La gran cantidad de casos de ransomware que estamos viendo en las últimas semanas ha hecho que esta amenaza vuelva a ser considerada por las empresas y usuarios particulares como una de las peores a las que se enfrentan en la actualidad.
Por desgracia, muchos usuarios se dan cuenta de la gravedad del asunto cuando ya han sido infectados y la recuperación de los datos cifrados sin el pago previo de un rescate es casi imposible (aunque también depende de la variante utilizada por los delincuentes).
Es por ese motivo que se hace necesario contar con una política de seguridad y medidas adecuadas para evitar que nuestros sistemas se vean afectados. Estas medidas son vitales cuando hablamos de sistemas en entornos corporativos, que suelen tener información vital para el buen funcionamiento de la empresa y que, de verse afectados podría tener un impacto grave en la continuidad del negocio.
A continuación destacamos alguna de las medidas a tener en cuenta para evitar que nuestros sistemas se vean afectados por esta amenaza y que complementan la información proporcionada en el post anterior, donde configurábamos las soluciones de seguridad de ESET para que utilizasen el sistema ESET Live Grid, aumentando así la detección de nuevas variantes de ransomware.
Actualización del sistema operativo y de las aplicaciones
Además de los adjuntos maliciosos enviados por correo electrónico, otra de las técnicas preferidas por los delincuentes para infectar con ransomware (y otras amenazas) consiste en aprovecharse de las vulnerabilidades presentes en el sistema y en las aplicaciones del usuario que visita un determinado sitio web.
Mediante el uso de kits de exploits los delincuentes pueden automatizar el proceso de infección de tal forma que, con solo visitar un enlace, el sistema queda infectado de forma automática y sin intervención del usuario. Por eso es necesario prestar una especial atención a revisar la seguridad de nuestro navegador e incluso podemos instalar complementos para hacer que la navegación sea más segura.
Algunos de los kits de exploits más utilizados por los delincuentes como Angler, Neutrino o Nuclear Pack, están aprovechando vulnerabilidades en Adobe Flash y Microsoft Silverlight para infectar a sus víctimas, vulnerabilidades que cuentan con sus parches correspondientes y que ya deberían haber sido instalados por los usuarios o por los administradores de sistemas responsables en un entorno corporativo.
Si bien es cierto en las empresas se suele dejar un tiempo prudencial entra la publicación de un parche y su instalación, para así comprobar que todo funciona como es debido y no se producen errores, la realidad es que muchos de las vulnerabilidades utilizadas por los delincuentes llevan meses solucionadas y los parches ya deberían haber sido instalados.
Gestión de usuarios y fortificación del sistema
A pesar de que llevamos años recordando la importancia de otorgar solo los permisos estrictamente necesarios, a día de hoy aun existen muchas empresas que otorgan permisos de administrador a todo tipo de usuarios. Esto ocasiona múltiples problemas puesto que se están dando permisos para que se ejecute todo tipo de ficheros, malware incluido.
Si se limitan los permisos otorgados a cada usuario, no solo se evita que puedan instalar programas que no estén autorizados, sino que también se bloquea buena parte del malware que necesita de permisos de administración para ejecutarse o realizar alguna acción maliciosa.
En los casos de ransomware, por ejemplo, si no se disponen de permisos de administrador, no se permite a esta amenaza desactivar las Shadow Copies que los sistemas Windows generan automáticamente y que permiten restaurar ficheros a partir de estas copias usando herramientas como Shadow Explorer.
Además, si a esta limitación de permisos añadimos la activación del Control de Cuentas de Usuario (UAC) y lo configuramos para que notifique de cualquier cambio que pueda afectar al sistema, ayudaremos a que el usuario se lo piense dos veces antes de ejecutar ese fichero sospechoso que ha recibido por email o que acaba de descargar.
Por último, Windows también proporciona el kit de herramientas de Experiencia de mitigación mejorada (o EMET por sus siglas en inglés). Esta utilidad ayuda a prevenir que los delincuentes se aprovechen de vulnerabilidades en el sistema, muchas de ellas provocadas por software que no ha sido actualizado.
Configuración de Políticas de Grupo en Windows y carpetas compartidas
Ya hemos comentado que la mejor manera de evitar que se ejecute un ransomware en nuestro sistema es detectándolo antes de que se ejecute. Sin embargo, para cuando esta detección falla podemos configurar una serie de Políticas de grupo, evitando que se ejecuten archivos maliciosos desde ciertas carpetas del perfil del usuario.
Este bloqueo de ejecutables tiene un motivo y es que muchas variantes de ransomware se lanzan desde la misma ubicación. Esto no impide que las aplicaciones legítimas puedan seguir ejecutándose ya que, por regla general, estas aplicaciones no suelen ejecutarse desde estos directorios.
Por suerte para los administradores de sistemas que quieran empezar a aplicar este conjunto de Políticas de Grupo, no hace falta que las generen desde cero. Existen herramientas y kits de utilidades como el Ransomware Prevention Kit que ya las incluyen y están listas para ser aplicadas de inmediato.
Otro punto clave a la hora de mitigar una infección por ransomware es evitar que este consiga propagarse por la red de la empresa. A diferencia de lo que muchos siguen creyendo, las últimas variantes de ransomware no solo intentan cifrar las unidades de red que estén conectadas al sistema de la víctima, sino que también realizan un barrido de la red local en búsqueda de otras unidades que no estén mapeadas para infectarlas igualmente.
La mejor manera de evitar que nuestras unidades de red también se vean afectadas es revisar que solo los administradores autorizados pueden acceder a las mismas. El resto de usuario no debería poder acceder o, en el caso de hacerlo, tener solo permisos de lectura pero nunca de escritura.
Control del spam y bloqueo de IPs maliciosas
Como ya hemos indicado, uno de los medios de propagación favoritos de los creadores de ransomware es mediante el envío de adjuntos maliciosos en mensajes de correo electrónico. Estos adjuntos suelen venir comprimidos en un archivo .zip, pero eso no debería evitar que un buen filtro antispam sea capaz de analizar y detectar posibles amenazas, siempre que esté debidamente configurado.
Las técnicas usadas por los delincuentes para intentar convencer a sus víctimas que abran estos adjuntos maliciosos son muchas, pero suelen hacer mención a facturas impagadas, mensajes de fax o voz, o incluso a suplantar direcciones de correo de la empresa mediante técnicas de spoofing, para tratar de hacer creer al destinatario que el mensaje se ha enviado desde la red interna.
También hay que tener en cuenta que algunas variantes no incluyen dentro del archivo .zip un fichero ejecutable .exe. Es frecuente ver como las variantes de las últimas semanas utilizan ficheros JavaScript (.js) o incluso alguna variante ha llegado a usar ficheros con extensión .scr o .cab.
Esto no los hace menos peligrosos puesto que todos estos tipos de ficheros permiten introducir código que, por ejemplo, le indique al sistema que debe descargar el verdadero malware desde un enlace controlado por los delincuentes.
La importancia de tener una copia de seguridad
Lo hemos dicho varias veces. En ocasiones, la única solución que le queda a una empresa que ha sido víctima del ransomware es echar mano de la copia de seguridad más actualizada que tenga disponible (además de las ya comentadas Shadow Copies en el caso de que no se hayan visto afectadas).
Pero para que una copia de seguridad sea eficaz también se tienen que cumplir una serie de políticas y seguirlas a conciencia. En caso de no hacerlo nos encontraremos con casos en los que estas copias de seguridad también se han visto afectadas por el ransomware, al haberlas tenido conectadas al sistema infectado, o que cuando nos haga falta restaurar ese backup este se encuentre corrupto o demasiado desactualizado.
Por suerte, soluciones de backup hay muchas y para todos los bolsillos. Desde la que incorpora el propio sistema Windows hasta soluciones profesionales que permiten restaurar un sistema entero con sus datos correspondientes en poco tiempo y que además incluyen un servicio de almacenamiento en la nube.
A pesar de ser algo esencial, a día de hoy aún son muchas las empresas que no cuentan con un sistema de copia de seguridad o este no está correctamente configurado. De esta forma, los usuarios se encuentran con que, cuando tienen que echar mano del backup este les resulta inservible. Esto debe cambiar y debemos considerar a la copia de seguridad una herramienta indispensable para garantizar la continuidad del negocio.
En caso de no hacerlo, nos veremos abocados a pagar el rescate exigido por los delincuentes, sin ninguna garantía de que vayamos a obtener de nuevo nuestros ficheros, o cerrar el negocio, algo que ya ha sucedido a varias pequeñas y medianas empresas que fueron víctimas de un ransomware.
Conclusión
Estos puntos que hemos tratado deberían ser considerados como básicos en cualquier empresa para evitar, no solo amenazas del tipo ransomware sino de cualquier otro tipo. A partir de esta base se pueden añadir capas adicionales de seguridad como, por ejemplo, el bloqueo de dominios Tor, usados por algunos ciberdelincuentes para ubicar los centros de mando y control que se encargan de recibir las claves de cifrado de los ficheros de sus víctimas y enviar comandos a los sistemas infectados.
Otras herramientas como AntiRansom de Yago Jesus también pueden ayudarnos a evitar que una infección de este tipo se propague por el sistema y afecte a otros ordenadores de la red, avisando de la actividad maliciosa de esta amenaza y permitiéndonos apagar el sistema para proceder a su limpieza desde un disco o unidad de rescate.
Además, si queremos evitar que otras variantes con técnicas más novedosas puedan afectar a nuestros sistemas debemos permanecer informados y consultar periódicamente blogs y webs especializados en seguridad informática que hablen y analicen nuevas amenazas. Una vez conozcamos estas amenazas podremos preparar nuestra defensa contra ellas.