Si 2016 se convirtió en el año de su consolidación, 2017 va camino de ser el de las campañas sonadas de ransomware. Este tipo de malware, que secuestra la información almacenada en equipos informáticos e impide su uso para pedir un rescate a cambio de su liberación, apenas necesita ser presentado ya. La infamia le precede. Sus efectos alcanzaron a multitud de empresas de todo el mundo el mes pasado con Wannacry, o WannaCrypt. Y su agresividad se ha vuelto a poner esta misma semana de relieve a través de una variante de Petya.
A las pocas horas de comenzar su ataque, esta variante ya había infectado a grandes empresas y servicios como Maersk, Merck, Mondelez, Rosneft y el metro y entidades gubernamentales de Kiev. Había secuestrado ordenadores corporativos, bancarios, redes eléctricas, puertos marítimos y aeropuertos en diversos países, incluyendo a España y usando diferentes formas de propagación. Por un lado, con una versión modificada de la herramienta PsExec para ejecutar procesos en sistemas remotos. Por otro lado, abusando de la interfaz de secuencias de comandos WMIC. Si ninguna de estas cosas sale bien, lo que hace es aprovechar el exploit EternalBlue desarrollado por la NSA y robado por los hackers ShadowBrokers para explotar una vulnerabilidad en Server Message Block de Windows, como ya hizo WannaCry. Además, este malware puede extenderse a todas las máquinas conectadas a la misma red. Al final, impide el arranque del sistema, solicita un pago de 300 dólares en Bitcoins y cifra archivos.
Y ahí llega el pánico de las víctimas y las primeras dudas. ¿Qué hacer frente al ransomware? ¿Qué hacer cuando ya ha golpeado? ¿Rendirse a los ciberdelincuentes o no? La compañía de seguridad Trend Micro insta a los afectados a que no paguen el rescate exigido, “ya que la cuenta de correo electrónico utilizada por los atacantes para validar los pagos ha sido desactivada por el proveedor Posteo”. De hecho, no pagar es una de las recomendaciones más repetidas por todos los expertos, que explican que ceder al chantaje no significa que el ciberdelincuente vaya a cumplir su palabra tras recibir el cobro. El director técnico de Trend Micro Iberia, José de la Cruz, explica que debido a la complejidad del último ataque “la forma más efectiva de mitigar el riesgo es a través de un enfoque multicapa de defensa en profundidad”.
¿Y qué significa un enfoque multicapa? Por un lado, concienciar a los empleados y restringir privilegios, lo que lleva a pensar en “políticas de ‘privilegios mínimos’” para los equipos corporativos y contener la propagación. Por otro lado, hay que aplicar los parches, proteger herramientas de administración del sistema del estilo de PowerShell o PsExec, monitorizar redes de forma proactiva para identificar comportamiento sospechoso, lo que pasa por “implementar segmentación de red y categorización de datos para detener la propagación de ransomware“, y deshabilitar aquellos protocolos o herramientas que no se necesitan. Desde Trend Micro aconsejan empezar por el bloqueo del puerto TCP 445 y por limitar las cuentas con acceso a los administradores. Esto es, además de aplicar de una vez por todas el parche de seguridad MS17-010 de Microsoft antes de que algo así vuelva a suceder.
“A diferencia de otros ransomware, Petya no cifra los archivos en las empresas infectadas uno por uno, sino que bloquea todo el disco duro. Para protegerse”, coincide Maya Horowitz, responsable del Equipo de Inteligencia de Amenazas de Check Point, “deben aplicar la última actualización de seguridad de Microsoft inmediatamente y deshabilitar el protocolo de intercambio de archivos SMBv1 en sus sistemas de Windows. Las organizaciones también tienen que ser capaces de evitar que se produzcan infecciones mediante el escaneado, bloqueo y filtrado de archivos sospechosos de contenido antes de que entren en sus redes. Además, deben educar a sus empleados sobre los riesgos potenciales de los mensajes de correo electrónico de personas desconocidas, o de emails sospechosos que parecen enviados por contactos conocidos”.
En este sentido, habría que pensar “antes de hacer clic”. Éste es uno de los mensaje que está intentando inculcar otra empresa experta en ciberseguridad como es McAfee a raíz de un ataque que “podría estar expandiéndose a través de correos de phishing o spam. Por lo tanto, asegúrate de revisar el contenido de cualquier correo electrónico y verificar que es legítimo. Además, coloca el cursor sobre un enlace y comprueba si se dirige a una URL fiable”, exhortan sus recomendaciones. “Si no estás seguro del contenido de un mail o de la fuente de la que proviene, realiza una búsqueda rápida y busca otros ejemplos de esta campaña que podrían indicarte la legitimidad de este tipo de correos”, siguen detallando. Y esto vale para otras ocasiones en las que el malware intente colarse en los sistemas informáticos.
Otra firma especializada en seguridad que desaconseja “abrir ficheros descargados de internet o recibidos por correo electrónico de fuentes no confiables o desconocidas” es G DATA, que anima a “mantenerse informado de las novedades que puedan publicarse sobre este ciberataque”, u otros, siguiendo las noticias o a los propios expertos. Mientras, en Trend Micro creen que hay que “sensibilizar” a empleados y “usuarios sobre lo que deben hacer si creen que han recibido un email sospechoso o si les anima a visitar un sitio dañino”, antes de que acaben activando enlaces en los que no deberían pinchar.
La concienciación es clave. “Los ataques de ransomware no son nuevos y, de hecho, son cada vez más frecuentes”, reflexiona Camilo Gutiérrez, jefe del Laboratorio de ESET Latinoamérica, hasta donde también se ha extendido este ransomware que comenzó pegando fuerte en Europa. Esta clase de ataques pone en alerta a profesionales y “compañías porque detienen la continuidad del negocio, pero es importante saber que pueden estar protegidos teniendo una infraestructura de seguridad eficiente y actualizada”. Esa actualización debe abarcar las últimas versiones de sistemas operativos y aplicaciones presentes en los equipos de toda la red, el firmware, las propias soluciones de seguridad y los parches de urgencia. “En definitiva, se trata de mantenerse en alerta y aplicar buenas prácticas de seguridad sin caer en la desesperación”.
Para Kaspersky Lab, lo que tienen que hacer las organizaciones es “actualizar su software de Windows, comprobar su solución de seguridad y asegurarse de que tienen una copia de seguridad y detección de ransomware”. La fórmula se completa con otros consejos de Fortinet, que lanza soluciones como “implementar tecnologías antivirus, IPS y filtrado web” y “programar verificaciones automáticas regulares en los sistemas antivirus y antimalware”. Fortinet contempla otras posibilidades como los análisis regulares de vulnerabilidades, “una estrategia de continuidad de negocio y de respuesta ante incidentes” y el establecimiento de rutinas de parcheado, que en organizaciones de gran tamaño debería arreglarse a través de “un sistema de gestión de parches centralizado”. Al respecto Trend Micro dice que no hay que descartar los “parches virtuales” si es imposible “implementar inmediatamente los parches del proveedor”.
Si ya se ha caído en la trampa, si uno ya ha sido infectado, si la nota de rescate ya ha aparecido en pantalla del ordenador, habrá que deshacerse del malware. Desde el Centro de Operaciones de Seguridad de Always On indican que lo primero es desconectar el equipo o equipos infectados de la red y realizar “una restauración del sistema a un punto anterior”. Habría que “realizar una limpieza completa del equipo con cualquier solución antivirus totalmente actualizada” y, “en caso de que el equipo continúe infectado se deberá realizar una reinstalación de Windows” para restablecerlo.
En todo caso aquí entrará en juego la previsión que se haya tenido. Experto tras experto apunta al backup o la realización de copias de seguridad como un paso fundamental para enfrentarse al ransomware. Las empresas tienen que hacer estas copias de forma periódica, para tener la certeza de que todo está al día, y sin olvidar la información más crítica. Existe una regla conocida como la regla del 3-2-1 que mantiene que al menos hay que tener tres copias guardadas en dos soportes diferentes y que una de ellas sea externa. Además, no basta con hacer las copias. Hay más. Hay que comprobar que funcionan y conviene cifrarlas. Aunque los investigadores de seguridad intentan revertir los efectos del ransomware y poner a disposición de las víctimas herramientas que descifran los archivos afectados, el backup es una garantía.
“La única defensa fiable contra ataques de ransomware como el de Petya es el backup”, apunta Nigel Tozer, director de marketing de soluciones de Commvault. “Claramente, los criminales detrás de éste y de otros ataques recientes continúan estando un paso de delante del software de detección de amenazas, por lo que, si tus sistemas y datos han sido secuestrados, la única forma real de recuperarlos es ser capaces de revertir los datos a su última copia de seguridad antes de la infección”. Esto es, con “una solución de backup gestionada de forma centralizada. Mientras que revertir a la copia de seguridad anterior a la infección puede suponer la pérdida de algunos datos, no es nada en comparación con el impacto de perder toda la información de forma permanente”.
De cara al futuro, “las organizaciones deben adoptar una defensa integrada en la red, que elimine la complejidad de las soluciones puntuales y capaz de autodefenderse mediante herramientas automatizadas”, en opinión de Eutimio Fernández, director de Seguridad en Cisco España, “operando bajo el modelo de detectar una vez y proteger en todas partes y durante todas las etapas de los ataques: antes, durante y después”. La impresión que tienen algunos miembros de la industria de la seguridad, como es el caso de Check Point, es que el problema está en la fragmentación. “Hay demasiadas tecnologías no compenetradas entre ellas que se dedican a detectar un ataque después de que el daño está hecho”, por lo que “se necesitan arquitecturas unificadas que se centren en prevenir los ataques antes de que lleguen a las redes corporativas”.
Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…
Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…
Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…
Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.
Ya cuenta en su poder con más del 90 % de las acciones del proveedor…
Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…