(Una serie de apuntes que iremos actualizando con el tiempo)
¿Que és el ransomware?
- Captura data, encripta.
- El atacante solicita una recompensa.
- Se distribuye por email, sitios web.
¿Por qué se ha vuelto tan popular?
- Uso del Bitcoin para solicitar los rescates. Alza del precio del Bitcoin.
- Surgimiento del Ransomware-como-servicio que permite a cualquiera realizar ataques.
- Debilidades en la detección desde el Sistema Operativo. Defensas en desarrollo.
- Usuarios poco entrenados en ciberseguridad.
- Los atacantes han mejorado sus habilidades en ingeniería social.
Acciones efectivas
- Debe realizar un backup periódico de los archivos.
- Procure educar a los empleados en ciberseguridad con regularidad. (Seguridad Proactiva)
- Verifique periodicamente los backups.
- Instale los backups separados de la red local.
- Configure las medidas de restricción de ejecución.
- Haga que sus empleados usen las computadoras con derechos restringidos, no como Admin.
- Debe procurar estar al día con las actualizaciones de software.
- Debe mantener actualizado MS Office. Activar la vista protegida.
- Debe mantener actualizado el antivirus.
- Establezca un plan de continuidad de negocio.
- Establezca un plan de respuesta a incidentes.
- Realice un análisis de riesgos. Enumere sus activos más importantes. Planifique la defensa.
Protección del email
- Ordene a su administrador de red establecer filtros robustos anti spam
- Bloquee los archivos adjuntos de remitentes desconocidos. Bloquee adjuntos con extensiones MS Office antiguas (.doc, .xls)
- Haga una lista blanca de extensiones de archivos permitidos en los adjuntos.
Protección en nivel de red
- El firewall debe limitar o bloquear RDP (Escritorio remoto), WMI y otros servicios de administración.
- En las computadoras de usuarios, quite derechos administrativos innecesarios.
- Establezca una lista blanca de programas permitidos en su empresa.
- Limite el permiso de escritura a pocos directorios.
- Limite la ejecución de Windows Script Host, macros de MS Office, Extensiones relacionadas a ejecutables y acceso directo, PowerShell.
- Establezca la restricción de ejecución desde %LocalAppData% y %AppData%.
- Permita que los usuarios puedan ver las extensiones de archivos conocidos en el Explorador de Windows.
- Realice una prueba periodica de penetración.
- Solucione las vulnerabilidades reportadas por las pruebas de penetración.
- Configure el firewall para el bloqueo de IPs maliciosas.
Si es afectado por el ransomware...
- Si se encuentra en un periodo temprano de infección, apague el sistema de inmediato para prevenir la propagación del cifrado en el disco.
- Si ya lleva mucho tiempo, desconecte inmediatamente el equipo de la red para evitar la propagación.
- La desconexión incluye Wifi, Bluetooth, conexiones hacia almacenamiento externo por USB. No apague el equipo.
- Tome un snapshot del sistema (RAM y disco) en el equipo recién infectad. Tendrá una oportunidad para localizar las claves (o no).
- Averigue el canal de ataque, si se trata de un email o un archivo en USB. De esta manera podrá prevenir otro ataque.
- En su centro de computo, bloquee el acceso a la red de todos los equipo de inmediato para impedir que nuevas computadoras infectadas con el ransomware contacte con su centro de comandos.
- Limpie los equipos con un antivirus actualizado. Para una recuperación completa considere reinstalar el Sistema Operativo.
- De ser posible, cambie las contraseñas usadas en servicios online y red local de los usuarios afectados.
- Notifique a las autoridades. Pueden ayudarlo en la investigación y comunicar actividades que ayuden en la captura de los criminales.
Evite pagar el rescate
- Si paga el rescate, está financiando a los atacantes para que realicen nuevos crímenes.
- El pago no garantiza el rescate de los archivos. Solo refuerza el modelo de negocio de los atacantes.
- El desarrollo del ransomware seguirá mejorando. Debe mantenerse preparado.
- Use las buenas prácticas para proteger su organización.
- Realice simulacros y pruebas periodicas para confirmar sus defensas.
Fuente
Ransomware: Best Practices for Prevention and Responsehttps://insights.sei.cmu.edu/sei_blog/2017/05/ransomware-best-practices-for-prevention-and-response.html
https://www.us-cert.gov/sites/default/files/publications/Ransomware_Executive_One-Pager_and_Technical_Document-FINAL.pdf
Comentarios
Publicar un comentario