Blog

Blog

Guía de ransomware para empresas

Daniel Martínez Liébanas – 3 de julio de 2017 | 09:24 

| Manuales |

El ransomware es un tipo de malware que tiene como objetivo bloquear el uso del ordenador o parte de la información que contiene, pidiendo un rescate para su liberación.

Apareció en los años 80 pero es ahora cuando su difusión está creciendo de forma exponencial. Las razones son el desarrollo de la tecnología que permite a los delincuentes obtener una gran rentabilidad económica y facilidad para ocultarse. Además, los sistemas de pago internacionales que permiten el anonimato como Bitcoin, favorecen al ransomware.

El ransomware afecta a cualquier usuario, negocio, actividad, gobierno o a servicios como hospitales o centrales, causando pérdidas temporales o permanentes de información, interrupciones de la actividad normal, perjuicios económicos y daños en la reputación de sus víctimas.

El ejemplo más reciente ha sido WannaCry en mayo.

 

1. ¿Quién está detrás del ransomware?

El ransomware es un negocio ilícito poco costoso y con grandes beneficios. En él participan el creador del ransomware, quienes alquilan la infraestructura de distribución y los que lo distribuyen y cobran.

Aprovechando las ventajas de la tecnología, los ciberdelincuentes utilizan los modelos de negocio que proporciona internet (P2P, crowdsourcing, redes de afiliados o piramidales, inserción de publicidad, SaaS o software as a service,…), para obtener beneficio y ocultar su actividad.

Los desarrolladores del malware se llevan una parte; otra parte los que desarrollan y gestionan los kit de exploits para poder difundirlo; lo mismo que los que alojan los servidores de correo o las páginas maliciosas con el malware y los agentes que cobran el rescate. Algunas familias de ransomware funcionan como un servicio: Ransomware as a Service.

El delincuente contacta con agentes para distribuir el ransomware. Los agentes, al igual que los muleros que cobran los rescates, pueden ser cualquier persona con conocimientos de internet y algo de tiempo. Los agentes distribuyen el malware y si consiguen que alguien pague el rescate obtendrán una parte del mismo.

 

2. ¿Por qué en bitcoins?

Los bitcoins son monedas virtuales o criptomonedas, que permiten el pago anónimo entre particulares. Este anonimato es posible gracias a los servicios de mixing o tumbling de bitcoins accesibles desde la red anónima Tor, que mezclan los fondos de distintas carteras, dificultando que la policía pueda seguir la pista.

 

3. ¿Cómo infectan?

  • Por vulnerabilidades y agujeros de seguridad como servidores web desactualizados o sistemas SCADA conectados a Internet sin medidas de seguridad.
  • Conseguir cuentas con privilegios de administrador mediante pishing o debilidades de procedimiento y del software.
  • Engaños a la víctima haciéndose pasar por amigos, conocidos o el uso de enlaces y adjuntos infectados. Lo que llamamos ingeniería social.
  • Spam malicioso.
  • Drive-by-download, que consiste en dirigir a las víctimas a webs infectadas y descargar el malware sin que lo sepan.
  • Malwertising, por el que se incrustan anuncios maliciosos en webs legítimas y descarga el software sin que la víctima lo sepa.

 

 4. ¿Cómo puedo protegerme?

– Evitando caer víctimas de engaños que utilizan la ingeniería social.

– Asegurar la ausencia de vulnerabilidades en los sistemas.

 

4.1 Concienciación y formación

Los ciberdelincuentes reúnen la información de la empresa, eligen a la víctima y se ganan su confianza antes de manipularla y amenazarla. Para ello se aprovechan:

  • Del respeto a la autoridad, haciéndose pasar por policía.
  • De la voluntad de ser de utilidad en entornos laborales.
  • Del miedo a perder un trabajo, un premio o recompensa.
  • De la vanidad de la víctima a la que adulan por sus conocimientos, posición o influencia.
  • Apelando al ego.
  • Creando situaciones de urgencia y obteniendo el dinero por pereza, desconocimiento o ingenuidad de la víctima.

Para reconocer ataques de ingeniería social hay que desconfiar de mensajes apremiantes para evitar sanciones. En general:

  • Evite abrir correos de desconocidos.
  • Revise enlaces de conocidos, evitando aquellos cortos o que utilizan servicios para expandirlos.
  • Evite adjuntos.
  • Actualice constantemente el antimalware y el sistema operativo.
  • Asegúrese de que sus empleados utilizan contraseñas robustas y no tienen privilegios de administrador.

 

4.2 Prevención

  • Conserva al menos dos copias de seguridad actualizadas. Así, podremos recuperar nuestros datos. Como los backups pueden fallar, es necesario tener dos copias, como mínimo.
  • Guardar las copias en un lugar distinto al del servidor de ficheros. Lo ideal son soportes físicos o soportes externos a nuestra red.
  • Si haces backup en cloud, desactiva la sincronización persistente, pues algunos ransomware aprovechan esta funcionalidad.
  • Comprueba que las copias funcionan correctamente y que sabes recuperarlas.
  • Utiliza VPN cuando sea posible.
  • Ten prudencia en tu actividad online.
  • Mantén actualizados los navegadores y sistemas.
  • Mantén los privilegios de seguridad de usuarios y grupos al mínimo.
  • Utiliza contraseñas robustas con bloqueo tras un número determinado de intentos fallidos.
  • Elimina cuentas de usuarios no imprescindibles.
  • Vigila los programas instalados por los empleados.
  • Utiliza firewalls y DMZ.
  • Configura el correo electrónico de forma segura: filtros de spam, autenticación de correos entrantes, escaneo de mensajes, deshabilitación de macros en ficheros Office transmitidos por correo y desactivación de HTML en cuentas críticas.
  • Establece un plan concreto de respuesta a incidentes.
  • Audita tu infraestructura y sistemas de forma periódica para detectar fallos de seguridad o de resolución de incidentes.

 

5. ¿Qué hago si me afecta?

 NUNCA PAGUES el rescate.

– Si tenemos un plan de respuesta a incidentes, implementarlo para minimizar los daños y poder denunciar.

– Si no tienes un plan de respuesta, utiliza los backups.

 

6. ¿Cómo recupero mi actividad y mis datos?

  1. Contacta con el Centro de Respuesta a Incidentes CERTSI de INCIBE para recibir asesoramiento.
  2. Aísla los equipos afectados y apaga los que no han sido dañados.
  3. Clona los discos duros de equipos afectados para que sirvan de evidencia en la denuncia.
  4. Recoge y aísla muestras de ficheros dañados o del ransomware.
  5. Denuncia lo ocurrido a la Guardia Civil o a la Policía.
  6. Cambia las contraseñas de red y de cuentas online.
  7. Desinfecta los equipos y recupera los archivos si fuese posible.
  8. Restaura los equipos con el software original.

7. ¿Por qué no hay que pagar?

– No garantiza el acceso a los datos, recuerda que son delincuentes.

– Puedes ser objeto de ataques posteriores al saber los cibercriminales que estás dispuesto al pago.

– Pueden solicitarte cifras superiores una vez hayas pagado.

– Fomentas el negocio de la ciberdelincuencia.

 

ataque ransomware en empresas

Guía de ransomware para empresas

 

Daniel Martínez Liébanas – 3 de julio de 2017 | 09:24 

| Manuales |

El ransomware es un tipo de malware que tiene como objetivo bloquear el uso del ordenador o parte de la información que contiene, pidiendo un rescate para su liberación.

Apareció en los años 80 pero es ahora cuando su difusión está creciendo de forma exponencial. Las razones son el desarrollo de la tecnología que permite a los delincuentes obtener una gran rentabilidad económica y facilidad para ocultarse. Además, los sistemas de pago internacionales que permiten el anonimato como Bitcoin, favorecen al ransomware.

El ransomware afecta a cualquier usuario, negocio, actividad, gobierno o a servicios como hospitales o centrales, causando pérdidas temporales o permanentes de información, interrupciones de la actividad normal, perjuicios económicos y daños en la reputación de sus víctimas.

El ejemplo más reciente ha sido WannaCry en mayo.

1. ¿Quién está detrás del ransomware?

El ransomware es un negocio ilícito poco costoso y con grandes beneficios. En él participan el creador del ransomware, quienes alquilan la infraestructura de distribución y los que lo distribuyen y cobran.

Aprovechando las ventajas de la tecnología, los ciberdelincuentes utilizan los modelos de negocio que proporciona internet (P2P, crowdsourcing, redes de afiliados o piramidales, inserción de publicidad, SaaS o software as a service,…), para obtener beneficio y ocultar su actividad.

Los desarrolladores del malware se llevan una parte; otra parte los que desarrollan y gestionan los kit de exploits para poder difundirlo; lo mismo que los que alojan los servidores de correo o las páginas maliciosas con el malware y los agentes que cobran el rescate. Algunas familias de ransomware funcionan como un servicio: Ransomware as a Service.

El delincuente contacta con agentes para distribuir el ransomware. Los agentes, al igual que los muleros que cobran los rescates, pueden ser cualquier persona con conocimientos de internet y algo de tiempo. Los agentes distribuyen el malware y si consiguen que alguien pague el rescate obtendrán una parte del mismo.

2. ¿Por qué en bitcoins?

Los bitcoins son monedas virtuales o criptomonedas, que permiten el pago anónimo entre particulares. Este anonimato es posible gracias a los servicios de mixing o tumbling de bitcoins accesibles desde la red anónima Tor, que mezclan los fondos de distintas carteras, dificultando que la policía pueda seguir la pista.

3. ¿Cómo infectan?

  • Por vulnerabilidades y agujeros de seguridad

    Como servidores web desactualizados o sistemas SCADA conectados a Internet sin medidas de seguridad.

  • Conseguir cuentas con privilegios de administrador

    Mediante pishing o debilidades de procedimiento y del software.

  • Ingeniería social

    Engaños a la víctima haciéndose pasar por amigos, conocidos o el uso de enlaces y adjuntos infectados. 

  • Spam malicioso.

  • Drive-by-download

    Dirigiendo a las víctimas a webs infectadas y descargar el malware sin que lo sepan.

  • Malwertising

    Se incrustan anuncios maliciosos en webs legítimas y descarga el software sin que la víctima lo sepa.

 4. ¿Cómo puedo protegerme?

Evitando caer víctimas de engaños que utilizan la ingeniería social y asegurando la ausencia de vulnerabilidades en los sistemas.

 

4.1 Concienciación y formación

Los ciberdelincuentes reúnen la información de la empresa, eligen a la víctima y se ganan su confianza antes de manipularla y amenazarla. Para ello se aprovechan:

  • Del respeto a la autoridad, haciéndose pasar por policía.

  • De la voluntad de ser de utilidad en entornos laborales.

  • Del miedo a perder un trabajo, un premio o recompensa.

  • De la vanidad de la víctima a la que adulan por sus conocimientos, posición o influencia.

  • Apelando al ego.

  • Creando situaciones de urgencia y obteniendo el dinero por pereza, desconocimiento o ingenuidad de la víctima.

Para reconocer ataques de ingeniería social hay que desconfiar de mensajes apremiantes para evitar sanciones. En general:

  • Evite abrir correos de desconocidos.

  • Revise enlaces de conocidos, evitando aquellos cortos o que utilizan servicios para expandirlos.

  • Evite adjuntos.

  • Actualice constantemente el antimalware y el sistema operativo.

  • Asegúrese de que sus empleados utilizan contraseñas robustas y no tienen privilegios de administrador.

4.2 Prevención

  • Conserva al menos dos copias de seguridad actualizadas. Así, podremos recuperar nuestros datos. Como los backups pueden fallar, es necesario tener dos copias, como mínimo.

  • Guardar las copias en un lugar distinto al del servidor de ficheros. Lo ideal son soportes físicos o soportes externos a nuestra red.

  • Si haces backup en cloud, desactiva la sincronización persistente, pues algunos ransomware aprovechan esta funcionalidad.

  • Comprueba que las copias funcionan correctamente y que sabes recuperarlas.

  • Utiliza VPN cuando sea posible.

  • Ten prudencia en tu actividad online.

  • Mantén actualizados los navegadores y sistemas.

  • Mantén los privilegios de seguridad de usuarios y grupos al mínimo.

  • Utiliza contraseñas robustas con bloqueo tras un número determinado de intentos fallidos.

  • Elimina cuentas de usuarios no imprescindibles.

  • Vigila los programas instalados por los empleados.

  • Utiliza firewalls y DMZ.

  • Configura el correo electrónico de forma segura: filtros de spam, autenticación de correos entrantes, escaneo de mensajes, deshabilitación de macros en ficheros Office transmitidos por correo y desactivación de HTML en cuentas críticas.

  • Establece un plan concreto de respuesta a incidentes.

  • Audita tu infraestructura y sistemas de forma periódica para detectar fallos de seguridad o de resolución de incidentes.

5. ¿Qué hago si me afecta?

– NUNCA PAGUES el rescate.

– Si tenemos un plan de respuesta a incidentes, implementarlo para minimizar los daños y poder denunciar.

– Si no tienes un plan de respuesta, utiliza los backups.

6. ¿Cómo recupero mi actividad y mis datos?

  1. Contacta con el Centro de Respuesta a Incidentes CERTSI de INCIBE para recibir asesoramiento.

  2. Aísla los equipos afectados y apaga los que no han sido dañados.

  3. Clona los discos duros de equipos afectados para que sirvan de evidencia en la denuncia.

  4. Recoge y aísla muestras de ficheros dañados o del ransomware.

  5. Denuncia lo ocurrido a la Guardia Civil o a la Policía.

  6. Cambia las contraseñas de red y de cuentas online.

  7. Desinfecta los equipos y recupera los archivos si fuese posible.

  8. Restaura los equipos con el software original.

7. ¿Por qué no hay que pagar?

– No garantiza el acceso a los datos, recuerda que son delincuentes.

– Puedes ser objeto de ataques posteriores al saber los cibercriminales que estás dispuesto al pago.

– Pueden solicitarte cifras superiores una vez hayas pagado.

– Fomentas el negocio de la ciberdelincuencia.

ataque ransomware en empresas