Guía definitiva de protección contra Ransomware (Parte I)

El ransomware es una gran amenaza para las empresas, como ya pudimos ver en el ataque que sufrieron varias empresas españolas el pasado 4 de noviembre. Por eso, el mejor momento para protegerse del ransomware es antes de que ataque.

 Conozca a su enemigo: ¿qué es el ransomware y cómo funciona?

La preparación es esencial, con la recompensa de la capacidad de recuperación: lo que significa que puede evitar muchos ataques y aún así sobrevivir y recuperarse de cualquier ataque que se deslice a través de las ciberdefensas.

Por eso, desde Interbel le traemos una guía completa, en la que incluimos pasos específicos que a menudo se pasan por alto. También mostramos algunos ejemplos de la vida real para una comprensión clara del ransomware y cómo implementar la mejor protección contra él, tanto a nivel técnico como a nivel de proceso humano.

¿Qué es el ransomware?

El objetivo del ransomware es quitarle dinero bloqueando sus datos.

El objetivo del ransomware es quitarle dinero bloqueando sus datos.

El ransomware es un software malicioso que «bloquea» sus propios datos, cifrándolos con una clave secreta y luego exigiendo el pago de esa clave para que pueda descifrar y acceder a sus datos nuevamente.

Muchas variedades de ransomware obligan a las víctimas a tomar medidas al incorporar una fecha de vencimiento en la demanda de rescate: si el rescate no se paga en una fecha determinada, la clave de descifrado se destruirá y todos los datos rescatados serán inaccesibles para siempre.

¿Es el ransomware lo mismo que el malware?

Hay muchos tipos de malware y el ransomware es uno de esos tipos. Pero en lugar de robar o eliminar información, o espiarlo, está diseñado para extraer un pago de usted para recuperar el acceso a sus datos.

¿De dónde viene el ransomware?

El ransomware se origina en ciberdelincuentes, que pueden ir desde individuos «lobos solitarios» hasta consorcios bien organizados. Dichos delincuentes conservan su anonimato y ocultan sus actividades mediante el uso de herramientas como TOR y criptomonedas, hasta el punto de que es casi imposible para un usuario regular de computadoras saber dónde se encuentra el delincuente.

¿Cómo puede el ransomware ingresar a mi red u ordenador?

En términos generales, tres de las formas más comunes en que esto puede suceder son:

1. Infección autopropagada: al igual que un virus, algunas cepas de ransomware pueden sondear automáticamente las computadoras adyacentes en una red y «saltar» de un host a otro, propagándose automáticamente mediante la explotación de ciertas características y servicios del sistema operativo de un ordenador o software de aplicación.

2. Infección manual: involucra a piratas informáticos que pueden ingresar a los sistemas (a través de una variedad de métodos, como contraseñas débiles, vulnerabilidades en protocolos como RDP o exploits de día cero) y luego instalar manualmente el ransomware para monetizar su intrusión .

3. Infección por «usuario inactivo»: cuando los usuarios se infectan sin saberlo haciendo clic en enlaces en correos electrónicos no deseados o de phishing, conectando dispositivos USB o visitando sitios web que han sido saboteados.

¿Cómo afecta el ransomware a sus sistemas informáticos?

Dos cosas comunes que el ransomware puede hacer a su sistema es:

1. Para evitar que se inicie. La variedad Petya (2016) atacó el Master Boot Record (MBR) de las máquinas para secuestrar el ordenador y exigir el rescate del usuario.

2. Para permitir el arranque, pero de lo contrario denegar el acceso a los datos. Aquí, el ransomware buscará datos que considere valiosos, como documentos y bases de datos, y cifrará esos datos para que ya no pueda usarlos ni verlos.

¿Qué sucede cuando estás infectado?

La mayoría del ransomware muestra una advertencia en pantalla para informarle que sus datos han sido encriptados. También explicará cómo pagar el rescate y que obtendrá una clave digital para descifrar sus datos cuando se pague el rescate. Algunos ransomware evitarán que su ordenador se inicie a menos que pague el rescate. Puede, incluso, infectar tus copias de seguridad.

¿Qué tan común es el ransomware?

El ransomware es mucho más común de lo que la mayoría de la gente piensa y las infecciones reportadas aumentan año tras año. Según el Informe de amenazas de McAfee Labs (agosto de 2019), el número de informes de Ransomware en todo el mundo durante el primer trimestre de 2019 fue de 1.3 millones. Esto fue más del doble de las 600,000 infecciones reportadas en el trimestre anterior a fines de 2018.

¿Puedo reutilizar una máquina previamente infectada?

Debido al riesgo de reinfección, recomendamos no hacerlo. El método más seguro de recuperación es recuperarse de una copia de seguridad a un nuevo hardware . Esto minimizará la posibilidad de reinfección. Usar la máquina existente con nuevos discos duros no es la mejor solución. Como explicamos anteriormente, el ransomware a menudo instala puertas traseras, lo que puede hacer que sea extremadamente difícil de eliminar. Las puertas traseras pueden incluir la modificación del firmware UEFI del ordenador, lo que puede resultar en una reinfección incluso si el disco duro está completamente borrado. Y no recomendamos absolutamente continuar usando un sistema operativo infectado. Si bien puede ser tentador usar una herramienta de eliminación de malware para limpiar una máquina como la forma más rápida de volver a trabajar, plantea una serie de riesgos, como la reinfección o la propagación de la infección a las máquinas en red adyacentes. Si es absolutamente necesario reutilizar el sistema operativo infectado, sólo debe ser una solución provisional aislada (desconectada de la red) mientras se realiza una recuperación adecuada al nuevo hardware.

¿Cuál es la mejor forma de protección contra ransomware?

Como veremos más adelante, existen formas preventivas y correctivas de protección contra ransomware. Si solo usa una forma de protección, le recomendamos múltiples copias de seguridad con espacios vacíos, como la única solución totalmente confiable. Para los usuarios domésticos, esto puede ser tan simple como copiar manualmente sus datos a una unidad USB extraíble que desconecta de su ordenador. Una solución aún mejor es grabar sus datos en un medio de escritura única, como un disco Blu-ray (aunque limitado en capacidad de almacenamiento). Para las empresas, los requisitos generalmente son mucho más altos, incluida la restauración de servidores y sistemas de misión crítica como Active Directory, correo electrónico y bases de datos. Estas copias de seguridad generalmente se realizan mediante productos de software de copia de seguridad de nivel empresarial, que preferiblemente contienen defensas activas contra ransomware que pueden alertarlo sobre la corrupción de datos debido al ransomware y preservar la integridad de la copia de seguridad.

Mantenerse un paso adelante: cómo el ransomware ingresa a su red

ransomware WannaCry

Ejemplo del Ransomware WannaCry

Esta sección le permitirá comprender qué vulnerabilidades puede tener su empresa y cómo una infección puede explotarlas. Esta comprensión es esencial para proteger su organización contra el ransomware.

Anatomía de una violación de red: cómo entra el ransomware

La razón por la cual el ransomware es tan generalizado es porque hay muchas formas en que puede propagarse.

El ransomware puede ingresar a su red a través de vulnerabilidades de red explotadas, medios extraíbles, herramientas de acceso remoto como RDP, sitios web maliciosos y archivos adjuntos de correo electrónico. Una vez que el ransomware se instala en un ordenador, puede extenderse por la red instalándose en cada dispositivo que encuentre.

5 formas en que el ransomware puede propagarse a sus computadoras

La amenaza de internet

Cada vez que un servicio (por ejemplo, un servidor web, un servidor de inicio de sesión remoto, un servidor de correo electrónico o un sitio de comercio electrónico) está expuesto a Internet, existe un riesgo potencial de seguridad de que el servicio pueda ser pirateado y explotado. Ejemplo: un verano trágico. Para ayudar a los usuarios a trabajar de forma remota, una empresa habilita protocolos remotos para que los usuarios puedan iniciar sesión en sus computadoras de trabajo desde sus PC hogareñas. . 2 días después, la contraseña summeR76 funciona para una de las PC del empleado, y el hacker instala el ransomware, que se propaga.

La amenaza del dispositivo adjunto

El ransomware puede ocultarse en unidades USB, memorias USB y dispositivos conectados, y se propagará a otras máquinas cuando se conecte esa unidad o dispositivo. Ejemplo: Terror latente en un cajón. Jane usa una memoria USB para hacer una copia de seguridad de su portátil de trabajo. Pierde el USB y obtiene otro de un cajón de su casa. Este USB, que se había infectado con ransomware,  implementa su ransomware en el servidor de archivos de la compañía. Luego se propaga, infectando a toda la empresa.

Sitios web maliciosos

Un ordenador con una vulnerabilidad sin parches puede infectarse con ransomware cuando visita un sitio web malicioso.  Ejemplo: copias de páginas. A un nuevo empleado se le dice que use un portal web para registrar su hoja de tiempo. No tienen el sitio guardado, así que lo buscan en Google y seleccionan el  nombre  del sitio. Pero el sitio que seleccionaron es .co.rs en lugar de .co.au. Están en un sitio malicioso que parece legítimo. Luego, hacen clic en un enlace y seleccionan rápidamente aceptar un mensaje, pero no pasa nada, por lo que abandonan el sitio y continúan con otra cosa. Como la mayoría del personal, el empleado se va a casa temprano ese día, ya que hay algo mal con todas las computadoras de la compañía.

Malvertising

La publicidad en línea utiliza funciones dinámicas para alentarlo a ver y hacer clic en los anuncios. Desafortunadamente, estas características pueden ser explotadas por piratas informáticos que insertan ransomware en anuncios legítimos. Las adiciones pueden infectar su máquina al redirigirlo a un sitio web malicioso o al implementar el ransomware cuando interactúa con el anuncio. En algunos casos, basta con ver el anuncio para infectar su ordenador. Ejemplo: el remordimiento del comprador. Kim recientemente realizó una compra en línea con una compañía de buena reputación. Después de realizar la compra, los anuncios en línea de la compañía comienzan a aparecer en sus redes sociales. Una publicidad llama su atención, y con un click se infecta su ordenador.

La amenaza del correo electrónico

El ransomware se puede propagar mediante correos electrónicos con archivos adjuntos. Aunque los PDF y los documentos de Office son mucho más seguros de lo que solían ser, los formatos de compresión de archivos como WinRAR se pueden usar para entregar ransomware. Ejemplo: un currículum horrible. David en Recursos Humanos recibe un correo electrónico titulado ‘Solicitud de empleo’ con un PDF adjunto. El correo electrónico parece legítimo y David lo abre para encontrar un currículum mal escrito para un trabajo genérico. Cierra el PDF, sin saber que ejecutó una macro e instaló ransomware. Diez minutos después, el ransomware ha encriptado la PC de David y se ha extendido a todas las PC y servidores de la compañía.

Mención de honor: exploits de 0 días.

Esta es la razón por la cual el ransomware nunca se puede erradicar por completo. Es un tipo especial de ataque desagradable que puede aplicarse a cualquiera de los ejemplos anteriores. Puede explotar incluso los sistemas más seguros porque la vulnerabilidad que utiliza el ransomware aún no se conoce (día 0), por lo que las máquinas parcheadas y actualizadas aún pueden verse comprometidas.

 

Esta es apenas la primera parte de la Guía definitiva para proteger a tu empresa contra el Ransomware.

Si quieres seguir leyendo te invitamos a ver:

Guía definitiva de protección contra Ransomware (Parte II)

Mientras tanto, te sugerimos probar esta solución de forma totalmente gratuita por 30 días.

Prueba BackupAssist gratis y completamente funcional por 30 días, y obtén 15 días de asistencia preventa.

Por qué descargar BackupAssist:

– Backup y restauración granular para Windows.

– Gestión de múltiples medios de almacenamiento, incluso en la nube.

– Administración y monitorización centralizada y remota.

Start typing and press Enter to search

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y ofrecer contenidos de interés. Al continuar con la navegación entendemos que se acepta nuestra Política de cookies. Política de cookies ACEPTAR

Aviso de cookies
Social Media Auto Publish Powered By : XYZScripts.com
Ataque de ransomware