El pasado viernes 12 de mayo de 2017 las noticias mundiales dieron a conocer la propagación masiva de una variante de ransomware(secuestro de información) conocida como WannaCry.
Esta variante utiliza dos vectores de ataque:
– Un troyano “dropper” que se encuentra inmerso en un adjunto malicioso, que al ser ejecutado por el usuario activa el ransomware.
– Este ransomware tiene la capacidad de propagarse en la red mediante la explotación de la vulnerabilidad MS17-010 del protocolo Server Message Block (SMB).
Es importante acotar que en el caso del ransomware de WannaCry, desactivar el protocolo SMBv1 o realizar la actualización MS17-010 relacionada, evitará que se propague por medio de la red, pero no evitara la afectación del equipo en donde sea ejecutado por el usuario final.
Recomendaciones:
1. Evitar abrir archivos adjuntos o enlaces de Internet de procedencia sospechosa o desconocida. También pueden ocurrir casos donde se reciben correos maliciosos de contactos conocidos (donde ocurre una falsificación de identidad), por lo que se recomienda confirmar con la fuente si en verdad envió el adjunto, esto se debe realizar en persona/teléfono o en un correo aparte del recibido, ya que al responder un correo malicioso con identidad falsificada la respuesta se redirigiría al atacante y no al verdadero usuario del correo.
2. Evitar abrir enlaces sospechosos en Internet. Antes de hacer click en un enlace se puede revisar hacia dónde redirige solamente colocando el mouse sobre el enlace sin hacer click y se mostrará en pantalla o en la parte inferior el verdadero enlace de la página.
3. Realizar respaldos frecuentes y almacenarlos en discos duros sin acceso a Internet o a la red, ya que al infectar una máquina con acceso a un servidor se pueden cifrar también archivos del servidor.
4. Activar Shadow Volume Copies con la funcionalidad Restaurar Sistema de Windows en las máquinas importantes.
5. Actualizar herramientas anti-virus y anti-malware, y correr escaneos de forma regular.
6. Implementar políticas de filtrado de correo por el tipo de extensión de los archivos adjuntos. Se deben bloquear todos los adjuntos con extensiones .exe y .scr. Algunas variantes también pueden venir en archivos de extensión .cab.
7. Monitoreo constante de la actividad de conexión de los equipos en red para detectar algún comportamiento o tráfico inusual.
8. Todo el personal funcionario de la institución que utilice computadora personal, laptop, celular, tableta y/o cualquier dispositivo que le permita tener acceso al servicio de correo e Internet debe estar informado y capacitado en las campañas de concienciación sobre las infecciones de código malicioso, los correos sospechosos, correos fraudulentos, enlaces acortados y temas relacionados, para evitar que mediante ingeniería social y falsificación de identidad sean víctimas de un ataque por correo electrónico.