6 consejos para evitar ataques de ransomware

Sin título

Extorsiones en hospital, ransomware para Mac, y suma y sigue. 2016 parece ser el año del ransomware. Este software malicioso permite a los atacantes acceder a su equipo, cifrar datos sensibles y después exigir el pago por descifrarlos. El ransomware hoy en día supone una de las mayores amenazas a la que nos enfrentamos, cualquiera está expuesto; desde una compañía del Fortune-500 a un autónomo. No es necesario ser un ejecutivo de alto perfil para ser una de sus víctimas. Todos estamos expuestos.

Por ello, es crucial tomar precauciones para evitar infecciones. ¿Puede una empresa permitirse no estar operativa durante horas o días? Si la respuesta es no, es bueno echar un vistazo a los siguientes consejos que ofrece Marc Laliberte, analista de información de amenazas de seguridad de WatchGuard Technologies, para ayudar a prevenir un desastre provocado por el ransomware:

  1. Comienza con las copias de seguridad de datos, pero no te detengas ahí

Cuando se trata de una buena defensa, el consejo más común para protegerse contra el ransomware es hacer una buena copia de seguridad de los datos críticos. En el caso de una infección, poder recuperar sus datos sin que suponga financiar los proyectos futuros de los extorsionadores es una necesidad. Por desgracia, conectar un disco duro externo o hacer una copia de seguridad en una red compartida no es lo adecuado.

El ransomware moderno evoluciona, como es el caso de Locky y CryptoFortress, que buscan y cifran cualquier ubicación de almacenamiento donde se hayan escrito los privilegios, incluso aunque no se encuentren dentro del sistema. Para combatir esta amenaza, las copias deben mantenerse fuera de la red. Pero, incluso con la mejor de las copias, todavía se perdería algo de productividad mientras se restauran los datos después de un ataque.

  1. Evita que el ransomware cruce el perímetro de la red

Las descargas son la forma de entrada más común de un ransomware. Las descargas no autorizadas pueden explotar los plugins del navegador que no estén parcheados para instalar ransomware sin el consentimiento del usuario. Pero más alarmantes son las vulnerabilidades cross-site scripting en páginas web, que pueden forzar al navegador a cargar un site malicioso, de nuevo sin que haga falta ningún consentimiento.

Para tener una mejor ventaja contra un ataque del que podrías no ser consciente, deberías mover la primera línea de defensa lo más lejos posible. El perímetro de red es un excelente lugar para bloquear un asalto que se acerca antes de que pueda causar daños.  Los antivirus basados en la red y las soluciones de escaneo de amenazas persistentes avanzadas (APT) pueden identificar y bloquear cargas maliciosas antes de que tengan la oportunidad de ejecutarse. Esto es especialmente útil cuando los usuarios ni siquiera saben que están cargando ransomware u otras descargas nocivas.

  1. Prevenir otros métodos de entrega alternativos como el phishing

Antes de que CryptoLocker fuera desmantelado por la Operación Tovar, la mayoría de los usuarios eran infectados por phishing, un email con un archivo adjunto malicioso que se hacía pasar por un mensaje de seguimiento de Fedex o UPS. Locky, la variante de ransomware mencionada anteriormente, continúa esta tendencia mediante la instalación de un documento Word malicioso que se hace pasar por una factura.

La implementación de una solución de correo electrónico antispam puede ayudar a detener fraudes electrónicos de phishing destinados a propagar ransomware. La mayoría de estos correos electrónicos de phishing son enviados desde clientes infectados por botnets y contienen similitudes que pueden ser identificadas por los proveedores de servicios antispam. La utilización de un servicio antispam, puede limitar la cantidad de correos electrónicos de phishing que aparecen en la bandeja de entrada, que en última instancia limitará las oportunidades de éxito de un ataque bien disimulado.

  1. No te olvides de tus propios clientes

La protección de los endpoints no es nada nuevo en el mundo de la seguridad de la información. Incluso un análisis de un antivirus basado en firmas puede ayudar a detectar muestras de ransomware obvias. Más importante aún, la protección moderna del endpoint basada en métodos heurísticos redobla la defensa del usuario en un nivel superior. A modo de ejemplo, la variante del ransomware VIRLOCK, utiliza código polimórfico (código que muta al tiempo que conserva los algoritmos originales) para evitar la detección basada en firmas. Cuando no hay dos muestras de un mismo ransomware, el análisis basado en firmas no es suficiente.

En lugar de verificar sólo lo que parece el código específico del ransomware, el análisis heurístico observa qué acciones de la aplicación de ransomware ejecuta. Si el comportamiento de una descarga coincide con suficientes signos sospechosos, la protección basada en la heurística lo bloqueará antes de que pueda causar cualquier daño.

  1. Aplica parches pronto y con frecuencia

Anteriormente se mencionaba la capacidad que tienen las descargas ocultas para infectar su sistema sin su conocimiento. Las descargas no autorizadas pueden ser lanzadas desde web maliciosas usando ataques cross-site scripting o mediante campañas de publicidad comprometidas en web legítimas. A menudo, estos ataques dependen de los plugins no parcheados del para su éxito. Mientras que las actualizaciones frecuentes pueden parecer una molestia, estas desempeñan un papel decisivo en mantener la protección. A los atacantes les gusta explotar las versiones no parcheadas de Flash y Java para ejecutar código malicioso.

La simple instalación de actualizaciones es el paso más sencillo que puede tomar para mejorar sus probabilidades contra los ataques ransomware. También debes valorar si Flash y Java son necesarios para tus clientes. Oracle anunció este año la eliminación de su plug-in del navegador de Java en la próxima versión de Java Development Kit. Flash está también siendo reemplazado con HTML5 y podría no ser necesario en su uso diario del navegador web.

  1. Un poco de educación puede llevar muy lejos

Los ataques de ransomware son en su mayor parte indirectos e infectan los sistemas a través de emails de phishing masivos o drive-by downloads, es decir, descargas ocultas. Es por eso que resulta fundamental educar y concienciar a los empleados para que la empresa no termine perdiendo miles de dólares en pagos de rescate, mientras los equipos de TI y los consultores de seguridad trabajan en recuperar los archivos cifrados. Al final, es el usuario el que abre un archivo adjunto contaminado o visita un enlace comprometido. Esto hace que la educación del empleado sea el aspecto más crítico en la defensa contra el ransomware. Los usuarios necesitan saber cómo detectar y responder ante los intentos de phishing. Tienen que ser conscientes de las posibles consecuencias de hacer clic en ciertos enlaces. Darse cuenta de la naturaleza crítica de estas notificaciones y de la necesidad de las actualizaciones, aunque estas puedan resultar pesadas.

En definitiva, y tal y como menciona el analista de WatchGuard, la copia de seguridad es importante, pero lo es más comprender y utilizar estas tácticas de defensa contra el ransomware. Mientras que las protecciones técnicas pueden aumentar tus posibilidades frente a las infecciones por ransomware, estas no son suficientes. Nosotros mismos y nuestros compañeros, casi siempre, somos el punto de entrada más sencillo para el ataque. Saber reconocer el peligro puede ser la diferencia entre continuar el día con normalidad o perder el resto de la jornada restaurando copias de seguridad, con todas las pérdidas que esto conlleva para el negocio.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *