Los 10 Mandamientos para no sufrir un Ransomware.

Últimamente parece que evitar convertirse en la nueva víctima de un ataque de ransomware es Misión Imposible, en este artículo no te voy a explicar cómo ser Tom Cruise, pero si te voy a dar 10 #CiberConsejos que si aplicas en tu red o sistema informático, se lo vas a poner tan difícil a los cibercriminales que preferirán irse a otra red a cometer sus fechorías. Este es el símil de la casa y las rejas, si hay cinco viviendas en una calle, cuatro tienen rejas en puertas y ventanas y una no. – ¿Cuál creéis que será la más probable que roben?. En el ámbito cyber ocurre lo mismo. Existe una variable que no he comentado en el ejemplo anterior, esta es, el valor de lo que contenga la casa, si la que no tiene rejas apenas tiene efectos de valor en el interior, pero las que tienen rejas están llenas de obras de arte, ahora posiblemente sí que cambies de opinión ante la pregunta de: – ¿Cuál creéis que será la más probable que roben?. De nuevo, en el ámbito cyber ocurre lo mismo, una empresa u organización que sea de un alto interés para los cibercriminales, ya sea por la información que almacena o por el dinero que manejan, no cejarán en su objetivo hasta lograr culminar su ataque. Esto es lo que se conoce como APT, Advanced Persistent Threat, o Amenaza Persistente Avanzada: Es un tipo de amenaza de ciberseguridad en la que una organización criminal establece su objetivo en una empresa concreta, y hasta que no lo logre acceder a sus sistemas no parará, para ello usará todos y cuantos recursos tenga a su alcance, incluido el uso de: ingeniería social, Zero Days, contratación de isiders, campañas masivas, espionaje, spear phishing, etc…

Fig. ESXi afectado por ransomware

Antes de comenzar con los ciberconsejos, creo que es importante definir lo que es un ransomware en pleno año 2023, antiguamente un ransomware era un tipo de malware que bloqueaba un equipo informático y pedía un rescate económico para el desbloqueo (100€), como ese bloqueo era básico se podía reparar sin mucha complicación. Al poco tiempo comenzaron a lanzarse campañas de ransomware que lograban cifrar los ficheros de un ordenador en vez del sistema operativo en sí, las primeras remesas de este tipo de ransomware también se podían descifrar debido a fallos del proceso de cifrado. La tercera fase comenzó cuando la única forma de lograr recuperar los ficheros cifrados era tomando el control del servidor C&C desde el cual se había lanzado el ataque, una vez intervenido el servidor se podían recuperar las claves privadas de descifrado de cada víctima. Todas estas fases formaban parte de los ataques de ransomware 1.0.

Fig. Virus de la Policía

El ransomware 2.0 nació cuando además de cifrar los ficheros, los cibercriminales primero los exfiltraban y así en caso de que la víctima no quisiese pagar el rescate por la recuperación de los ficheros, la extorsionarían para que pagase el rescate a cambio de no difundir los ficheros confidenciales de la empresa que habían sido robados. Es decir, exfiltraba y cifraba.

El ransomware 3.0, en el cual nos encontramos hoy en día, es el que además de cifrar los ficheros y exfiltrarlos, en caso de que la víctima no pague, los cibercriminales lanzarán un ataque de DDoS contra los sistemas de la empresa u organización afectada, la finalidad de este nuevo ataque es dejarlos sin servicio y así presionar para que finalmente realicen el pago.

Fig. Ataque DDoS de Lockbit a VX

Finalmente, el ransomware 4.0 es el que una vez ejecutadas las dos o tres fases anteriores, los cibercriminales comienzan a vender los datos personales de los clientes que han sido exfiltrados de la empresa atacada, el objetivo es que un tercero los pueda utilizar para cometer fraudes a nombre de los clientes. Es decir, los perjudicados ya no solamente son las empresas atacadas, todos los clientes de esa empresa son potenciales víctimas.

Aquí os comparto 10 Ciber Consejos con los que una empresa u organización podrá protegerse contra el ataque de un ransomware, además, también la protegerán de otros muchos tipos de malware:

  • Segmentación de red: Divide la red en segmentos para limitar la propagación de un posible ransomware que consiga acceder correctamente a un equipo de la red, de este modo también te protegerás de posibles exfiltraciones masivas de datos que pudieran estar almacenados en otros lugares de la red. Para realizar esta tarea se deberá separar la red a nivel lógico mediante VLAN, cada una de ellas con un gateway y direccionamiento IP independiente. En caso de tener que interconectar dos VLAN, por ejemplo para acceder a una web o cualquier otro recurso que se encuentre en la intranet, solamente se deberá permitir el tráfico en una sola dirección de una red o rango concreto al puerto y dirección IP en el que está publicado el servicio en cuestión, esto es lo que significa minimizar la superficie de ataque, de poco sirve tener la red segmentada en VLANs si después en el firewall alguien permite que todo el tráfico, por ejemplo TCP, pueda llegar de la red A a la red B, es decir, un plan sin fisuras.
  • Mantén el software actualizado: Asegúrate de que todos los sistemas operativos, hipervisores, firmwares, apps y software en general esté actualizado con los últimos parches de seguridad para evitar vulnerabilidades conocidas, o incluso los temidos Zero Days (cuando ya son conocidos). Para que os hagáis una idea, durante los cuatro días que tardé en escribir este artículo, se han publicado las siguientes vulnerabilidades criticas: vulnerabilidad CVE 2023-36802 de elevación de privilegios del proxy del servicio de transmisión de Microsoft y la CVE 2023-36761 en la que con un fichero de Microsoft Word malicioso se pueden sustraer los hashes NTLM (gestión de contraseñas de usuarios), estos dos según Microsoft eran Zero Day que estaban/están siendo explotados hasta que se parcheen los sistemas afectados. Chrome y Firefox no se quedan atrás con su correspondiente vulnerabilidad CVE 2023-4863 que permitía un desbordamiento de búfer. Por no hablar de las vulnerabilidades Zero Day: CVE 2023-41064 y 2023-41061 que afectaban a los iPhone con iOS inferior a 16.6.1, y que obligaron a Apple a tener que sacar una actualización de emergencia para corregir estos problemas de seguridad. A Microsoft Teams también le salió un peligroso phishing que se aprovechaba de tenants maliciosos que enviaban ficheros comprometidos a los usuarios de esta plataforma. Volviendo a lo mundano, a nivel internacional tenemos el ransomware a la telco IFX, por otro lado a CoinEx le robaron 55 millones de dólares y el grupo de casinos y hoteles MGM sufrieron un ransomware que les obligó a desconectar todos sus sistemas de la red. Todo esto en menos de una semana. – Entonces… ¿actualizamos o no actualizamos?
  • Utiliza una solución de seguridad confiable: Implementa un software antimalware de calidad en todos los dispositivos que se puedan conectar a la red y estén bajo tu control (y responsabilidad), en caso contrario, crea una red “sucia” e independiente para que se puedan conectar los dispositivos que no puedas controlar y así tenerlos al menos en una zona segura bajo un control más estricto. Por supuesto, mantén actualizados los sistemas: antivirus, IDS, IPS, EDR, Firewall, SIEM, etc… Además, revisa los logs que generan estos sistemas de seguridad para poder ver que está ocurriendo en la red, por mucha IA que tengas implementada tus sistemas de protección, nunca está de más que un ser humano eche un vistazo. Este control no deberá limitarse a los equipos físicos, hoy en día si cabe es más importante el control de la red, para ello implementa herramientas de monitoreo de red y sistemas de detección de amenazas que identifiquen comportamientos sospechosos y actividades maliciosas de manera temprana.
  • Copias de seguridad regulares y válidas: Realiza copias de seguridad de todos los datos críticos y sistemas de la empresa/organización de forma regular, de poco sirve si haces un backup de la base de datos, si luego el sistema en el que corre la base de datos tardarías tres semanas en volver a ponerlo en producción. No es necesario que todas las copias de seguridad tengan la misma periodicidad, pero si es necesario que dispongas de copia de todos los elementos, tanto a nivel de datos como de sistemas en los que se visualizan o utilizan esos datos. Las copias de seguridad deberán estar desconectadas físicamente de la red principal, de este modo en caso de que el ransomware se propague por la red, nunca llegará a cifrar las copias de seguridad. Recuerda que no solamente existen los “ciber riesgos”, también deberás proteger las copias de seguridad de problemas relacionados con la seguridad física, como por ejemplo un robo, o un incendio. La forma de solucionar este último problema es por un lado que las copias estén cifradas, y que se almacenen en una caja fuerte especial a prueba de incendios.
Fig. Incendio OVH
  • Control de acceso y privilegios: Implementa políticas de control de acceso y privilegios para limitar el acceso a los recursos de forma mínima e indispensable. Es decir, si un empleado de contabilidad tiene que acceder a una carpeta compartida con otro departamento, el acceso será limitado a una serie de trabajadores por cada recurso concreto. No tiene sentido que todos los empleados de una empresa tengan acceso a todos los recursos de la misma. Cuando hablo de acceso limitado, no solo me refiero a que se haga esta limitación por tipo de usuario con sus credenciales, lo ideal es que esta segmentación comenzase a nivel de red como ya expliqué anteriormente (VLAN). Por supuesto, para acceso a servicios un poco más críticos se deberá utilizar autenticación de múltiples factores (2FA) siempre que sea posible. También es importante tener el control sobre las aplicaciones que se puedan estar ejecutando en los equipos de la red, para este punto los antimalware y los EDR son tus amigos. Normalmente es necesario ir un poco más allá y no solo controlar las aplicaciones que se ejecutan, lo ideal es bloquear directamente cualquier aplicación no reconocida o que no sea necesaria para el correcto funcionamiento del departamento. Se hará configurando políticas de seguridad que limiten la ejecución de archivos en directorios temporales y otros lugares donde los archivos maliciosos a menudo se intentan ejecutar.
  • Plan de respuesta a incidentes: Desarrolla un plan de respuesta a incidentes que incluya procedimientos claros para lidiar con ataques de ransomware o de cualquier otro tipo. Este plan deberá ser conocido y entendido por todos los departamentos que estén incluidos en el mismo. Una vez se disponga de un plan maduro y suficientemente estudiado por todas las partes, se pueden realizar simulacros de infección con la finalidad de buscar posibles fallas en el plan y así corregirlas antes de que se produzca un incidente real, porque seamos sinceros, acabará sucediendo. Este plan deberé contemplar puntos tan importantes como: si es necesarios apagar los equipos, aislar o desconectar la red, número de servicios implicados, qué hacer con ellos, quien se encargar del DFIR, jerarquía en la toma de decisión, tiempos máximos de respuesta, cuadrantes de personal en incidencias prevenidos 24×7, notificaciones a agencias de protección de datos, control de la información que sale al exterior (prensa y empleados), comunicados públicos, ruedas de prensa…
  • Filtrado de contenido web y correo electrónico: Implementa soluciones de filtrado de contenido web y correo electrónico para bloquear sitios web y correos electrónicos maliciosos antes de que lleguen a la red de la empresa. De este modo, evitarás en gran medida que ficheros maliciosos puedan llegar al ordenador final de un trabajador, hoy en día la mayor parte de malware y por supuesto de ransomware, entra a una empresa mediante un correo electrónico, ya sea de forma directa adjuntándose en un email, o de forma indirecta a través de un “downloader” que descarga y ejecuta el ransomware propiamente dicho. Existe un porcentaje de ransomware que logra infectar un equipo o una red mediante la explotación de vulnerabilidades en equipos que están conectados a la red, por decirlo así, este tipo de ataques no necesitarán de una interacción humana para poder llevarse a cabo. Por eso es tan importante filtrar lo que llega a la empresa, como controlar lo que está ocurriendo en la red y en sus sistemas.
  • Actualización de políticas de seguridad y educación continua: Revisa y actualiza regularmente las políticas de seguridad de la empresa u organización, deberás buscar la forma de proporcionar educación continua a los empleados para mantenerlos al tanto de las amenazas actuales y como protegerse de ellas. El objetivo es enseñar a los usuarios de la red a identificar y evitar posibles amenazas de ransomware, como correos electrónicos de phishing. Los empleados deberán aplicar políticas de contraseña robustas (se puede forzar a hacerlo), no compartir contraseñas, implementación de políticas de bloqueo de cuentas después de múltiples intentos fallidos y uso de sistemas 2FA seguros.
  • Cifrar antes de que te cifren: Hoy en día los ransomware avanzados o 2.0, no solamente cifran los datos de sus víctimas para luego solicitar un rescate económico por recuperarlos, si no que previamente exfiltran o roban estos datos antes de cifrarlos. De este modo si la empresa decide no pagar el rescate al haber recuperado los datos cifrados, por ejemplo gracias a un back-up que tenían, los cibercriminales amenazarán de nuevo a la empresa con difundir todos sus datos confidenciales si no realizan el pago a la organización criminal. La única forma de evitar esto, es por un lado controlar el volumen de tráfico de red que sale de la organización y hacía que red sale, pero a veces no es suficiente, ya que la exfiltración puede durar meses e incluso hacerse contra servidores “confiables” como AWS, OVH, Azure, etc… Por lo tanto el mejor sistema para evitar la exfiltración, no tanto el cifrado posterior, es mantener toda la información en los servidores cifrada, de este modo, en caso de que secuestren por ejemplo los datos de un cabina o volumen de almacenamiento, los “malos” se llevarán datos que no los podrán utilizar para extorsionar a nadie (ni a la empresa atacada, ni a los dueños de los datos robados). Siempre y cuando no los consigan descifran, esto significa que no solamente hay que cifrar los datos, lo hay que hacer bien: contraseñas robustas, sistemas de cifrado que no tengan vulnerabilidades ni fallas, segmentar los volúmenes cifrados y que estos no usen la misma contraseña y por supuesto, mantener los volúmenes permanentemente cifrados, solamente montarlos cuando sea necesario. De este modo si el ransomware “cae” en el departamento de logística, como mucho dañará los recursos que en ese momento estén en uso y accesibles, al resto no les afectará.
  • Auditoría de registros y monitoreo de eventos: Establece una sólida política de auditoría de registros y monitorea constantemente los eventos de seguridad para detectar comportamientos anómalos. No solamente en los logs que puedan ir dejando los sistemas de seguridad, hipervisores, busca en los propios sistemas operativos, logs de acceso remoto, aplicaciones en uso, horarios de funcionamiento, etc… Cuanto más profundo sea el conocimiento que tienes de la red o infraestructura que proteges, más sencillo te resultará detectar cualquier tipo de comportamiento anómalo o peligroso.

La prevención del ransomware implica un enfoque integral desde el punto de vista de la ciberseguridad, ya que afectará tanto a los técnicos de sistemas, alta dirección y trabajadores que sus funciones nada tienen que ver con ámbito cyber, para todos ellos y no solamente para estos últimos, la concientización constante es un pilar fundamental en la protección. Suena a tópico, pero la realidad es que es más barato invertir dinero en formar a los trabajadores en ciberseguridad que implementar docenas de medidas automatizadas que al final, si un “humano” trata de saltarlas, posiblemente lo logrará. Además, es importante recordar que no se debe pagar un rescate, ya que esto solo perpetúa el ciclo de los ataques de ransomware y no garantiza la recuperación de los datos, en algunos países está penando que las empresas paguen los rescates de un ransomware. Por supuesto, es imprescindible poner en conocimiento de la policía o del CERT designado el incidente ocurrido, para que de este modo tomen las medidas necesarias para desmantelar estas organizaciones criminales que han visto su nicho de mercado en los servicios de ransomware por suscripción, como el ejemplo que os dejo a continuación con el nuevo procedimiento de operaciones del RaaS Lockbit:

¿Te ha gustado este artículo? Si quieres, puedes ayudarme a escribir el siguiente artículo de GLIDER invitándonme a un rico café.

 

Pulsa Aquí para invitarme a un café con hielo.

  Salu2.

Manuel Guerra

Mi nombre es Manuel Guerra. Investigador especializado en: [eCrime] | [Forensic] && [Hacking]. Editor de GLIDER.es

Navegación de la entrada


Comentarios

  • Andrew

    ¿Qué antivirus (da igual si es gratuito o pago) recomiendan para nivel usuario?

  • Juan

    Muchas gracias. Para los que trabajamos con Windows 10, ¿nos puedes recomendar cómo encriptar los datos en caliente, más allá de usar Bitlocker? Un saludo

    • Manuel Guerra

      Hola Juan.

      Bitlocker está bien, puedes tener dos volumenes cifrados, uno con información mas crítica que solamente montas cuando necesites.

      Este artículo se refería más a las opciones de cifrado en cabinas de almacenamiento o NAS, que son grandes volumenes de datos en los cuales interesa tener los datos segmentados y no que todos los usuarios puedan acceder a lo de los otros, y por lo tanto que tenga que estar en todo momento, todas las carpetas operativas.

      Un saludo

  • José

    Una prevención eficaz es quitar los archivos de la ecuación. Trabajar directamente con un SAAS en la nube. Una intranet en cloud. Así si entra un virus…. no se come los archivos de la empresa.

    • Manuel Guerra

      Hola José.

      Es una buena recomendación, pero ya no es el primer SaaS que cifran completamente llevandose por delante el trabajo de cientos de empresas, a veces hay que valorar si la nube es la mejor opción o mantenerlo uno mismo. En caso de que no se tenga muchos conocimientos, contratar los servicios a proveedores profesionales suele ser buena idea.

      Saludos

      • José

        Ni el primero ni el último que habrá, todo depende de cómo se implemente. Yo recomiendo Dataprius, donde la idea es esa.

        Tienes los archivos ahí en la nube, no en ordenador o servidor local. Se trabaja directamente sobre los archivos a través del SaaS, sin tener que sincronizar. El ordenador es un terminal ahora, una caja tonta, si le pasa algo, le entra un ransomware… pues vale, se le prende fuego, se formatea, lo que haga falta. Pero los archivos de la empresa no se verán afectados.

        Ya de esta forma se necesita un ataque muy dirigido expresamente para poder hacer daño de verdad a una empresa.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar las siguientes etiquetas y atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>