
Ransomware, la amenaza que no cesa
By J.M. Castillo, Post
Continúa aumentando el número de empresas que son o han sido atacadas en estos últimos días. A las ya publicadas como el Ayuntamiento de Jerez de la Frontera, la cadena SER y Everis, se une Pemex (Empresa pública de petróleos de México), y se rumorean otras como la fábrica de Cervezas Ámbar.
Sin duda, estamos ante un fenómeno nuevo aunque, con la velocidad que se mueve todo, es un poco aventurado llamar nuevo a algo que lleva entre nosotros mas de 3 años. En este tiempo, las amenazas han evolucionado mucho en cuanto a cómo penetrar en el ecosistema de la empresa, pero muy poco en el concepto. El final de todo es secuestrar (ransom) la información almacenada de una empresa a través de programas maliciosos (ware), y pedir un rescate por ello.
El modus operandi es mediante diversos medios (fuerza bruta a servidores de terminal server, vulnerabilidades conocidas y no parcheadas, enlaces maliciosos por correo, ganchos para clickear en enlaces de descarga, o incluso la instalación de herramientas para hacer que funcionen programas con licencia), los Cybercriminales consiguen tomar un equipo/servidor dentro de la red de la empresa. Una vez dentro, realizan varios movimientos: prueban contraseñas por fuerza bruta para obtener las claves de administrador, escanean la red en busca de carpetas compartidas, servidores SQL o de Exchange. Una vez tienen todo lo que necesitan, realizan el encriptado de los archivos y dejan información de como contactar con los atacantes, los cuales fijan un rescate en bitcoins en función de la información que han conseguido secuestrar, que puede suponer en algunos casos millones de Euros. En el caso de la empresa Pemex, se rumorea que les han pedido 5 millones de euros.
Todo esto es muy grave pero además, si la empresa ha visto comprometida su información, puede ser sancionada por la ley de datos europea GPDR. Por ello, han existido casos en los cuales las empresas se han visto obligadas a cesar en su actividad.
¿Está tu empresa preparada para estos incidentes?, ¿Tienes un plan de contingencia para estos casos?
Estas son dos preguntas cruciales que se ha de hacer cualquier empresario, y cuanto antes mejor. Realizar una auditoría externa es la mejor solución, ya que, al ser externa, no va a tener en cuenta las implicaciones que han llevado a que no se cumplan los procesos. No obstante, hay que tener estos elementos generales y darle solución inmediata.
1º El antivirus no protege de ransonware. NO, un antivirus no protege contra ransomware, o al menos no como debiera. Es cierto que las empresas de Antivirus tienen soluciones adicionales especificas que si protegen.
2º Versiones Obsoletas de Sistemas operativos en Servidores. ¿Tienes servidores en tu red con una versión inferior a Windows server 2012? Debes actualizarlos. Solo por poner un ejemplo Windows server 2003 es vulnerable a ataques de ransomware, y Windows server 2008, dejará de recibir actualizaciones en enero de 2020.
3º Encriptar todas las comunicaciones al exterior. Hay que evitar tener comunicaciones en entornos no encriptados, http, SSL y Tls obsoletos, RDP sin certificado, VPN´s por PPTP, etc.
4º Desde cuando no se actualizan los servidores de la empresa: Si hace más de 15 días, hay que repetirlo, si hace más de un mes, estamos en riesgo.
5º Formación a los usuarios. Los principales vectores de ataque son a través de la confianza de los usuarios, debemos formarlos para un uso responsable de la información.
6º Los usuarios no deben ser administradores locales de las máquinas, esto facilita la ejecución de programas dentro de la organización.
7º Tener un buen plan de recuperación de desastres. Este plan debe contener simulacros, pruebas y una revisión diaria de copias de Seguridad.
8º Copias de Seguridad OFFLINE. Esto significa que el sistema de copia no es accesible desde la red ni vulnerable a contraseñas. Un buen ejemplo seria usar copia en cinta y nunca usar NAS con recursos compartidos. Esto último, garantiza la copia, pero no es del todo seguro, o mejor dicho es un factor que puede ser atacado. La copia de Seguridad es el último elemento de recuperación de desastres por lo que, debemos garantizarnos que no será atacado. Tener copias de seguridad fuera del sistema es otro elemento muy conveniente.
9º Reforzar las reglas de correo. Se deben evitar el Spam, las redirecciones externas, el Phishing, los enlaces con malware, bloqueando todos los correos sospechosos, y cualquier otro elemento que pueda ser entregado en la bandeja de entrada de nuestros usuarios, y que no tenga una naturaleza lícita. Una buena solución nos la da Office 365 con Exchange Online.
10º Autenticación Multifactor. Con este sistema evitamos los ataques de fuerza bruta, ya que además de la contraseña deberemos tener por ejemplo un biométrico, o un teléfono móvil para completar el proceso de autenticación.
Desde Vs Sistemas podemos ayudar a su empresa al cumplimiento de un plan de seguridad de la información, una auditoria de sistemas y a recomendarles mejoras que se lo pongan más difícil a los malos.