Ahora que se celebra el día de Internet segura quizás sea un buen momento para recordar algunas medidas y recomendaciones que pueden ser de utilidad para combatir una de las “pandemias tecnológicas” que más nos persiguen en los últimos tiempos: el ransomware.
A nadie se le escapa que el concepto de ransomware ha adquirido un protagonismo nunca antes conocido. Se trata de un tipo de malware diseñado para denegar el acceso a un ordenador o a sus datos hasta que la víctima se ve obligada a pagar el rescate solicitado. Un chantaje que desde hace unos años está generando importantes estragos entre particulares, empresas y organismos públicos.
Desde All4sec señalan un conjunto de recomendaciones encaminadas a implementar medidas, herramientas y recursos que puedan servir para mitigar el efecto de esta amenaza. No son medidas infalibles. Sin embargo, pueden contribuir a impedir o reducir su impacto.
Preparación ante un ransomware
Lo primero y más importante que una organización debe hacer para mantener su operatividad frente a un ransomware es disponer de una copia de seguridad, cifrada y offline, de sus elementos más críticos. Esta es una tarea fundamental, sea cual sea la amenaza que se presente. Las copias han de ser “selectivas” incluyendo datos críticos y configuraciones de sistemas operativos y aplicaciones.
Resulta asimismo importante identificar y disponer de HW de respaldo para la recuperación de los sistemas, teniendo en cuenta que los equipos afectados puedan quedar temporalmente inhábiles y que las configuraciones puedan variar cuando no se disponga de equipos similares.
No debemos tampoco olvidarnos de definir, desarrollar y evaluar planes de recuperación que contemplen la comunicación o la notificación de la incidencia a los organismos correspondientes. Y, sobre todo, registrar los logs de los eventos que ocurren en los sistemas para su posterior análisis y seguimiento.
Análisis de configuraciones y vulnerabilidades
Un primer paso indispensable para ser capaz de combatir un ataque de ransomware es inventariar todos los activos de la organización, así como los flujos de información entre ellos.
Periódicamente debemos escanear manual o automáticamente los sistemas y redes en busca de posibles de vulnerabilidades. Asimismo, debemos actualizar de forma periódica las aplicaciones y sistemas operativos.
Los dispositivos deben estar configurados de forma que implementen opciones básicas de seguridad como la desactivación de puertos y protocolos que no son necesarios para su uso habitual. En particular, los servicios RDP u otros servicios de acceso remoto requieren una atención especial. Por ejemplo, estos deben configurarse con la desactivación de puertos, bloqueo de cuentas tras un número de intentos de accesos fallidos o con mecanismos de doble autenticación. También se debe revisar la (des)activación del protocolo SMB para evitar la propagación del malware.
Conocimiento de los vectores de ataque
Otra recomendación fundamental reside en la concienciación de los usuarios. El ransomware suele propagarse a través del phishing. Por tanto, es indispensable que los usuarios sean capaces de identificar y bloquear las técnicas de phishing más habituales.
En muchos casos, los ataques de ransomware provienen de comunicaciones a través de correos electrónicos y resulta clave distinguir aquellos mensajes que puedan ser maliciosos. Por eso es necesario desplegar soluciones de filtrado de correos y habilitar mecanismos DMARC en los servidores de correo. Asimismo, conviene instalar soluciones para el bloqueo de direcciones IP sospechosas a través de DNS y firewalls. Y por supuesto, y no menos importante, desactivar el servicio de macros cuando se utilicen herramientas de Microsoft Office.
Mecanismos de protección
Ahora bien, las organizaciones también necesitan herramientas que aporten protección a sus infraestructuras. Han de disponer de IDS para detectar actividad de C&C de posibles malwares o tener instaladas plataformas de antivirus y anti-malware (preferiblemente centralizadas) en los puestos de trabajo.
Se deben utilizar listas de aplicaciones autorizadas y mecanismos de doble autenticación allí donde sea posible, principalmente en servicios de webmail, accesos remotos o conexión a aplicaciones críticas. Y en general, deben aplicar el principio del “menor privilegio posible” que solo permita a los usuarios acceder a aquello que realmente necesitan. Un caso particular responde al uso de herramientas como Powershell que solo deben estar habilitadas en condiciones muy controladas.
El ransomware es una de las amenazas más dañinas que actualmente se presentan a las organizaciones. Estar preparados para evitarlo, y llegado el caso combatirlo, es una tarea fundamental dentro de cualquier compañía. Con una serie de medidas básicas de seguridad ciertamente podremos reducir su tasa de éxito. Resolverlo, sin embargo, a posteriori, resultará una tarea “algo más compleja”.
Me interesa
- Las empresas nunca vuelven a ser las mismas tras un ataque de ransomware
- Nuevas realidades del Ransomware y cómo anticiparse a un ciberataque empresarial
- La regla 3,2,1 para la protección de la empresa contra el ransomware
- Concienciación y anticipación, claves de Ingecom y Secura para evitar un ataque ransomware
- ¿Sabes lo que es el Ransomware of Things, cómo funciona y sus principales riesgos?