El ransomware no distingue si las empresas o los usuarios son grandes o pequeños. En 2016, las víctimas reportaron pérdidas por más de US$1,000 millones. En lo que a su impacto se refiere, basta con ver los ataques de WannaCry y Petya que afectaron a miles. De hecho, muchos hospitales tuvieron que rechazar pacientes o cerrar sus salas de emergencia; en tanto, hubo fábricas que se vieron forzadas a detener su producción y redes eléctricas que dejaron de funcionar.
En efecto, a medida que el ransomware evoluciona, también deben hacerlo los administradores de TI/sistemas y los profesionales de la seguridad de la información que protegen las joyas de la corona de su organización; los usuarios finales deben ser igualmente creativos, y debe ponerse en práctica la defensa a fondo para combatirlo.
A continuación algunas de las mejores prácticas para mitigar el ransomware.
Respalde regularmente sus archivos
El ransomware se aprovecha del miedo –el miedo a no poder entrar a su máquina, a perder acceso a datos personales o de misión crítica, o a que se interrumpan las operaciones de la empresa. Respaldar regularmente sus archivos neutraliza la presión de los secuestradores de datos. Practique la regla del 3-2-1 creando tres respaldos en dos diferentes formatos con uno almacenado fuera de su empresa. Cuando respalda sus datos su integridad está protegida. Los respaldos son valiosos sólo si se puede tener acceso a ellos. Realice pruebas periódicas de sus respaldos para comprobar que sean legibles. Simplifique (y documente) su procedimiento de respaldo de modo que el personal autorizado pueda recuperarlos fácilmente cuando sea necesario.
Mantenga actualizados sus programas y sistemas operativos
Mucho del malware que encripta archivos aprovecha las vulnerabilidades para penetrar al sistema. WannaCry, por ejemplo, se propagó como lo hacen los gusanos a través del exploit EternalBlue, lo que le permitió propagarse como fuego en las redes.
Parchar y mantener actualizados el sistema operativo y su software/programas puede frustrar efectivamente los ataques que aprovechan los puntos débiles de la seguridad. Para las vulnerabilidades y explotaciones de día cero cuyos parches pudieran no estar disponibles, considere los parches virtuales.
Utilice componentes del sistema y herramientas de administración de forma segura
Los criminales informáticos están abusando cada vez más de utilerías y herramientas de administración de sistemas legítimas para instalar y ejecutar software malicioso. Esta forma de operar les ofrece eficiencia, conveniencia y cautela.
El ransomware no es distinto. Por ejemplo, Petya utilizó PSExec, mientras que el malware sin archivos hizo mal uso de PowerShell. Por su parte, HDDCryptor, el ransomware que borra los registros de arranque principal, utilizó software gratuito, así como software comercial.
Usted puede mitigar estos tipos de ataques aplicando el principio del privilegio mínimo. Restrinja y limite la exposición dando a los usuarios acceso o privilegios suficientes para realizar una tarea o ejecutar una aplicación. Inhabilite los protocolos y programas innecesarios y obsoletos que puedan abrir a los atacantes las puertas de sus sistemas.
[image url=”https://documents.trendmicro.com/images/TEx/articles/best-practices-ransomware-1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Defensa de múltiples capas contra el ransomware
Proteja la red y los servidores
Proteger la red contra el ransomware es fundamental ya que estas amenazas aprovechan las redes infectadas para comunicarse con sus servidores de comando y control (C&C) y propagarse a otros sistemas dentro de la red. En tanto, los firewalls y los sistemas de detección y prevención de intrusiones ayudan a identificar, filtrar y bloquear el tráfico y la actividad maliciosos de la red. Asimismo, ofrecen información forense que puede ser útil para detectar los intentos de irrupción y los ataques reales.
SAMSAM, Crysis y el ransomware Erebus basado en Linux demostraron que los servidores deben estar protegidos. Una sola máquina vulnerable es todo lo que se necesita para infectar sistemas y servidores dentro de la red. Es vital mantener los servidores actualizados y con los parches adecuados. Refuerce las credenciales de sus escritorios remotos contra los ataques de fuerza bruta. De igual forma, implemente la autenticación de múltiples factores y políticas de bloqueo. Utilice canales encriptados para evitar que los atacantes espíen sus conexiones remotas.
También existen otros protocolos que puede considerar. La segmentación de la red no sólo reduce la congestión del tráfico local, también mejora la seguridad al asignar al usuario únicamente los recursos específicos, lo cual reduce considerablemente la manera en que los atacantes se mueven lateralmente dentro de la red.
Lo mismo puede hacer la categorización de datos. Clasificarlos no sólo hace más eficiente al acceso, sino que también determina su valor dentro de la organización. Finalmente, estas soluciones pueden ayudar a mitigar los daños provocados por una brecha o un ataque.
Implemente un control de aplicaciones y monitoreo del comportamiento
Proteja los endpoints con un control de aplicaciones basado en listas blancas, el cual evita que programas desconocidos o maliciosos como el ransomware se ejecute dentro del sistema. Por otro lado, el monitoreo del comportamiento funciona de la misma manera, bloqueando modificaciones anómalas o comportamientos atípicos en el sistema. Si un malware intenta eliminar copias de respaldo, por ejemplo, el monitoreo de comportamientos puede detectarlo y clasificarlo como una posible infección de ransomware.
Habilite su sandbox
Los administradores de TI/sistemas pueden poner en cuarentena el ransomware a través de un sandbox o entornos virtuales similares. Un sandbox tiene que configurarse de tal forma que refleje las configuraciones reales de los sistemas de su organización para simular mejor el impacto de un archivo sospechoso.
El sandbox no debe tener sólo la capacidad de contener, también debe ser capaz de analizar las múltiples rutinas y comportamientos del malware a fin de ayudar a identificar las tácticas de ofuscación o evasión que estas amenazas utilizan.
Asegure sus gateways
El gateway de correo sigue siendo el principal vector de infección que utiliza el ransomware. Detenga estas amenazas en sus intentos al frustrar sus tácticas de ingreso. Implemente mecanismos de seguridad en capas contra el ransomware basado en el correo electrónico, y adopte mejores prácticas contra los mensajes no deseados que contienen ingeniería social. Se debe aplicar la misma discreción al gateway web: utilice la clasificación de URLs, elimine los plugins del navegador que no se utilizan, y asegúrese de que componentes externos (como Java y Flash) estén actualizados.
[image url=”https://documents.trendmicro.com/images/TEx/articles/best-practices-ransomware-2.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Vectores de ataque del ransomware y cómo pueden mitigarse
Fomente una cultura consciente de la seguridad
Los criminales informáticos necesitan romper el eslabón más débil para el que no hay un parche disponible: el factor humano. La ingeniería social es una táctica común para muchos vectores del ransomware, y es igualmente importante que las organizaciones favorezcan una fuerza de trabajo informada sobre la seguridad. Vaya más allá del cumplimiento regulatorio; desarrolle y afine constantemente sus estrategias proactivas de respuesta a incidentes y de remediación. Una cultura de ciberseguridad en el trabajo es tan importante como las tecnologías que se utilizan para detenerlos.
Soluciones de Trend Micro
Las empresas pueden beneficiarse de una iniciativa de múltiples capas para mitigar mejor los riesgos que acompañan a estas amenazas. Las soluciones para los gateways de correo electrónico y web como Trend Micro™ Deep Discovery™ Email Inspector e InterScan™ Web Security evitan que el ransomware llegue a los usuarios finales. Al nivel del endpoint, Trend Micro Smart Protection Suites ofrece varias capacidades como machine learning de alta fidelidad, monitoreo de comportamientos y control de aplicaciones, así como el blindaje de vulnerabilidades que minimiza el impacto en las redes, en tanto que Trend Micro Deep Security™ detiene el ransomware antes de que llegue a los servidores empresariales, ya sean físicos, virtuales o en la nube.
Para las pequeñas empresas, Trend Micro Worry-Free Services Advanced ofrece seguridad para el gateway de correo electrónico basada en la nube a través de Hosted Email Security. Su protección para endpoints también brinda varias capacidades como el monitoreo de comportamientos y reputación web en tiempo real para detectar y bloquear el ransomware.
Leave a Reply