Buenas prácticas frente al ransomware

Descripción

El ransomware es un código malicioso que secuestra equipos y dispositivos conectados a Internet, amenazando con destruir los documentos y otros archivos del dispositivo objeto del ataque. Cuando el ransomware infecta un equipo, cifra algunos archivos impidiendo el acceso a la documentación cifrada. El malware entonces muestra un aviso indicando que la única forma de poder descifrar la información y recuperarla es mediante el pago de un rescate (ransom en inglés, de ahí el nombre ransomware).

Son muy diversas las maneras de terminar siendo infectado por este tipo de programas maliciosos. Generalmente los atacantes utilizan la explotación de vulnerabilidades, el compromiso de credenciales o técnicas de ingeniería social para que la víctima ejecute un fichero malicioso.

Buenas prácticas frente al ransomware

Cómo llega el ransomware a nuestro equipo

Habitualmente los atacantes emplean ficheros maliciosos que llegan a través de diferentes medios como ficheros adjuntos en correos electrónicos o a través de descargas realizadas por los usuarios. Otra forma habitual de infección es mediante la explotación de vulnerabilidades de servicios expuestos en Internet.

Medidas para prevenir un ataque de Ransomware

No hay una forma 100% eficaz para prevenir el malware, pero hay algunas medidas que pueden disminuir el potencial de ser infectado:

  • Mantener el software y el sistema actualizado: Todo el software que compone el dispositivo debe estar actualizado a la última versión disponible. De esta manera normalmente las vulnerabilidades conocidas del software estarán corregidas.
  • Utilizar contraseñas seguras: Algunas infecciones se extienden por usar contraseñas débiles. Siempre es aconsejable utilizar contraseñas robustas y no reutilizarlas. Un mecanismo muy eficaz consiste en bloquear temporalmente el inicio de sesión tras un número determinado de intentos.
  • Efectuar copias de seguridad (backups) periódicas. La mejor forma de superar una infección por ransomware sin necesidad de pagar el rescate solicitado, es recuperando los archivos desde una copia de seguridad, por lo que resulta casi imprescindible realizar una copia de seguridad regular de los archivos importantes. Cuanto mayor sea la frecuencia con la que hagamos estas copias de seguridad, más actualizada estará la información que recuperaremos en caso de pérdida o robo. Es necesario por ello analizar el tipo de información que manejamos y definir una periodicidad para las copias (diariamente, semanalmente, etc.). Paralelamente, sería deseable que se realizaran al menos dos copias de seguridad en localizaciones diferenciadas y desconectadas, ya que muchas variantes de ransomware intentan encontrar y eliminar cualquier copia de seguridad accesible. Por ejemplo, una copia almacenada en la nube (utilizando Dropbox, Google Drive, etc.) y la otra físicamente (en un disco duro portátil, USB, etc.). Estas copias de seguridad sólo deben recuperarse una vez se ha garantizado que el equipo infectado está limpio.
  • Utilizar un sistema antimalware y mantenerlo actualizado: Asegurarse de que el software antivirus y antimalware están actualizados. Así mismo, activar las actualizaciones automáticas de ambas soluciones.
  • Llevar a cabo una exploración periódica de las vulnerabilidades para identificarlas y solucionarlas, especialmente en los dispositivos que se conectan a Internet, con el fin de limitar la superficie de ataque
  • Disponer de sistemas antispam a nivel de correo electrónico para detectar y reconocer los correos electrónicos spam o no deseados antes de que estos lleguen a nuestro sistema. Para ello estos sistemas intentan identificar las direcciones de correo electrónico y las direcciones IP de los remitentes de spam o malware, revisando también las características típicas del spam (estructura, contenido del correo, etc.)
  • Tener  firewall, proxy o sistema IDS/IPS que ayuden a identificar y bloquear conexiones sospechosas. Hoy en día, gran parte del ransomware trata de enviar y recibir instrucciones de un servidor remoto (Command and Control, C&C o C2). Aunque el ransomware logre pasar los controles del software antimalware sin ser detectado, si disponemos de un firewall, proxy o sistemas IDS/IPS, es posible que estos sistemas bloqueen las conexiones del ransomware cuando intente conectarse remotamente con su servidor de C&C para recibir instrucciones.
  • Aplicar el principio del mínimo privilegio a todos los sistemas y servicios para que los usuarios sólo tengan el acceso que necesitan para realizar su trabajo.
  • Muchas veces el malware, incluyendo el ransomware, es instalado inconscientemente por el propio usuario, frecuentemente a través de e-mails fraudulentos. Se recomienda por ello:
    • Tener cuidado y no abrir o acceder a enlaces de e-mails que no conocemos o nos resultan sospechosos.
    • Si el correo electrónico contiene un archivo adjunto, comprobar su fiabilidad antes de abrirlo.
    • Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware.
    • Activar la visualización de las extensiones de los ficheros para evitar la ejecución de código dañino camuflado como fichero legítimo no ejecutable.
  • Implantar un programa de concienciación y formación de los usuarios en materia de ciberseguridad que incluya orientaciones sobre cómo identificar e informar de actividades sospechosas o incidentes de seguridad. Realizar pruebas de phishing en toda la organización para calibrar la concienciación de los usuarios y reforzar la importancia de identificar los correos electrónicos potencialmente maliciosos.

¿Qué hacer ante un ataque de Ransomware?

  1. Si se recibe un e-mail que parece sospechoso (por ejemplo: e-mail de una persona que no se conoce, que tenga un archivo adjunto, falta de personalización, con asunto poco detallado o ambiguo, etc.) no se debe abrir ni acceder a los enlaces que pueda contener.
  2. No pagar el rescate: No se debe admitir nunca ninguna operación relacionada con pagos, ya que cuantas más personas pagan a los criminales cuando sus equipos están infectados, más motivos tendrán los atacantes para infectar otros equipos.
  3. Aun pagando el rescate, no hay garantías de que efectivamente el atacante devuelva el acceso a los archivos suministrando un método de desbloqueo y nada garantiza que nuestra computadora no pueda estar infectada con malware adicional.
  4. Aislar el equipo infectado para tratar de evitar que el ransomware pueda infectar otros sistemas
  5. Restaurar los archivos dañados a partir de una copia de seguridad.

Referencias

https://www.osi.es/es/actualidad/blog/2016/05/31/el-ransomware-cada-vez-mas-peligroso-protegete

https://www.incibe.es/protege-tu-empresa/tematicas/ransomware

https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C_.pdf