El ransomware ha sido el protagonista de los últimos 3 años en lo referido a seguridad informática y, probablemente, también lo sea en 2019. Les dejamos algunos tips para evitar que el ransomware ingrese y dañe su información. Ninguno de ellos es efectivo por sí solo, sino que es parte de un conjunto de medidas que garantizan la seguridad por capas, por lo que cada una de ellas favorece a la seguridad.
El ransomware, ha sido el protagonista de los últimos 3 años y probablemente, también lo sea en 2019.
Para defendernos tenemos que implementar una estrategia de seguridad en capas progresiva de manera que el impacto para el normal funcionamiento de la organización sea lo más tenue posible.
Desde nuestro lugar, queremos aportar nuestro granito de arena a la comunidad para ayudarlos a prevenir infecciones, con el objeto de disminuir la cantidad de casos y combatir entre todos al ransomware.
Les dejamos algunos tips para evitar que el ransomware ingrese y dañe su información. Ninguno de ellos es efectivo por sí solo, sino que es parte de un conjunto de medidas que garantizan la seguridad por capas, por lo que cada una de ellas favorece a la seguridad.
1. Hacer backup periódico de la información: El backup es una medida reactiva, no ayuda a no infectarse, pero es tan importante que se ha decidido incluirla primero en la lista. La única y más importante herramienta contra el ransomware son las copias de seguridad.
Si un malware cifra o daña los archivos, recuperar el último backup es la mejor alternativa. De esta forma, se evita perder información o tener que pagar el rescate por los datos.
2. Concientizar y entrenar a los usuarios: Una de las principales puertas de entrada del ransomware son los usuarios con hábitos y comportamientos negligentes, debidos a la falta de información sobre las amenazas actuales.
Por este motivo, se recomienda llevar adelante un proceso de concientización y entrenamiento de todos los usuarios de la organización. El objetivo es que aprendan y comprendan los riesgos asociados al uso de recursos informáticos e Internet, y desarrollen hábitos y comportamientos que les permitan realizar un uso responsable y seguro de los mismos.
3. Aplicar un modelo de mínimo privilegio: Si todos los procesos necesarios para realizar las tareas de un usuario se ejecutan con la mínima cantidad de privilegios posible, será más difícil para un software malicioso que se ejecute en el entorno de dicho usuario, ya sea infectar el equipo como propagarse a otros.
El uso de permisos administrativos facilita la ejecución de aplicaciones dañinas y la instalación de malware. Un usuario “administrador” (o “root”) sólo debería ser utilizado cuando se necesite realizar una tarea que lo requiera, autorizado por personal superior y auditado de forma periódica.
Por lo tanto, para disminuir el riesgo de una infección por ransomware, cada usuario debe ser capaz de acceder sólo a la información y recursos que sean necesarios para el desempeño de sus tareas autorizadas.
Cada usuario, además debería ingresar a los sistemas a través de su identificación unívoca de usuario y contraseña.
4. Segmentar la Red: La segmentación de la red permite controlar el tráfico entre redes de distinta relevancia (por ejemplo, la LAN de usuarios y la LAN de los servidores). Segmentar una red no evita que un ataque de ransomware tenga acceso a los sistemas, pero será de mucha ayuda para limitar la infección y lograr que el malware permanezca aislado sólo en el segmento de red que ha comprometido, y así no se extienda por toda la organización. Es particularmente importante para las organizaciones que mantienen sistemas legados, que ya no pueden recibir actualizaciones de seguridad.
5. Revisar recursos compartidos y unidades externas: Periódicamente se deben realizar revisiones de recursos compartidos (unidades de disco, impresoras, carpetas, etc.) y unidades externas (pendrives, tarjetas de memoria, discos rígidos, etc.) conectadas a los equipos, con el objetivo de determinar si es necesario que permanezcan compartidos o no y, de ser necesario establecer los permisos mínimos para un correcto desempeño.
En caso de detectar dispositivos que no correspondan o que no sean utilizados, deberán ser desconectados/deshabilitados, de forma tal que si ocurre una infección, se evite la propagación del malware por la red de la organización, minimizando el impacto en otros equipos.
6. Utilizar soluciones antivirus: Es recomendable utilizar (al menos) dos antivirus: uno en dispositivos ubicados en el perímetro de la red -firewall y correo corporativo- y otro para los clientes internos y estaciones de trabajo.
Debido al dinamismo del malware, es normal que los antivirus se “tomen” un promedio de 48 hs para reaccionar ante un nuevo tipo de amenaza como es el ransomware actual.
7. Utilizar antispam, firewall y filtro de contenido: A continuación, se mencionan diferentes herramientas y recomendaciones de filtrado para proteger la infraestructura y evitar que la amenaza llegue a los usuarios.
Filtrado a nivel de firewall: Generalmente, el ransomware debe comunicarse con un centro de Comando y Control (C&C) a través de Internet, para enviar las contraseñas de cifrado y recibir instrucciones. Para el ransomware, por lo tanto, es importante hacer foco en el filtrado de conexiones salientes (sin descuidar las conexiones entrantes) para evitar que se comunique con dicho C&C.
Filtrado web (proxy): Se debe bloquear la conexión a sitios web:
● Según su geo-localización, como por ejemplo el tráfico proveniente de Asia y otros países de Europa del Este.
● Según su dominio de nivel superior. En Spamhaus se encuentra un listado de dominios sospechosos por naturaleza.
● Según el contenido/finalidad del sitio: spam, phishing, evasión de proxy, pornografía, y otras categorías de sitios web considerados innecesarios para las operaciones normales de la organización.
● Cuando sea posible, servicios de correo electrónico personal (Gmail, Outlook, Yahoo), sitios de intercambio de archivos (Drive, Dropbox, OneDrive), redes sociales, mensajería instantánea, entre otros. De ser necesario, se pueden agregar excepciones especiales a una cantidad acotada de personas, de acuerdo a su responsabilidad dentro de la organización.
Filtrado de correos: Los módulos que se deberían configurar en los servidores o gateway de correo (en un caso ideal), son los módulos:
● Antispam, para filtrar o bloquear cualquier tipo de correo basura.
● Filtrado del contenido, para analizar y bloquear malware o archivos ejecutables, analizar archivos comprimidos, bloquear URLs maliciosas, entre otras.
El servicio antispam, debe configurarse para bloquear (como mínimo) cualquier tipo de archivo ejecutable o comprimido.
8. Mostrar las extensiones de los archivos: En el caso de utilizar sistema operativo Windows, se debe tener en cuenta que, de manera predeterminada, oculta las extensiones para tipos de archivos conocidos (.EXE, .TXT, .SCR, etc.). Esto es un problema porque, un método tradicional de propagación de malware consiste en utilizar extensiones dobles para engañar al usuario. Por ejemplo, si el archivo se llama file.pdf.exe o archivo.docx.scr, Windows mostrará file.pdf o archivo.docx.
Es recomendable entonces activar la visualización de la extensión de los archivos para que sea más fácil detectar archivos maliciosos con doble extensión.
9. Filtrar archivos con extensiones peligrosas: El filtro de contenido se puede realizar desde el cliente de correo o bien desde el servidor de correo corporativo, el firewall, el proxy o el UTM, dependiendo de lo que la organización decida.
Aquellas organizaciones que dispongan de la administración de su servidor de correo podrían filtrar archivos adjuntos con extensiones peligrosas (ejecutables y scripts) a través de listas negras. Dependiendo del tamaño de la organización, se puede implementar listas blancas aunque, a mayor tamaño, mayor complejidad.
En el caso que sea necesario intercambiar archivos comprimidos, se puede utilizar una cuarentena temporal. Por ejemplo, un administrador debería autorizar el ingreso de los archivos recibidos o estos se pueden “estacionar” 24/48 hs para dar tiempo a que el antivirus pueda actualizar su base de datos de firmas.
10. Inventariar y controlar aplicaciones: Es recomendable realizar relevamientos periódicos de las aplicaciones utilizadas por los usuarios, para adquirir una visibilidad completa del software instalado en toda la infraestructura de la organización. De esta manera será posible determinar la presencia de herramientas no autorizadas o innecesarias que podrían estar conectándose a internet y convirtiéndose, por lo tanto, en una fuente de riesgo para la organización. De la misma forma, podrá detectarse la ausencia de actualizaciones en el software autorizado, y podrá actuarse en consecuencia. Las actualizaciones se tratan en profundidad en el siguiente punto de esta guía.
11. Instalar actualizaciones del sistema operativo y aplicaciones: El aprovechamiento de vulnerabilidades y exploits es un factor común en la mayoría del malware. Los delincuentes se aprovechan de los bugs y falta de actualizaciones en el sistema operativo y en aplicaciones tradicionales como navegadores (Internet Explorer, Edge, Firefox, Chrome y Safari), Java, Flash Player y Adobe Reader, entre los más populares.
Todas las aplicaciones instaladas deberían actualizarse lo antes posible, sea a través de una configuración/herramienta automática o manualmente a través del sitio oficial del fabricante.
12. Deshabilitar escritorio remoto: En aplicaciones de escritorio remoto como RDP (nativo de Windows), VNC o TeamViewer, es común la infección a través del aprovechamiento de vulnerabilidades y el uso de contraseñas débiles. Cuando sea posible, estas aplicaciones deberían ser deshabilitadas y, de requerirse un acceso remoto, se recomienda la implementación de una VPN, cuya configuración se limite sólo a los equipos necesarios dentro de la red corporativa.
Adicionalmente, se recomienda aplicar los siguientes controles sobre las conexiones de escritorio remoto:
● Establecer una contraseña robusta;
● habilitar el doble factor de autenticación (2FA) (cuando sea posible);
● utilizar las últimas versiones disponibles con todas las actualizaciones y parches.
13. Bloquear publicidad y ventanas emergentes: Es común encontrar malware incrustado en publicidades de sitios web, ya que estos tercerizan sus espacios para mostrar publicidad relacionada con el contenido de la página web. Este técnica se denomina Malvertising (Malware + Advertising) y, por lo tanto, con tan solo visitar un sitio con estas características, se puede infectar el sistema de la víctima de forma automática.
La medida de protección a aplicar, es instalar un complemento en el navegador para bloquear las ventanas emergentes y la publicidad.
Además, se puede complementar la funcionalidad de los bloqueadores, configurando en el navegador el bloqueo de las ventanas emergentes.
14. Aislar el equipo infectado: En el caso de sospechar haber ejecutado un ransomware, desconectar la red y apagar el equipo puede disminuir la tasa de archivos infectados. Esto no es una solución, pero es preferible tener algunos archivos cifrados y no todos. Sin embargo, se debe prestar especial atención a este procedimiento porque algunas variantes de ransomware eliminan de manera parcial los archivos luego de cada reinicio.
15. Gestionar sistemas operativos obsoletos: Se considera “obsoleto” a cualquier software sin soporte del fabricante o cuyo ciclo de vida está próximo a expirar.
La idea primaria es analizar los riesgos derivados de mantener sistemas operativos obsoletos en equipos conectados a la red corporativa (por ej. Windows XP o Server 2003) y las posibilidades resultantes, si es que existen. Cuando una plataforma operativa llega al fin de su “vida útil” es altamente probable que deje de recibir actualizaciones por parte del fabricante. Con el paso del tiempo aparecen nuevas vulnerabilidades, las cuales no siempre son evaluadas ni parcheadas, aumentando la superficie de ataque de toda la red de la organización.
Fuente: “Guía para evitar infecciones de Ransomware”; Septiembre 2018 – Licencia Reconocimiento-Compartir Igual 4.0 España (CC BY-SA 4.0 ES)
