¿Qué es ransomware?
El Ransomware o secuestro de información, es una pieza de software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de inutilizar nuestros equipos cifrando archivos, bases de datos o incluso el mismo sistema operativo para luego pedir un rescate por la liberación de los mismos.
¿Como reducir el riesgo de ransomware?
Algunas medidas que pueden ayudarnos a prevenir el ransomware por medio del endurecimiento del sistema operativo son las siguientes:
- Desactivación de la ejecución automática de unidades externas
- Eliminación del uso de unidades compartidas y bloc de notas
- Control de acceso en carpetas
Utilice la autenticación basada en roles y aplique reglas de privilegios mínimos a estos roles.
- Protección en comunicaciones remotas de PowerShell
- Desactivación de Windows Script Host
Windows Script Host (WSH) es el encargado de ejecutar archivos comúnmente conocidos como ‘macros’, como es el caso de los archivos JScript y VBScript, que son ampliamente utilizados para desplegar malware en los equipos.
- Desactivación de las macros de los ficheros Office enviados a través de email
El ‘modo protegido’ predeterminado de Microsoft Office impide que las macros de un documento Office se ejecuten de forma automática sin aprobación del usuario. Sin embargo, en ocasiones, los actores maliciosos logran engañar a los usuarios para que deshabiliten el ‘modo protegido’ y ejecuten las macros. Un ejemplo de la técnica de engaño consiste en un documento de Word malicioso que presenta un formato algo confuso, con caracteres extraños y una nota legible que dice algo similar a: ‘Si el documento no tiene el formato correcto, por favor, habilite las macros’.
- Activación de la visualización de extensión de archivos
- Control por medio del visor de eventos de Windows
Copias de respaldo.
Si un código de ransomware ya ha sido ejecutado es muy improbable que se logre revertir ya que ocupan algoritmos de cifrado muy fuertes. Para ello la mejor forma de volver a operaciones es mediante la restauración de una copia de seguridad.
Según las buenas prácticas estos son aspectos clave que hay que tomar en cuenta a la hora de programar nuestros backups:
- Periodicidad: Ésta dependerá de la criticidad de los datos y la frecuencia con la que éstos se modifiquen. Realizar una copia de seguridad semanalmente suele ser correcto para la mayoría de casos.
- Número de réplicas: Se recomienda aplicar la regla ‘3-2-1’, que consiste en realizar, al menos, tres backup de datos, donde dos de dichas copias deben estar guardadas en plataformas diferentes, como, por ejemplo, en un disco externo y en la nube. La tercera copia de seguridad se recomienda alojarla en una ubicación diferente a las anteriores. Así, en caso de que ocurra algún incidente, incluyendo incendios o hurtos, se evitaría que todas las copias se vieran afectadas.
- Acceso desde la Red: Se recomienda que las copias sean inaccesibles desde la red, es decir, que no presten servicio desde la misma. En el caso de que esto no sea posible, como ocurre con los backup en la nube, se recomienda que las dos copias de seguridad restantes no lo estén. Esta medida hace frente a las nuevas capacidades de los ataques ransomware de enumerar y recorrer todas las unidades del equipo infectado, incluyendo los discos externos o USB conectados. Este hecho también afectaría a programas como OneDrive o Dropbox, ya que trabajan con unidades locales del equipo.
- Revisión periódica: con el fin de asegurar que las copias de seguridad y los sistemas que las realizan funcionan correctamente y se pueden restaurar, estas deben ser probadas cada cierto tiempo, siguiendo un procedimiento de recuperación.
Fomento de educación y concienciación de usuarios
Gran parte del éxito de las campañas de ransomware, es que utilizan comúnmente como vector de ataque a los correos electrónicos. Esto impacta directamente al eslabón más débil de la cadena (usuario). Cuando un usuario es afectado, el malware se puede ir moviendo en la red y afectando otros equipos.
Fomentar la educación de los usuarios en materia de ingeniería social es vital para reducir el alcance de ataques como el ransomware. Los usuarios son el objetivo de estos ataques, por lo que, si conocen la amenaza y sus posibles formas de ataque, se reduciría la probabilidad de que, por ejemplo, ejecutaran un archivo malicioso descargado de un adjunto en un correo electrónico o tras abrir una pestaña emergente del navegador.
¿Qué hacer si soy víctima de un ataque de Ransomware?
Las recomendaciones de los pasos a seguir son los siguientes:
- Recomendamos nunca pagar el rescate solicitado por los ciberdelincuentes, esta acción promueve el cibercrimen y muchas veces resulta ser un engaño por parte de los ciberdelincuentes que utilizan el activo robado para continuar con la manipulación y sacar más provecho económico. Los ramsomware actuales no solo cifran los activos, sino que copian en equipos externo la información para volver hacer la extorsión en el futuro.
- Reportar la incidencia al CERT correspondiente y al ente superintendente de acuerdo al sector al que pertenezca. El CSIRT Panamá es el CERT Nacional correspondiente para reportar estas incidencias en Panamá, mediante el correo info@cert.pa
- Identificar la causa raíz del ataque, para el momento de restaurar los respaldos puedan asegurar esas posibles brechas de seguridad en los equipos.
- Limpiar los equipos infectados y restaurar las copias de seguridad, ya sean snapshot, backup de bases de datos o system restore de equipos.
Conclusión
Debido a que cada vez es más común la utilización del ransomware, ya sea en busca de un beneficio económico o simplemente interrumpir un servicio para afectar la operación de la empresa, es de suma importancia tomar conciencia y elevar el nivel de seguridad tanto en la infraestructura, procedimientos de respaldo, como la desinformación presente en nuestros usuarios, para reducir el número de incidencias de ransomware o cualquier otro malware en la red.