¿Cómo luchan los proveedores cloud contra el ransomware?
Ataques recientes como los de Wannacry y una variante de Petya demuestran el auge del mercado de ransomware, que mueve más de 830 millones de dólares anuales.
El ransomware se ha convertido en el malware de moda. Este programa está especializado en secuestros. Captura datos para reclamar dinero a cambio de su liberación. Por lo general, el ransomware aplica cifrado en los equipos donde se cuela para bloquear y presionar a las víctimas, que ven en el pago del rescate la solución más directa para recuperar el control. Aunque en realidad pagar no sea una garantía. También por lo general, sus autores reclaman que el pago se efectúe en forma de Bitcoin para complicar la trazabilidad de la operación.
Las campañas de ransomware suelen propagarse por medio de correos electrónicos de phishing, con ayuda de los documentos adjuntos y la ingeniería social. Basta con que alguien abra el adjunto que acompaña al email para ejecutar el código maligno y descargar de un servidor la carga activa. Así fueron escalando durante los meses de mayo y junio dos ataques masivos como los de WannaCry y la variante de Petya, que dejaron cientos de miles de perjudicados a su paso. Este 2017 se está revelando como el año de los grandes ataques de ransomware, tras un 2016 en el que el mercado del ransomware ya demostró lo lucrativo que puede llegar a ser al superar los 830 millones de dólares, según cálculos del FBI.
La receta de OVH para vencer al ransomware
¿Cómo acabar con el ransomware? ¿Qué hacer para frenar su avance? ¿Cuáles son las medidas que está adoptando la industria tecnológica y quiénes las aplican? OVH, como proveedor cloud, es uno de los representantes de la industria que se ha implicado en esta lucha. OVH trabaja para impedir la aparición de malware en los servidores de sus clientes, aunque sus responsables últimos no hayan actualizado el sistema. También se preocupa por contener posibles epidemias cuando los cibercriminales lanzan un ataque de ransomware, evitando la contaminación de máquina vulnerable tras máquina vulnerable.
Como medida de prevención, esta empresa mantiene alerta a sus empleados. Los forma y los conciencia sobre los riesgos asociados a los adjuntos del correo, dado que es imposible erradicar el ransomware sin actuar primero sobre el componente humano. Para ello, OVH envía incluso emails trampa a modo de prueba que le permiten medir la preparación de su plantilla y saber a qué trabajadores hay que reforzar con buenos hábitos informáticos, una táctica que pueden replicar otras empresas que busquen protegerse del ransomware. Las personas son el eslabón más débil en cuestiones de seguridad y a menudo, sin darse cuenta, dejan la puerta abierta al malware.
El equipo SOC de OVH mantiene mientras tanto una pelea continua con los delincuentes que se caracteriza por el despliegue de complejas investigaciones. El objetivo de cada investigación es llegar hasta las organizaciones criminales que crean las amenazas y denunciar su actividad a las autoridades competentes. De este modo, no sólo se bloquea el malware en cuestión. No sólo se deshacen los efectos de las infecciones que haya ido causando el ransomware, sino que se evita que sus autores sigan actuando. Al identificar grupos de ciberdelincuentes y denunciarlos, es posible desmantelarlos.
¿Y si existe una campaña en pleno funcionamiento que afecta a los clientes del proveedor de cloud? Para ese caso OVH también está preparado. Para empezar, la empresa decidió hace muchos años filtrar en los routers de borde de la red el puerto TCP/445. Lo hizo por motivos de seguridad. Este puerto está pensado para compartir recursos en Windows, pero también es un vector de propagación de malware. De hecho, fue aprovechado por WannaCry y más tarde por la variante de Petya gracias al exploit EternalBlue. OVH se ha encargado de que sólo esté abierto en redes privadas, por lo que resulta imposible conectarse a través de este puerto a una máquina alojada en su plataforma si no es desde una IP perteneciente a OVH. Esto evita la contaminación de las máquinas de su red.
En todo caso, si por cualquier motivo las reglas de filtrado de los routers fallan, el servicio de detección automática de escaneo de puertos de OVH es capaz de activarse, sacando a las máquinas afectadas de la red y reiniciándolas en modo de rescate. Esto no impide la propagación del malware, pero es clave, porque permite ralentizarla. El tiempo que pierde el ransomware en propagarse por los distintos dispositivos es tiempo que ganan los expertos de seguridad a la hora de establecer medidas de contención de la epidemia. De este modo, unas medidas de protección ayudan a otras.
Por otro lado, OVH cuenta con una red de honeypots y la expone para arrastrar las amenazas y obtener información de valor. Esto es, para actuar si es necesario, antes de que esas amenazas vayan a mayores. Si hay peligro y el malware acaba entrando, los honeypots hacen saltar las alarmas y OVH abrirá diversas líneas de trabajo. Buscará el paciente cero. Implementará medidas de protección para impedir el contagio de más máquinas. Comprobará su propio sistema interno. Y realizará ingeniería inversa.
Encontrar el equipo desde el que el ransomware ha conseguido penetrar en la red es una tarea metódica pero imprescindible. Si no, el culpable seguirá haciendo daño. Aquí un proveedor de cloud puede analizar los eventos consignados en los NetFlows de su sistema de protección anti-DDoS para identificar la IP de origen. También es importante trazar un retrato robot de las máquinas ya infectadas y los servidores susceptibles de ser infectados. Los datos recogidos por la red de honeypots contribuye a la identificación de equipos vulnerables. Lo que hay que hacer a continuación es revisar las imágenes del sistema operativo. OVH dispone de un robot que automatiza la actualización e integración de parches asociados a las plantillas de Windows.
Otra medida pasa por suspender el servicio a usuarios comprometidos. Asimismo, es necesario aplicar ingeniería inversa para entender cómo se propaga el ransomware a la caza de más víctimas. Esto incluye también a las propias máquinas del servicio de alojamiento. La estrategia de seguridad de una buena empresa de TI se completa con la comprobación exhaustiva de su sistema interno, que debe tener siempre a punto, para que no se convierta en correa de transmisión del malware. A nivel interno no puede faltar la vigilancia de máquinas en producción, ni el almacenamiento seguro de contenido relevante, ni las actualizaciones. OVH cuenta con una política muy estricta en este sentido que obliga a aplicar todos los parches en cuanto son publicados.
¿Y las empresas? ¿Cómo deben protegerse?
El cibercrimen no da signos de desaceleración. El ransomware ataca a equipos de trabajo y también a servidores, con mayor capacidad para alcanzar dispositivos vulnerables en internet, y obliga a proveedores, clientes y empresas en general a reforzarse. La regla número uno en la lucha contra el ransomware es no creerse invulnerable. A partir de ahí se agradece la inversión en seguridad y se exige la puesta al día de los equipos. Un consejo a seguir, si se ha producido la infección, es no pagar. Ceder al chantaje significa ser cómplice. Significa acabar financiando las redes criminales y darles más recursos para su profesionalización. Para algunos tipos de ransomware existen herramientas de descifrado gratuitas.
OVH recomienda reinstalar sistemas utilizando las últimas versiones disponibles. Si el sitio web queda completamente fuera de servicio, lo mejor es cambiar todas las contraseñas porque los archivos podrían ser descargados por cualquiera. En cualquier caso, las empresas tienen que hacer varias copias de seguridad de los datos más sensibles de forma periódica y guardarlas en diferentes formatos. Sólo eso las salvará de la catástrofe. Y, por supuesto, pueden acudir a la policía para informar sobre el ataque y barajar una respuesta penal.