Blog B-SECURE

Ransomware: ¿Aún no aprendemos la lección?

Ransomware-wannacry.jpg

Los últimos meses el ransomware ha sido el tema de moda en el mundo de la seguridad, logrando incluso acaparar las primeras planas de los principales diarios del mundo. Sin embargo, aun son muchas las personas que no tienen la mas mínima idea sobre el tema, y lo que es peor, existe una gran cantidad de empresas que no han tomado medidas a pesar de las advertencias. Bien vale la oportunidad para revisar nuevamente qué es el ransomware y qué podemos hacer para prevenir este tipo de amenazas.

 ¿Qué es el ransomware y cómo funciona?

El ransomware es un tipo de malware que impide o limita el acceso de los usuarios a su sistema, ya sea bloqueando la pantalla del mismo o bloqueando los archivos de los usuarios a menos que se pague un rescate. Las familias más modernas del ransomware, clasificadas colectivamente como cripto-ransomware, cifran ciertos tipos de archivos en los sistemas infectados y obligan a los usuarios a pagar el rescate a través de métodos de pago en línea, para obtener la llave de descifrado.

Precios de rescate y pago

Los precios de rescate varían dependiendo de la variante de ransomware y el precio o tipos de cambio de las monedas digitales. Gracias al anonimato percibido que ofrecen las criptomonedas, los operadores de ransomware suelen especificar pagos de rescate en bitcoins. Variantes recientes de ransomware también han enumerado opciones alternativas de pago como iTunes y las tarjetas de regalo de Amazon. Sin embargo, debe tenerse en cuenta que el pago del rescate no garantiza que los usuarios obtengan la clave de descifrado o la herramienta de desbloqueo necesaria para recuperar el acceso al sistema infectado o a los archivos.

Infección y comportamiento de Ransomware

Los usuarios pueden encontrar esta amenaza a través de una variedad de medios. Se puede descargar en sistemas cuando los usuarios involuntariamente visitan sitios Web malintencionados o comprometidos o por un payload descargado por otro malware. Algunos ransomware son conocidos por aparecer como archivos adjuntos de correo electrónico no deseado o en páginas maliciosas a través de malvertisements. Recientemente se ha visto también el uso de kits de explotación para aprovecharse de vulnerabilidades que permiten la propagación, lo que ha causado infecciones masivas. Este es el caso de Wannacry, el malware que aprovecha una falencia en el protocolo SMB de Windows, al recurso $IPC, sobre el cual es posible la ejecución de código remoto, logrando una rápida propagación en las organizaciones, incluso sin necesidad de la accion de los usuarios.

Una vez ejecutado en el sistema, el ransomware puede bloquear la pantalla del ordenador o, en el caso del crypto-ransomware, cifrar archivos predeterminados. En el primer escenario, una imagen o notificación en pantalla completa se muestra en la pantalla del sistema infectado, lo que evita que las víctimas utilicen su sistema. Esto también muestra las instrucciones sobre cómo los usuarios pueden pagar por el rescate. El segundo tipo de ransomware impide el acceso a archivos potencialmente críticos o valiosos como documentos y hojas de cálculo.

COMO PREVENIRLO

No existe una única forma para hacerle frente al ransomware. Por esta razón se deben emplear un conjunto de controles cuyo fin es aumentar la protección de los diversos vectores de entrada de la amenaza.

1. Concientización: aunque parezca cliché, la primera línea de defensa son los usuarios, incluyendo empleados, contratistas y proveedores. Son estos los que abren correos electrónicos y descargan archivos infectados, navegan en sitios potencialmente inseguros y hacen clic en enlaces que desencadenan la infección. Es necesario iniciar campañas de concientización para que los usuarios conozcan a que se enfrentan, como reconocer las amenazas, cómo actuar y a quien acudir en caso de tener dudas al respecto. (Puede utilizar como parte de estas campañas algunos recursos que hemos elaborado: Infografía Ransomware 101, Video ¿Has oído hablar del ransomware?).

2. Gateway de correo y navegación: está demostrado que el vector mas grande de infección es el correo electrónico, llegando a estimarse incluso alrededor del 90%, y otra buena porción a través de la navegación en sitios comprometidos o maliciosos. Por esta razón se deben extremar las medidas de seguridad técnicas para evitar que el ransomware llegue a los usuarios finales. Asegúrese de contar con herramientas de seguridad para que incluyan características como reputación Web, filtrado URL, anti-malware, anti-spam, entre otros.

3.Estaciones de trabajo y servidores: asegurar los puntos finales es también determinante. Tener continuamente actualizado su sistema antimalware en todos los equipos no es opcional. Asegúrese que la herramienta que use cuente con tecnologías como machine learning, monitoreo de comportamiento, control de aplicaciones, reputación de archivos y protección contra vulnerabilidades, entre otras, pues le permiten aumentar el nivel de protección frente al ransomware. Adicionalmente, tenga en cuenta el parcheo virtual pues protege sus sistemas y aplicaciones empresariales de nuevas vulnerabilidades y ataques de día cero sin recurrir en los costos e impactos al negocio del parcheo convencional. Es un complemento costo efectivo para su estrategia; dándole mayor control sobre la programación de sus parches y lo mas importante, protegiéndolo aún cuando no están disponibles.

4.Visibilidad e inteligencia: debido a que las amenazas han evolucionado habiéndose encontrado casos donde se ha detectado que han sido dirigidas, se debe fortalecer las capacidades de visibilidad e inteligencia de las organizaciones que permitan detectarlas y bloquearlas. Seguramente los servicios de monitoreo con herramientas SIEM, de detección de amenazas avanzadas (Breach Detection Systems – BDS) o sandboxing serán de gran ayuda y le permitirán identificar las amenazas, sus acciones (conexiones C&C, movimientos laterales, etc.) y controlar la propagación.

* Apartes de esta entrada fueron tomadas de: https://www.trendmicro.com/vinfo/us/security/definition/ransomware