la estructura y el material, Kit Concienciación

3. PCs de Usuarios:

  • Actualizar los sistemas operativos, para ello siempre es recomendable ver la página oficial de #Windows Update
  • Actualizar el antivirus/antimalware.
  • Actualizar aplicaciones que usas frecuentemente por ejemplo: Adobe Acrobat Updates

4. Servidores:

  • Actualizar los sistemas operativos. Por ejemplo aplicar los parches de seguridad para la vulnerabilidad CVE-2019–0708

4. Seguridad Perimetral:

  • Afinar las políticas de Antispam y Antivirus para minimizar la recepción de correo malicioso.
  • Revisar la configuración de las reglas de seguridad de tu firewall perimetral con reglas de entrada y salida.
  • Sí no estas usando el servicio de Terminal Service, bloquear el puerto 3389/tcp en el firewall perimetral.
  • Sí necesitas una conexión remota, habilitar la conexión VPN IPsec o VPN SSL en tu firewall/VPN así podrás ingresar vía Web (https). Ejemplo con #Fortigate conexión VPN SSL y verificar el Antivirus del usuario remoto.

5. Gestión:

  • Contar con herramientas que te brinden una visión global de los ataques que van dirigidos a tu empresa.
  • Habilitar eventos, registros, logs para que tengas visualización de la actividad de malware de la red Interna.

Fuentes:

Incibe, Kit de concienciación:

Windows Update:

Adobe Updates:

FortiGate Cookbook — SSL VPN Web/Tunnel Mode (5.6)

Aplicar Parche para la Vulnerabilidad CVE-2019–0708

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

CISA Infraestructure:

cesar farro

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade