Blog de Oscar Padial

Medidas contra el Ransomware

Oscar Padial DiazLIFESTYLE

La semana pasada el CCN-CERT (es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN) publicó un nuevo informe sobre medidas preventivas y proactivas para combatir los ataques de Ransomware, uno de los ataques más comunes y letales en los últimos tiempos.

“Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate”.

Tal y como recoge el informe, en los últimos años, las acciones dañinas de este tipo de malware han ido evolucionando dando lugar a una nueva generación de ransomware denominados «file encryptors», cuyo principal objetivo es cifrar la gran mayoría de documentos del equipo. En este caso, la principal herramienta de extorsión será el pago de cierta cantidad de dinero a cambio de la clave que permitirá recuperar (descifrar) los ficheros originales. Las acciones ofensivas de ciertos tipos de ransomware pueden resultar muy dañinas y en un entorno corporativo pueden ser devastadoras, con consecuencias que pueden agravarse aún más si se cuenta con dispositivos de backup directamente conectados con el equipo infectado, ya que algunos tipos de ransomware comprueban cada una de las unidades montadas así como recursos compartidos de red para cifrar también su contenido.

El informe es muy interesante, os paso el enlace para que lo podáis leer completo pero me gustaría destacar dos puntos que considero básicos:

  • Cuales son las posibles vías de infección.
  • Cuales son las medidas que podemos aplicar

Las posibles vías de infección son las siguientes:

  1. Uso de mensajes de Spam/phishing
  2. Web Exploit Kits
  3. Por medio de otro código dañino
  4. Servicios RDP con contraseñas predecibles.
  5. A través de anuncios señuelo; por ejemplo, banners pornográficos.

El resumen de posibles medidas a aplicar sería el siguiente:

1. Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados.

2. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado.

3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas).

4. Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail.

5. Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas.

6. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control.

7. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days).

8. No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware.

9. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto

10. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo «Privacy Manager», que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits).

11. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.

12. Adicionalmente, se recomienda la instalación de la herramienta «Anti Ransom», que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando «honey files»). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.

13. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse.

 

Fuentes: CCN-CERT

Deja una respuesta

Comment as a guest.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Read Next

Copyrights © 2019 BLOG DE OSCAR PADIAL Todos los derechos reservados

Sliding Sidebar

Este sitio emplea cookies de Google para prestar sus servicios, para personalizar anuncios y para analizar el tráfico. Google recibe información sobre tu uso de este sitio web. Si utilizas este sitio web, se sobreentiende que aceptas el uso de cookies. más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar