Ciberseguridad: Ransomware, parte II – Contagio y prevención

Conocer las vías de contagio permite poner en marcha mecanismos de prevención que son muy efectivos. Buenas práctica de navegación, copias de respaldo, buenas políticas de privilegios o utilizar herramientas específicas.

Las vías de contagio

Infectarse con un malware tipo Ransomware es cada vez más sencillo y tristemente es muy difícil evitar todas las situaciones de riesgo.

Una de las formas más habituales es caer en la trampa de las campañas de “spam” que utilizan técnicas de “phising”. Es decir, correos electrónicos que logran engañar a quien lo recibe, para que descargue un adjunto o acceda a cierta URL, algo que producirá la inmediata infección.

Una de las campañas más recientes de Ramsonware empleaba envíos masivos de emails simulando ser notificaciones de Correos de España.Otra manera de infectarse es mediante la visita de páginas que estén manipuladas, de forma que un simple acceso desde un navegador estándar provoca que el ordenador quede contagiado. Para lograr esto los delincuentes utilizan los denominados “Web exploit kits”, programas que detectan fallos en la seguridad de los servidores webs, o bien de las páginas o aplicaciones que alojan, y logran “incrustar” código para que cuando un visitante entre en ellas, se produzcan cambios en su ordenador.

Una estrategia similar es la inclusión de banners señuelo en ciertas páginas, consistentes en anuncios con ofertas irresistibles o fotos de tipo erótico o pornográfico, que suelen ser reclamos muy efectivos. Cuando el usuario pincha sobre ellos, son redirigidos a otro lugar, donde se aloja un código que contamina su ordenador.

También se emplea el rastreado de puertos RDP, para detectar equipos que ofrecen sesiones de Terminal Server. Si en éstos se utilizan contraseñas de administración débiles el asalto resulta sencillísimo.

También se emplea el rastreado de puertos RDP, para detectar equipos que ofrecen sesiones de Terminal Server. Si en éstos se utilizan contraseñas de administración débiles el asalto resulta sencillísimo.

Por último, también se emplean las redes de “botnet” para expandir este tipo de malwares. Estas redes consisten en gran cantidad de equipos “secuestrados”, que se ponen a órdenes de servidores tipo “command and control” para participar en actividades ilícitas, habitualmente ataques de denegación de servicio. Ahora es tendencia “vender” parte de los equipos de estas redes para ser contaminados con Ransomware y exprimir económicamente, y de forma directa, al usuario con un equipo infectado, el cual antes “solamente” participaba de formar inconsciente en actos delictivos orquestados por otras personas.

Técnicas básicas de prevención

El FBI publicó el pasado mes de enero un artículo sobre Ramsonware, su peligrosidad y las medidas eseciales de prevención.El 20 de enero de 2015 el FBI publicó en su web oficial una nota de prensa en la que explicaba la gravedad de los ataques Ransomware y en la que se incluían una serie de consejos para prevenir este tipo de contagios.

Son los siguientes (nota: traducción del redactor):

 

–  Asegúrese de tener actualizado el software antivirus en su ordenador.

–  Tenga habilitada la actualización automática de parches del sistema operativo y del navegador de Internet.

–  Utilice contraseñas fuertes, y no utilice siempre la misma contraseña para todo.- Utilice un bloqueador de ventanas emergentes.

No abra documentos adjuntos incluidos en correos electrónicos no solicitados, incluso aunque vengan de personas de su lista de contactos.

– Exclusivamente descargue software – especialmente software gratuito – de sitios conocidos y confiables (el malware también puede venir con videojuegos descargables, programas de compartición de archivos y barras de herramientas personalizadas).

– No abra documentos adjuntos incluidos en correos electrónicos no solicitados, incluso aunque vengan de personas de su lista de contactos, y nunca haga click en una URL incluida en un correo no solicitado, incluso si piensas que es seguro. En su lugar, cierre el correo electrónico y vaya a la página web de la organización directamente.

– Tenga las mismas precauciones en su teléfono móvil que en su ordenador cuando utilice Internet.

– Para prevenir la pérdida de datos debido a infecciones de Ransomware, es recomendable que particulares y empresas siempre realicen copias de seguridad de forma regular y almacenen esas copias “offline”.

En definitiva, la prudencia de los usuarios en fundamental y por ello es muy aconsejable realizar campañas de advertencia y concienciación.

Se puede acceder al artículo del FBI en el siguiente enlace: http://www.fbi.gov/news/stories/2015/january/ransomware-on-the-rise/ransomware-on-the-rise

Técnicas avanzadas de prevención

La técnica más importante a contemplar es la de disponer de una buena política de copias de respaldo. Algo que no evita los contagios, pero que les poner remedio de la forma más efectiva posible. Eso sí, es muy importante que las copias se almacenen en dispositivos o soportes independientes y no accesible “on line” por los administradores u operadores, porque un contagio en el equipo de una de estas personas podría ser catastrófico.

EMET es una herramienta de Microsoft que es capaz de detectar y bloquear actividad de procesos sospechosas en tiempo real.En redes organizativas resulta fundamental tener implementada una buena política de gestión de usuarios, privilegios de acceso y gestión de derechos. Los usuarios estándar no deben tener privilegios de administración, los administradores y operadores deben tener cuentas adaptadas a las necesidades específicas de sus tareas (no dar usuarios con privilegios de administración por defecto), los sistemas de archivos deben tener configurados debidamente los permisos y se deben emplear racionalmente la potencia de las políticas de directivas.

Otro mecanismo muy importante es utilizar conexiones de tipo VPN para acceder a ciertos servicios publicados en Internet, especialmente a sesiones de Terminal Server. También se debe contemplar que para ciertos servicios especialmente sensibles, se emplean listas cerradas de equipos de confianza desde los que se permita el acceso.

También es fundamental tener el software debidamente actualizado. Especialmente los programas que son más sensibles a este tipo de ataques, debido a que por su popularidad son los favoritos de los delincuentes: los navegadores, Java, Flash, Silverlight, Microsoft Office y Acrobat Reader.

En el ámbito particular, si se emplea Windows, basta con tener activadas la actualizaciones automáticas. En entornos corporativos conviene utilizar sistemas como WSUS o el Servidor de Actualizaciones de System Center.

Una medida muy importante a desarrollar es realizar campañas de concienciación, para que los usuarios eviten situaciones de riesgo.

También conviene tener debidamente actualizada la protección antivirus y los sistemas antispam. En el ámbito profesional, y aunque suele ser una medida difícil de llevar a la práctica por motivos extra-técnicos, resulta muy recomendable utilizar listas blancas de ejecutables permitidos en los PCs, una opción presente en todos los antivirus de primer nivel. O al menos, si no es posible implementar la sugerencia anterior, limitar la posibilidad de ejecución desde ciertas rutas de archivo sensibles (como por ejemplo los directorios de archivos temporales de los navegadores).

Otro tipo de herramientas muy útiles para evitar los contagios por Ransomware son las herramientas de supervisión de actividad sospechosa, como la herramienta gratuita EMET de Microsoft u otras equivalentes de otros fabricantes (McAfee tiene Application Control), que son capaces de detectar operaciones propias de los malwares y exploit kits, evitando su ejecución en tiempo real.

También existen herramientas que utilizan cebos para detectar este tipo de infecciones cuanto antes. Por ejemplo Anti Ramson crea “Honeyfiles”, que cuando son modificados son detectados por este software residente, bloqueando inmediatamente el equipo y tratando de encontrar la clave de cifrado en memoria.

En ocasiones puede resultar útil la funcionalidad Volume Snapshot Service (VSS) de Windows Vista u otros sistemas operativos de Microsoft posteriores, si bien es cierto que las últimas variantes de Ransomware atacan directamente VSS para destruir sus salvaguardas

Por último, una medida muy importante a desarrollar es realizar campañas de concienciación, para que los usuarios eviten situaciones de riesgo y también para que sepan detectar correos sospechosos, para que nos los abran sin más y en su lugar los eliminen o notifiquen un posible incidente de seguridad.

Entregas de la serie de artículos sobre Ransomware:

“Ransomware, parte I – El negocio del secuestro digital“.

“Ransomware, parte II – Contagio y prevención”.

“Ransomware, parte III – Principales variantes”.

“Ransomware, parte IV – Estrategias y técnicas para afrontar situaciones de desastre”.

Post By Florián Manuel Pérez Sánchez (64 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

,

4 Responses to “Ciberseguridad: Ransomware, parte II – Contagio y prevención”