9 Pasos para Protegerse del Ransomware

by Pablo Mosqueira on 01/27/2018

“Solo pague el rescate.” Así dijo un oficial del FBI durante la Cumbre de Seguridad Cibernética en Boston en 2015. Sin embargo, desde entonces, el FBI ha publicado un documento oficial que advierte sobre el ransomware y proporciona una lista de mejores prácticas sobre cómo combatirlo. Y así, el nuevo documento dice que, “el FBI no respalda pagar el rescate al adversario”. 1

Ahora sabemos que la mayoría del ransomware se propaga mediante phishing o spam en el correo electrónico. Recientemente, los usuarios de la Cámara de Representantes de los Estados Unidos fueron víctimas de una campaña de ransomware que según se dice fue diseñada para engañar a los usuarios a abrir un archivo adjunto enviado a sus cuentas de correo de Yahoo.2

Aumentar la educación y el conocimiento del usuario final siempre son buenas ideas, pero es importante entender que los “chicos malos” son profesionales.

Ellos utilizan herramientas profesionales para marketing e ingeniería social para mejorar sus habilidades de engañar a los usuarios a abrir archivos adjuntos de correos electrónicos y mensajes fraudulentos. Por lo tanto, usted debe suponer que incluso los usuarios más educados y conscientes pueden ser engañados. De hecho, el último informe de la brecha de datos de Verizon reveló que el 23% de los destinatarios abren los mensajes de phishing y el 11 por ciento hacen clic en los archivos fraudulentos adjuntos.3 De manera que las probabilidades están en su contra.

El presente artículo revisa las recomendaciones del FBI, y explica los nueve pasos que necesita poner en práctica para implementarlos.

Prevención

El modelo de “detectar y responder” para el ransomware es de poco valor porque una vez que se ejecuta el ransomware, ya es demasiado tarde. Es por eso que la prevención es fundamental para luchar contra dicho malware. El FBI sugiere implementar los nueve pasos de prevención o métodos que se indican a continuación y que se explican más detalle más adelante:

  1. Aplique parches a los sistemas operativos y aplicaciones críticas
  2. Asegúrese de que su software de antivirus se encuentra actualizado y que los escaneos son programados periódicamente
  3. Administre el uso de cuentas privilegiadas
  4. Implemente el control de acceso que se enfoque en los datos
  5. Defina, implemente, e imponga reglas para el software
  6. Deshabilite las macros de archivos de Microsoft Office
  7. Implemente una lista blanca de aplicaciones
  8. Restrinja a usuarios a tenerlos en ambientes virtualizados o contenerizados
  9. Respalde con frecuencia los archivos críticos

     

1.- Aplique parches a los sistemas operativos y aplicaciones críticas.
Para la mayoría de las organizaciones, los parches deben ser la primera o la segunda línea de defensa contra cualquier ataque. Esto también aplica para el ransomware.

Hace unos meses, un defecto en Adobe Flash fue utilizado por los ataques de ransomware Cerber y Locky y ser distribuidos a las estaciones de trabajo de las víctimas.4 Usted puede evitar muchos de estos atentados, asegurando que el sistema operativo y las aplicaciones de terceros necesarias en cada sistema del cliente estén actualizados. Usted también debe hacer un esfuerzo especial para asegurarse de que todas las actualizaciones y parches críticos para aplicaciones como Adobe Flash, Java, navegadores de Web y Microsoft Office se mantengan al corriente. Lo que es más, usted debe priorizar las implementaciones de parches y actualizaciones basadas en necesidades comerciales y políticas y debe ejecutar aquellas implementaciones de maneras que no interrumpan las operaciones de usuarios o de la empresa.

Muchas organizaciones temen que la completa, oportuna y coherente aplicación de parches es demasiado compleja para ejecutar y mantener, o que se pueden averiar las aplicaciones críticas de la empresa. Sin embargo, el uso de herramientas avanzadas para la gestión de parches para buscar parches faltantes y desplegarlos a servidores o estaciones de trabajo es una tarea muy sencilla, incluso en los entornos más complicados.

Requiere de la experiencia que ofrece una solución para la gestión de parches completa, flexible y de extremo a extremo. Una solución empleada eficientemente para automatizar la gestión de parches y para implementar los parches críticos con una interrupción mínima o nula a su empresa o a sus usuarios.

2.- Asegúrese de que el software antivirus está actualizado y que los escaneos programados se ejecuten regularmente

Si la aplicación de parches es su primer línea de defensa, y así el antivirus (AV) debería ser el siguiente. Los investigadores de seguridad ahora saben que la mayoría de los ataques ransomware no puede ser detenidos por los soluciones de AV tradicionales basadas en firmas. Sin embargo, usted no quiere ser víctima de amenazas de malware que ya se encuentran identificados y etiquetados por su proveedor de AV.

Asegurar que su base de datos de definición de virus siempre se encuentre actualizada en todas las estaciones de trabajo es el elemento más importante para una estrategia de AV eficaz. Puede contar con software de gestión de seguridad que pueda automatizar este proceso para usted. Una solución que pueda distribuir el archivo de definición de virus más recientes para todos los endpoints en cualquier tamaño de ambiente y con el uso eficiente del ancho de banda.

3.- Administrar el uso de cuentas privilegiadas

Minimizar los privilegios es una táctica importante para protegerse contra muchos tipos de malware, incluyendo el ransomware. Por ejemplo, el reciente descubrimiento de un ataque de ransomware llamado “Petya”  que requiere privilegios de administrador para ejecutarse, y no hará nada si el usuario no concede esos privilegios.5

Eliminar derechos de administrador es fácil, pero equilibrar el acceso privilegiado, la productividad del usuario y la seguridad de la empresa, no lo es. Por lo tanto, la necesidad de una solución para la gestión de privilegios. Requiere de una solución probada que le ayude a definir políticas que limiten los privilegios administrativos a los usuarios autorizados que necesitan para realizar su trabajo.

Sin embargo, una cosa a tener en cuenta a la hora de proteger contra el ransomware es que muchos ataques de ransomware son sólo ejecutables en donde los usuarios son engañados para que los ejecuten. Una vez ejecutado, esas instancias del ransomware se ejecutan dentro del espacio del usuario actual, y no necesitan de privilegios de administrador para hacer su daño. Una versión actualizada del ataque del ransomware Petya (mencionado arriba) tiene un mecanismo de reserva que le permite cifrar archivos sin la necesidad de privilegios de administrador.

4.- Implemente el control de acceso que se enfoque en los datos

Una solución eficaz para el control de accesos puede ayudarle a protegerse contra el ransomware. Sin embargo, si la solución se centra principalmente o exclusivamente en los derechos de acceso del usuario, es muy probable que resulten menos que eficaces.

El control de acceso puede ser de gran beneficio para la protección de archivos ubicados en las unidades compartidas. Eso es porque algunos usuarios probablemente siempre tengan el derecho legítimo de acceder y modificar al menos algunos archivos en cada unidad compartida. Después de todo, la mayoría de estos archivos son archivos de documentos creados por los usuarios legítimos. Esto significa que un ataque de ransomware que infecta con éxito el sistema de un usuario con derechos de acceso legítimos pueden cifrar y mantener como rehén a todos los archivos de todas las unidades y carpetas compartidas conectadas.

La soluciones de seguridad que seleccione debe ofrecer diferentes tipos de de controles de acceso: uno que se centre en los datos que desea proteger frente a los derechos de los usuarios. Que le permita definir reglas para evitar que cualquier programa (excepto los especificados) puedan modificar los documentos sensibles o archivos críticos. Por ejemplo, una regla que sólo permita que Microsoft Word pueda modificar los archivos .doc y .docx y negará cualquier intento del ransomware instalado correctamente para cifrar cualquiera de estos archivos.

Agregar reglas similares para proteger todas las aplicaciones de Microsoft Office, Adobe PDF, y otras frecuentemente utilizadas y los tipos de archivos compartidos proporciona la mejor defensa contra la mayoría de los ataques de ransomware. Con estas normas vigentes, inclusive si el ransomware obtiene el acceso al sistema de un usuario, no será capaz de cifrar los archivos protegidos. Los usuarios conservarán el acceso a estos archivos y podrán continuar trabajando con una interrupción mínima o nula, y sin necesidad de restaurar copias de seguridad más viejas y potencialmente obsoletas.

Tome en cuenta que algunos intentos de ransomware aparecen como software legítimo y se añaden a las rutinas de inicio del sistema. Utilice una solución que pueda impedir que lo hagan.

En comparación con las soluciones tradicionales para el control de acceso, busque centrarse en la protección de datos como una defensa más eficaz contra el ransomware. Debe basarse en comprender la conducta del ransomware, y no requerir de la creación y gestión de usuarios en específico (y siempre cambiantes) reglas. Por lo tanto, también es más fácil de implementar y mantener que un control de acceso basado en la administración de derechos de usuario.

5.- Definir, implementar y ejecutar reglas para el software

Utilice una herramienta que también facilite la tarea de definir, implementar y hacer cumplir las reglas que rigen cómo se comporta cualquier otro software. Las reglas pueden restringir la posibilidad de que el software designado pueda ejecutar o crear, modificar o leer cualquier archivo o archivos ubicados en carpetas específicas, incluidas las carpetas temporales utilizadas por los navegadores y otros programas. Esas reglas pueden ser aplicadas a nivel mundial, o a usuarios o grupos específicos.

Sin embargo, antes de implementar estas reglas, es importante tener en cuenta la degradación de la experiencia del usuario que tales reglas pueden introducir. Por ejemplo, al instalar software nuevo o actualizado,  a veces es necesario para los usuarios legítimos descomprimir o ejecutar archivos directamente desde sus navegadores. Los usuarios también pueden confiar en la capacidad de crear o llamar a macros para realizar sus trabajos. De lo contrario las reglas de restricción para el  software pueden bloquear estas actividades legítimas.

6.- Deshabilite los macros de los archivos de Microsoft Office
Deshabilitar las macros de los archivos de Office bloqueará muchos tipos de malware, incluyendo el ransomware. Por ejemplo, Locky es un crypto-ransomware relativamente nuevo que se propaga principalmente a través de spam con archivos adjuntos. Se incita a los usuarios a habilitar las macros en documentos de Word que descargan el malware en las máquinas.

Requiere de una solución que le permite a los administradores configurar directivas para deshabilitar las macros. La implementación de esta política a los trabajadores que no requieran el uso de macros bloqueará efectivamente estos tipos de ejecución de ransomware.

Otras consideraciones
El FBI ha emitido recomendaciones adicionales destinadas a aumentar la protección de su entorno. Diseñados para ayudarle a defenderse contra varios tipos de malware y otros ataques, pero si se usan correctamente, también lo protegerán contra el ransomware.

7.- Implementación de una lista blanca de aplicaciones

Utilice una solución que elimine eficazmente la capacidad de ejecutar cualquier ransomware, dado que no hay un ransomware de confianza. Asegura que sólo las aplicaciones conocidas designadas como de confianza se pueden ejecutar en cualquier endpoint. Los mayores desafíos para el éxito de las listas blancas están creando la lista inicial de aplicaciones de confianza, y mantener esa lista exacta, completa y actualizada.

Usted necesita de una gestión precisa de aplicaciones, que ofrezca múltiples opciones: amplia, flexible, eficaz, para una lista blanca sencilla. Que sea fácil crear y mantener sus listas blancas. Por ejemplo, “descubrir” automáticamente todas las aplicaciones que se ejecutan en un sistema “limpio”(s) y validar la integridad de la aplicación, en contra de su propia aplicación de base de datos de reputación. Agregar reglas de aplicaciones de confianza sobre la base de sus propietarios (por ejemplo, administradores autorizados) y proveedores (ej. Microsoft, Oracle) reduce aún más la cantidad de configuración necesaria para crear las listas de aplicaciones de confianza.

8.- Restrinja a usuarios a tenerlos en ambientes virtualizados o contenerizados

En la mayoría de los casos, el ransomware se distribuye como un archivo adjunto de correo electrónico. Restringir a los usuarios o entornos virtualizados en contenedores asegurará que cualquier ransomware que obtiene acceso a un sistema de usuario no hará daño al entorno de trabajo principal del usuario.

9.- Respalde con frecuencia los archivos críticos

El FBI recomienda utilizar respaldos frecuentes y oportunos de archivos críticos como una consideración de continuidad de negocio. Si se hace correctamente, los backups salvarán el día si son atacados por ransomware. Sin embargo, usted no necesita confiar en las copias de seguridad solo para combatir ransomware si implementa las defensas recomendadas en este artículo.

Los Incidentes de Ransomware van en aumento. ¡Hay que Defenderse!

Con soluciones de Ivanti, usted puede administrar y salvaguardar cualquier endpoint, protegerse contra amenazas nuevas y viejas, y avanzar hacia un nuevo nivel de protección.

PARA AGENDAR UNA DEMO DE LAS SOLUCIONES DE SEGURIDAD DE IVANTI, POR FAVOR HAGA CLIC AQUÍ.

 

Referencias:

  1. http://www.businessinsider.com/fbi-recommends-paying-ransom-for-infected-computer-2015-10
  2. http://www.computerworld.com/article/3068623/security/ransomware-attacks-on-house-of-representatives-gets-yahoo-mail-blocked.html
  3. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
  4. https://threatpost.com/latest-flash-zero-day-being-used-to-push-ransomware/117248/
  5. https://blog.malwarebytes.org/threat-analysis/2016/04/petya-ransomware/

 

 

Sigue a Web Security GANG en Google+!

Previous post:

Next post: