Ir al contenido principal

[Recomendado] - Buenas prácticas contra ataques de ransomware


(Una serie de apuntes que iremos actualizando con el tiempo)

¿Que és el ransomware?

  • Captura data, encripta.
  • El atacante solicita una recompensa.
  • Se distribuye por email, sitios web.

¿Por qué se ha vuelto tan popular?

  • Uso del Bitcoin para solicitar los rescates. Alza del precio del Bitcoin.
  • Surgimiento del Ransomware-como-servicio que permite a cualquiera realizar ataques.
  • Debilidades en la detección desde el Sistema Operativo. Defensas en desarrollo.
  • Usuarios poco entrenados en ciberseguridad.
  • Los atacantes han mejorado sus habilidades en ingeniería social.

Acciones efectivas

  • Debe realizar un backup periódico de los archivos.
  • Procure educar a los empleados en ciberseguridad con regularidad. (Seguridad Proactiva)
  • Verifique periodicamente los backups.
  • Instale los backups separados de la red local.
  • Configure las medidas de restricción de ejecución.
  • Haga que sus empleados usen las computadoras con derechos restringidos, no como Admin.
  • Debe procurar estar al día con las actualizaciones de software.
  • Debe mantener actualizado MS Office. Activar la vista protegida.
  • Debe mantener actualizado el antivirus.
  • Establezca un plan de continuidad de negocio.
  • Establezca un plan de respuesta a incidentes.
  • Realice un análisis de riesgos. Enumere sus activos más importantes. Planifique la defensa.

Protección del email

  • Ordene a su administrador de red establecer filtros robustos anti spam
  • Bloquee los archivos adjuntos de remitentes desconocidos. Bloquee adjuntos con extensiones MS Office antiguas (.doc, .xls)
  • Haga una lista blanca de extensiones de archivos permitidos en los adjuntos.

Protección en nivel de red

  • El firewall debe limitar o bloquear RDP (Escritorio remoto), WMI y otros servicios de administración.
  • En las computadoras de usuarios, quite derechos administrativos innecesarios.
  • Establezca una lista blanca de programas permitidos en su empresa.
  • Limite el permiso de escritura a pocos directorios.
  • Limite la ejecución de Windows Script Host, macros de MS Office, Extensiones relacionadas a ejecutables y acceso directo, PowerShell.
  • Establezca la restricción de ejecución desde %LocalAppData% y %AppData%.
  • Permita que los usuarios puedan ver las extensiones de archivos conocidos en el Explorador de Windows.
  • Realice una prueba periodica de penetración.
  • Solucione las vulnerabilidades reportadas por las pruebas de penetración.
  • Configure el firewall para el bloqueo de IPs maliciosas.

Si es afectado por el ransomware...

  • Si se encuentra en un periodo temprano de infección, apague el sistema de inmediato para prevenir la propagación del cifrado en el disco.
  • Si ya lleva mucho tiempo, desconecte inmediatamente el equipo de la red para evitar la propagación.
  • La desconexión incluye Wifi, Bluetooth, conexiones hacia almacenamiento externo por USB. No apague el equipo.
  • Tome un snapshot del sistema (RAM y disco) en el equipo recién infectad. Tendrá una oportunidad para localizar las claves (o no).
  • Averigue el canal de ataque, si se trata de un email o un archivo en USB. De esta manera podrá prevenir otro ataque.
  • En su centro de computo, bloquee el acceso a la red de todos los equipo de inmediato para impedir que nuevas computadoras infectadas con el ransomware contacte con su centro de comandos.
  • Limpie los equipos con un antivirus actualizado. Para una recuperación completa considere reinstalar el Sistema Operativo.
  • De ser posible, cambie las contraseñas usadas en servicios online y red local de los usuarios afectados. 
  • Notifique a las autoridades. Pueden ayudarlo en la investigación y comunicar actividades que ayuden en la captura de los criminales.

Evite pagar el rescate

  • Si paga el rescate, está financiando a los atacantes para que realicen nuevos crímenes.
  • El pago no garantiza el rescate de los archivos. Solo refuerza el modelo de negocio de los atacantes.
  • El desarrollo del ransomware seguirá mejorando. Debe mantenerse preparado.
  • Use las buenas prácticas para proteger su organización.
  • Realice simulacros y pruebas periodicas para confirmar sus defensas.

Fuente

Ransomware: Best Practices for Prevention and Response

https://insights.sei.cmu.edu/sei_blog/2017/05/ransomware-best-practices-for-prevention-and-response.html

https://www.us-cert.gov/sites/default/files/publications/Ransomware_Executive_One-Pager_and_Technical_Document-FINAL.pdf


Comentarios