El ransomware es uno de los códigos maliciosos más conocidos de los últimos años por ser tendencia popular en las campañas impulsadas por el cibercrimen, puesto que a pesar de su fama aún los usuarios continúan siendo víctima de sus variantes.
De lo que va del mes de noviembre varias compañías en España han sido afectadas por infección de ransomware, entre ellas las primeras en conocerse: Everis, una consultora de Tecnología de Información, y la cadena SER (Sociedad Española de Radiodifusión) del grupo Prisa; aunque según el diario El País parece que se tratan de casos aislados, la cadena SER presuntamente infectada por Ryuk y la consultora Everis con la familia de ransomware BitPaymer/iEncrypt. Para mayor información sobre la situación en España referirse a los enlaces mencionados al final de esta noticia.
Generalmente los ransomware utilizan mecanismos de cifrado no reversibles por lo que la mayoría de las veces no se pueden recuperar los archivos cifrados; tomando en cuenta las incidencias que están ocurriendo en España, CSIRT Panamá les recuerda la importancia de aplicar algunas recomendaciones de prevención contra el ransomware.
- Evitar abrir archivos adjuntos y enlaces contenidos en correos de procedencia sospechosa o desconocida. También pueden ocurrir casos donde se reciben correos maliciosos de contactos conocidos (donde ocurre una falsificación de identidad), por lo que se recomienda confirmar con la fuente si en verdad envió el adjunto, esto se debe realizar en persona/teléfono o en un correo aparte del recibido, ya que al responder un correo malicioso con identidad falsificada la respuesta se redirige al atacante y no al verdadero usuario del correo.
- Evitar abrir enlaces sospechosos en Internet. Antes de hacer click en un enlace se puede revisar hacia dónde redirige solamente colocando el mouse sobre el enlace sin hacer click y se mostrará en pantalla o en la parte inferior el verdadero enlace de la página.
- Antes de abrir enlaces acortados revisarlos con algún servicio de expansión de enlaces como https://getlinkinfo.com o https://www.expandurl.net por mencionar algunos.
- Realizar respaldos frecuentes y almacenarlos en discos duros sin acceso a Internet o a la red, ya que al infectar una máquina con acceso a un servidor se pueden cifrar también archivos del servidor.
- Utilizar servicios de administración seguros como SSH, SFTP, conexiones VPN.
- Cerrar puertos relacionados con RDP (Remote Desktop Protocol), puesto que existen variantes que se propagan por este protocolo inseguro.
- Activar Shadow Volume Copies con la funcionalidad Restaurar Sistema de Windows en las máquinas importantes.
- Actualizar herramientas anti-virus y anti-malware, y correr escaneos de forma regular.
- Implementar un sistema antispam y realizar los ajustes necesarios que garanticen mitigar campañas de spam o correo no deseado.
- Realizar ajustes en políticas de filtrado de correo por el tipo de extensión de los archivos adjuntos. Se deben bloquear todos los adjuntos con extensiones .exe y .scr. Algunas variantes de ransomware también pueden venir en archivos de extensión .cab.
- Monitorear constantemente la actividad de conexión de los equipos en red para detectar algún comportamiento o tráfico inusual.
Todo el personal funcionario de la institución que utilice computadora personal, laptop, celular, tableta y/o cualquier dispositivo que le permita tener acceso al servicio de correo e Internet debe estar informado y capacitado en las campañas de concienciación sobre las infecciones de código malicioso, los correos sospechosos, correos fraudulentos, enlaces acortados y temas relacionados, para evitar que mediante ingeniería social, campañas spam y falsificación de identidad sean víctimas de un ataque por correo electrónico.
Enlaces de interés relacionados con los casos de ransomware en España:
a. https://www.welivesecurity.com/la-es/2019/11/05/ataque-ransomware-afecta-varias-empresas-espana/
b. https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_251312.html
c. https://cadenaser.com/ser/2019/11/04/sociedad/1572862102_968725.html
d. https://www.eitb.eus/es/noticias/tecnologia/detalle/6792657/un-ciberataque-deja-servicio-sistemas-cadena-ser-2019/