Claves para preparar tu equipo contra el ransomware en Windows
En estos días estamos viviendo una nueva amenaza que afecta a muchos usuario y empresas, posiblemente este ransomware sea uno de los peores actualmente y afecta a muchos equipos informáticos. La mayoría de ellos se enteran de la gravedad de la situación cuando ya es demasiado tarde, pues han sido infectados y la recuperación del cifrado de datos sin pagar el rescate es casi imposible.
Por este motivo hay que contar con una política de privacidad potente y usar las medidas adecuadas para evitar que los sistemas se infecten, este tipo de medidas son de maxima necesidad para entornos corporativos en las empresas, pues tiene datos relevantes de mucha importancia y puede interrumpir de manera drastica el normal funcionamiento de la empresa.
Hemos pensado compartir algunas de las medidas a tener en cuenta para evitar que nuestros sistemas se vean afectados, donde configurábamos las soluciones de seguridad de ESET para que utilizasen el sistema ESET Live Grid, aumentando así la detección de nuevas variantes de ransomware.
1. La actualización del sistema operativo y de las aplicaciones
2. Gestión de usuarios y fortificación del sistema
3. Configuración de Políticas de Grupo en Windows y carpetas compartidas
4. Control del spam y bloqueo de IPs maliciosas
5. Muy importante tener una copia de seguridad
«Eres el visitante número 999.999 ¡GANASTE!» Mucho cuidado NO dé clic en este tipo de anuncios #Ransomware pic.twitter.com/rduYXcpcj0
— Centro Cibernético (@CaiVirtual) 5 de abril de 2016
1. La actualización del sistema operativo y de las aplicaciones
Además de los adjuntos maliciosos enviados por correo electrónico, otra de las técnicas preferidas por los delincuentes para infectar con ransomware es en aprovecharse de las vulnerabilidades presentes en el sistema y en las aplicaciones del usuario que visita una determinada web.
Mediante el uso de kits de exploits los delincuentes pueden automatizar el proceso de infección de tal forma que, con solo visitar un enlace, el sistema queda infectado de forma automática y sin intervención del usuario. Por eso es necesario prestar una especial atención a revisar la seguridad de nuestro navegador e incluso podemos instalar complementos para hacer que la navegación sea más segura.
Algunos de los kits de exploits más utilizados por los delincuentes como Angler, Neutrino o Nuclear Pack, están aprovechando vulnerabilidades en Adobe Flash y Microsoft Silverlight para infectar a sus víctimas, vulnerabilidades que cuentan con sus parches correspondientes y que ya deberían haber sido instalados por los usuarios o por los administradores de sistemas responsables en un entorno corporativo.
Las empresas se suele dejar un tiempo prudencial entra la publicación de un parche y su instalación, para así comprobar que todo funciona como es debido y no se producen errores, la realidad es que muchos de las vulnerabilidades utilizadas por los delincuentes llevan meses solucionadas y los parches ya deberían haber sido instalados.
2. Gestión de usuarios y fortificación del sistema
A pesar de que llevamos años recordando la importancia de otorgar solo los permisos estrictamente necesarios, a día de hoy aun existen muchas empresas que otorgan permisos de administrador a todo tipo de usuarios. Esto ocasiona múltiples problemas puesto que se están dando permisos para que se ejecute todo tipo de ficheros, malware incluido.
Si se limitan los permisos otorgados a cada usuario, no solo se evita que puedan instalar programas que no estén autorizados, sino que también se bloquea buena parte del malware que necesita de permisos de administración para ejecutarse o realizar alguna acción maliciosa.
En los casos de ransomware, por ejemplo, si no se disponen de permisos de administrador, no se permite a esta amenaza desactivar las Shadow Copies que los sistemas Windows generan automáticamente y que permiten restaurar ficheros a partir de estas copias usando herramientas como Shadow Explorer.
Además, si a esta limitación de permisos añadimos la activación del Control de Cuentas de Usuario (UAC) y lo configuramos para que notifique de cualquier cambio que pueda afectar al sistema, ayudaremos a que el usuario se lo piense dos veces antes de ejecutar ese fichero sospechoso que ha recibido por email o que acaba de descargar.
Por último, Windows también proporciona el kit de herramientas de Experiencia de mitigación mejorada (o EMET por sus siglas en inglés). Esta utilidad ayuda a prevenir que los delincuentes se aprovechen de vulnerabilidades en el sistema, muchas de ellas provocadas por software que no ha sido actualizado.
#NoTePierdas Advierten sobre correos electrónicos infectados que instalan ransomware – https://t.co/WU5nfNA3wY
— WebAdictos (@WebAdictos) 7 de abril de 2016
3. Configuración de Políticas de Grupo en Windows y carpetas compartidas
Ya hemos comentado que la mejor manera de evitar que se ejecute un ransomware en nuestro sistema es detectándolo antes de que se ejecute. Sin embargo, para cuando esta detección falla podemos configurar una serie de Políticas de grupo, evitando que se ejecuten archivos maliciosos desde ciertas carpetas del perfil del usuario.
Este bloqueo de ejecutables tiene un motivo y es que muchas variantes de ransomware se lanzan desde la misma ubicación. Esto no impide que las aplicaciones legítimas puedan seguir ejecutándose ya que, por regla general, estas aplicaciones no suelen ejecutarse desde estos directorios.
Por suerte para los administradores de sistemas que quieran empezar a aplicar este conjunto de Políticas de Grupo, no hace falta que las generen desde cero. Existen herramientas y kits de utilidades como el Ransomware Prevention Kit que ya las incluyen y están listas para ser aplicadas de inmediato.
Otra medida muy importante para prevenir una infección por ransomware es evitar que este consiga propagarse por la red de la empresa. A diferencia de lo que muchos siguen creyendo, las últimas variantes de ransomware no solo intentan cifrar las unidades de red que estén conectadas al sistema de la víctima, sino que también realizan un barrido de la red local en búsqueda de otras unidades que no estén mapeadas para infectarlas igualmente.
La mejor manera de evitar que nuestras unidades de red también se vean afectadas es revisar que solo los administradores autorizados pueden acceder a las mismas. El resto de usuario no debería poder acceder o, en el caso de hacerlo, tener solo permisos de lectura pero nunca de escritura.
¿Cuáles con las amenazas más peligrosas de #Ransomware en la actualidad? Les compartimos el siguiente artículo https://t.co/ZQOwNG5l3s
— MaTTica (@mattica) 5 de abril de 2016
4. Control del spam y bloqueo de IPs maliciosas
Uno de los medios de propagación favoritos de los creadores de ransomware es mediante el envío de adjuntos maliciosos en mensajes de email. Estos adjuntos suelen venir comprimidos en un archivo .zip, pero eso no debería evitar que un buen filtro antispam sea capaz de analizar y detectar posibles amenazas, siempre que esté debidamente configurado.
Las técnicas usadas por los delincuentes para intentar convencer a sus víctimas que abran estos adjuntos maliciosos son muchas, pero suelen hacer mención a facturas impagadas, mensajes de fax o voz, o incluso a suplantar direcciones de correo de la empresa mediante técnicas de spoofing, para tratar de hacer creer al destinatario que el mensaje se ha enviado desde la red interna.
También hay que tener en cuenta que algunas variantes no incluyen dentro del archivo .zip un fichero ejecutable .exe. Es frecuente ver como las variantes de las últimas semanas utilizan ficheros JavaScript (.js) o incluso alguna variante ha llegado a usar ficheros con extensión .scr o .cab.
Esto no los hace menos peligrosos puesto que todos estos tipos de ficheros permiten introducir código que le indique al sistema que debe descargar el verdadero malware desde un enlace controlado por los delincuentes.
5. Muy importante tener una copia de seguridad (lo ponemos en texto más grande)
Nuestra mayor recomendación siempre pase lo que pase y aunque no tengan amenazas activas es tener siempre a mano una copia de seguridad más actualizada que tenga disponible de cada equipo.
Pero para que una copia de seguridad sea eficaz también se tienen que cumplir una serie de políticas y seguirlas a conciencia. En caso de no hacerlo nos encontraremos con casos en los que estas copias de seguridad también se han visto afectadas por el ransomware, al haberlas tenido conectadas al sistema infectado, o que cuando nos haga falta restaurar ese backup este se encuentre corrupto o demasiado desactualizado.
Por suerte, soluciones de backup hay muchas y para todos los bolsillos. Desde la que incorpora el propio sistema Windows hasta soluciones profesionales que permiten restaurar un sistema entero con sus datos correspondientes en poco tiempo y que además incluyen un servicio de almacenamiento en la nube.
A pesar de ser algo esencial, a día de hoy aún son muchas las empresas que no cuentan con un sistema de copia de seguridad o este no está correctamente configurado. De esta forma, los usuarios se encuentran con que, cuando tienen que echar mano del backup este les resulta inservible. Esto debe cambiar y debemos considerar a la copia de seguridad una herramienta indispensable para garantizar la continuidad del negocio.
En caso de no hacerlo, nos veremos abocados a pagar el rescate exigido por los delincuentes, sin ninguna garantía de que vayamos a obtener de nuevo nuestros ficheros, o cerrar el negocio, algo que ya ha sucedido a varias pequeñas y medianas empresas que fueron víctimas de un ransomware.
Nuestra conclusión
Sabiendo todo esto que hablamos es cuestión de no cometer fallos para que cualquier empresa pueda evitar, no solo amenazas del tipo ransomware sino de cualquier otro tipo.
Ponemos nuestros servicios informáticos para la resolución y prevención de todos estos puntos, las empresas deben tener un buen servicio de mantenimiento informático y pueden contar con nuestro equipo para ello.