Ransomware: medidas preventivas (II)

En la primera parte de la serie de post dedicada al ransomware, titulada: ‘Ransomware: medidas preventivas (I)’, se introdujo el concepto de malware de rescate, se habló de las posibles motivaciones de sus autores, se mencionó su evolución conforme al paso del tiempo y se detallaron aquellas medidas de prevención basadas en el hardening de sistemas y sistemas operativos.

Este nuevo artículo tratará de profundizar en otras medidas preventivas, agrupándolas igualmente por bloques, que minimicen las posibilidades de infección o mitiguen las consecuencias de un ataque ransomware.

Gestión de copias de seguridad

Disponer de copias de seguridad (backup) es una medida altamente recomendable y para su gestión conviene tener en cuenta aspectos como:

Periodicidad. Ésta dependerá de la criticidad de los datos y la frecuencia con la que éstos se modifiquen. Realizar una copia de seguridad semanalmente suele ser correcto para la mayoría de casos.
Número de réplicas. Se recomienda aplicar la regla ‘3-2-1’, que consiste en realizar, al menos, tres backup de datos, donde dos de dichas copias deben estar guardadas en plataformas diferentes, como, por ejemplo, en un disco externo y en la nube. La tercera copia de seguridad se recomienda alojarla en una ubicación diferente a las anteriores. Así, en caso de que ocurra algún incidente, incluyendo incendios o hurtos, se evitaría que todas las copias se vieran afectadas.
Acceso desde la Red. Se recomienda que las copias sean inaccesibles desde la Red, es decir, que no presten servicio desde la misma. En el caso de que esto no sea posible, como ocurre con los backup en la nube, se recomienda que las dos copias de seguridad restantes no lo estén. Esta medida hace frente a las nuevas capacidades de los ataques ransomware de enumerar y recorrer todas las unidades del equipo infectado, incluyendo los discos externos o USB conectados. Este hecho también afectaría a programas como OneDrive o Dropbox, ya que trabajan con unidades locales del equipo.
Revisión periódica. Con el fin de asegurar que las copias de seguridad y los sistemas que las realizan funcionan correctamente y se pueden restaurar, estas deben ser probadas cada cierto tiempo, siguiendo un procedimiento de recuperación.

Finalmente, si se quiere profundizar en aspectos como qué información incluir en una copia de seguridad o la protección de las mismas, se recomienda consultar la ‘Guía de aproximación a las copias de seguridad’ de INCIBE.

Protección de Red

Uso de VPN para conexiones remotas

Usar una VPN (Virtual Private Networking) permitiría acceder a servicios online desde cualquier lugar sin necesidad de exponerlos en Internet, donde podrían ser comprometidos por malware, gracias a un encapsulamiento de la comunicación.

Existen alternativas gratuitas para establecer una VPN, entre ellas, destaca OpenVPN, la cual puede montarse en cualquier dispositivo Linux o en los servicios de virtualización Hyper-V y ESXi.

Restricción del uso de puertos predeterminados

Una manera eficaz de prevenir ataques directos contra vulnerabilidades conocidas es modificar la configuración por defecto de los servicios, como por ejemplo sus números de puerto. Algunos de estos puertos bien conocidos son el puerto 80 para el servicio http o el puerto 1433 para Microsoft SQL Server.

Filtrado de conexiones

Un filtrado a nivel de red perimetral proporcionado por un firewall moderno permitiría evitar acceder a páginas maliciosas o no necesarias, mediante un sistema de calificación de direcciones IP y dominios maliciosos en categorías, como banca online, redes sociales, sitios maliciosos, entre otras.

Segmentación de la red

Una red segmentada, siguiendo los principios de mínima exposición, permitiría contener la expansión de una infección por ransomware en la misma y con ello, reducir el impacto del ataque. En esta tarea, es importante contar con un buen número de divisiones de la Red para una segmentación eficaz, entre las que se deben implementar:

filtros adecuados proporcionados por firewalls, que limiten las conexiones innecesarias y susceptibles de ser usadas por ransomware (como Samba y escritorio remoto);
e IDS (Intrusion Detection System), que también contribuirán en el control perimetral.

Fomento de educación y concienciación de usuarios

Fomentar la educación de los usuarios en materia de ingeniería social podría ayudar a prevenirlos de los ataques de tipo ransomware. Los usuarios son el objetivo de estos ataques, por lo que si conocen la amenaza y sus posibles formas de ataque, se reduciría la probabilidad de que, por ejemplo, ejecutaran un archivo malicioso descargado de un adjunto en un correo electrónico o tras abrir una pestaña emergente del navegador.

Utilización de software de calidad y específico contra ransomware

Uso de herramientas confiables

Ante la actual existencia de múltiples aplicaciones maliciosas, que se pueden distribuir por medio de software pirata o de baja reputación, es recomendable, siempre que sea posible, usar aquel software que cuente con:

Firma digital. Ésta verifica que el software no haya sido modificado por un tercero y por lo tanto, es la versión original que creó el desarrollador.
Información sobre el desarrollador y el software, tal como auditorías de seguridad previas a su publicación, controles de calidad y política de protección de datos.

El uso de software pirata no es aconsejable, ya que nadie verifica que se cumplan los puntos anteriores y además, su uso puede incurrir en posibles delitos.

Lo mismo ocurre con las extensiones de navegador, que mayormente son publicadas por desarrolladores independientes. Con relación a éstas, se recomienda usar sólo aquellas que provengan de fuentes de confianza y sean descargadas de fuentes oficiales, como Chrome web store o Mozilla add-ons.

Uso de un antivirus

Tener un antivirus habilitado, actualizado y correctamente configurado ayuda a proteger no solamente frente a ataques de ransomware, sino también ante otros tipos de amenazas.

Uso de políticas de grupo restrictivas

Para esta tarea, es recomendable recurrir a software externo, como CryptoLocker Prevention Kit, que facilite el uso y creación de políticas de grupo mediante reglas e imposibilite la utilización de ficheros a través de carpetas potencialmente vulnerables, como AppData, LocalData, entre otras.

Otra opción es CryptoPrevent, un software más sencillo de usar sin editor de políticas de grupo y presente en diferentes versiones de Windows. Permite configurar políticas de grupo en el registro, que incapaciten ficheros de diversas extensiones (.com, .exe, .pif) y de la misma forma, crear una allow list sobre las aplicaciones verificadas o filtros más avanzados, pudiendo así repeler una gran cantidad de ataques de ransomware.

Implementación de soluciones específicas antiransomware

Como solución destacada, se encuentra el software llamado Anti Ransom, capaz de detectar si se están modificando ficheros, pudiendo paralizar el proceso, además de averiguar la clave que permite descifrar los archivos cifrados.

Este software cuenta con funciones sencillas e intuitivas, notificaciones al detectar la modificación de un directorio sensible, indicando el proceso por el que se está cambiando, y una función de volcado de memoria del proceso para la búsqueda de la clave de cifrado. Si verifica que se trata de un ransomware, bloquea el proceso de modificación del fichero.

Conclusión

España ocupa el puesto número 10 de 26 en la lista de los países con empresas más afectadas por ransomware en 2020, según indica el informe anual de Sophos, por lo que para hacer frente a esta amenaza es imprescindible adoptar medidas preventivas de forma correcta.

La prevención puede basarse en diferentes aspectos, como contar con protecciones EPP (Endpoint Protection Platform) y EDR (Endpoint Detection and Response); instalar protección antivirus en el correo electrónico y sandbox para el análisis de muestras que no se identifican previamente mediante su firma, además de contar con protecciones a nivel de aplicación (capa 7) en el firewall perimetral de la Red.

Uno de los vectores de entrada más importantes en una organización es el posible fallo humano, por lo que concienciar y formar al usuario final es una medida que no se debe olvidar.

Finalmente, como medidas más específicas, una buena gestión de copias de seguridad también es imprescindible, ya que podría reducir drásticamente el tiempo que tarda una organización en recuperarse tras haber sufrido un ataque, mejorando así su capacidad de resiliencia.

Etiquetas:

Procedimientos de bastionado

Protección de datos

Últimas entradas

La gran cruzada robótica

Publicado el 27/03/2023, por INCIBE

Dentro del mundo industrial, existen algunos sectores como el de la robótica, el cual ha evolucionado considerablemente. Esto ha supuesto la necesidad de actualizar todas las normativas y estándares...
Estudio del análisis de amenazas: LockBit

Publicado el 23/03/2023, por INCIBE

En este estudio, se expone brevemente el origen y evolución de la amenaza ransomware LockBit 3.0, a través del análisis de varias muestras maliciosa, con el objetivo de facilitar la información...
El futuro de SCI se encuentra en el espacio

Publicado el 20/03/2023, por INCIBE

Existen zonas donde el despliegue de una planta industrial requiere de comunicaciones satélite como las proporcionadas por la tecnología VSAT (Very-Small-Aperture Terminal). Esta tecnología permite...
Virtual Power Plants: el ‘Internet de la energía’

Publicado el 16/03/2023, por INCIBE

Las alternativas sobre eficiencia energética están hoy en día en boca de todos dada la crisis energética que azota a la gran mayoría de las regiones europeas. Desde España, las empresas energéticas...
Tácticas y técnicas de los malos en SCI

Publicado el 09/03/2023, por INCIBE

Los Sistemas de Control Industrial (ICS) inicialmente fueron diseñados para trabajar en entornos estancos y como sistemas autónomos, escaseaban las interconexiones entre sistemas, al igual que...

Accesos corporativos