Insights > Blog

101 Cómo evitar un ataque de Ransomware

El ransomware es una amenaza creciente y debe ser abordada con seriedad por los gobiernos y las organizaciones del sector privado, especialmente las organizaciones de infraestructura crítica como la distribución de energía, plantas de tratamiento de agua, los sectores de salud, tránsito, seguridad pública, etc.

En resumen, el ransomware es un programa maligno diseñado para cifrar los archivos en un dispositivo, inutilizando estos archivos y los sistemas que dependen de ellos. Es común que los atacantes pidan un rescate a cambio del descifrado. Con el tiempo, los atacantes han ajustado sus tácticas de ransomware para ser más destructivas y mucho más impactantes, centrándose cada vez más en la exfiltración de datos y amenazando con venderlos o hacerlos públicos —incluyendo información confidencial o personal— si no se paga el rescate en el plazo requerido.

Estas violaciones de datos pueden causar pérdidas financieras a la organización víctima del ataque y pueden minar la confianza de los clientes, afectando la reputación de su marca. Todas las organizaciones corren el riesgo de ser víctimas de un incidente de ransomware y son responsables de proteger informaciones sensibles y datos personales almacenados en sus sistemas. A continuación, presentamos algunos consejos que constituyen información para todos los sectores gubernamentales y organizaciones privadas, incluidas las organizaciones de infraestructura crítica, para ayudarles a prevenir y responder a los incidentes causados por el ransomware. Son acciones recomendadas por todos los organismos de seguridad del mundo y, obviamente, sugeridas a nuestros clientes:

PREVENCIÓN DE ATAQUES DE RANSOMWARE

Mantenga copias de seguridad de los datos encriptadas y offline, y pruébelas regularmente. Los procedimientos de copia de seguridad deben realizarse y comprobarse periódicamente. Es importante que las copias de seguridad se mantengan offline, ya que muchas variantes actuales de ransomware intentan localizar, eliminar e incluso cifrar las copias de seguridad disponibles
Preparar, mantener y ejercitar un plan básico de respuesta a incidentes cibernéticos, un plan de resiliencia y planes de comunicación necesarios.

El plan de respuesta a incidentes cibernéticos debe incluir procedimientos de respuesta y notificación para incidentes de ransomware.
El plan de resiliencia debe abordar cómo operar, qué hacer si se pierde el acceso o el control de las funciones críticas y las acciones involucradas, así como de las prácticas de seguridad cibernética.

3.Mitigar las vulnerabilidades y configuraciones erróneas relativas a Internet para reducir el riesgo de ataques que exploten esta superficie. Emplee las mejores prácticas para el uso del Protocolo de Área de Trabajo Remota (RDP) y otros servicios de área de trabajo remota. Las amenazas suelen obtener un acceso inicial a una red a través de servicios remotos expuestos y mal protegidos y, posteriormente, propagan el ransomware.

a) Audite la red en busca de sistemas que utilicen RDP, puertas RDP cerradas y no utilizadas, aplique bloqueos de cuentas después de un determinado número de intentos, aplique la autenticación multifactor (MFA) y registre los intentos de login en RDP.

b) Realice escaneos regulares de vulnerabilidad para identificar y resolver las vulnerabilidades, especialmente aquellas en dispositivos orientados a Internet. Cipher ofrece varios servicios de escaneo y pentests, incluida la gestión de vulnerabilidades, para ayudar a las organizaciones privadas, públicas y de infraestructura crítica a evaluar, identificar y reducir su exposición a amenazas cibernéticas, como el ransomware. Presentamos informes sobre estos servicios con recomendaciones sobre las mejores prácticas, y proponemos formas de reducir sus riesgos y mitigar posibles vectores de ataque.

c) Actualice oportunamente el software, incluidos los sistemas operativos, las aplicaciones y el firmware. Priorice la aplicación de parches en las vulnerabilidades críticas y en los servidores orientados a Internet, así como en el software que procesa los datos de Internet, como navegadores web, complementos de los navegadores y lectores de documentos. Si una acción de parcheo no es factible, aplique las mitigaciones proporcionadas por el proveedor.

d) Asegúrese de que los dispositivos estén configurados correctamente y de que las funciones de seguridad estén activadas para, por ejemplo, desactivar las puertas y protocolos obsoletos y/o que no estén en uso para fines comerciales.

e) Desactive o bloquee el protocolo Server Message Block (SMB) entrante y saliente y eliminar o desactivar las versiones obsoletas de SMB.

4. Reduzca el riesgo de que los correos electrónicos de phishing lleguen a los usuarios finales:

a) Habilite filtros potentes de spam.

b) Implemente un programa de concienciación sobre seguridad cibernética y de formación de usuarios que incluya orientación sobre cómo identificar e informar de actividades sospechosas (como phishing) o incidentes. Las campañas de concienciación y maduración sobre seguridad y responsabilidades incluidas pueden ayudar mucho. ¡EDUCAR es la clave!

5. Practique la “higiene” cibernética:

a) Asegúrese de que el software antivirus, el antimalware y los softwares certificados estén actualizados.

b) Implemente una lista de permisos de aplicaciones.

c) Asegúrese de que las cuentas y los privilegios de los usuarios estén limitados mediante políticas de uso de cuentas, control de cuentas de usuarios y gestión de cuentas privilegiadas.

d) Ponga en práctica la MFA para todos los servicios en la medida de lo posible, especialmente para correo web, redes privadas virtuales (VPN) y cuentas que acceden a sistemas críticos.

e) Implemente las mejores prácticas de seguridad cibernética conocidas.

Nota: las organizaciones que confían en los proveedores de servicios gestionados (MSP) para la gestión remota de los sistemas de TI deben tener en cuenta el riesgo que implican las prácticas de gestión e higiene cibernética de sus MSP. Por lo tanto, consulte los sistemas de protección contra las amenazas cibernéticas, incluso el ransomware.

RESPUESTA A LOS INCIDENTES CAUSADOS POR RANSOMWARE

Suponga que su organización esté siendo víctima de un incidente de ransomware y/o de violación de datos. En este caso, recomendamos firmemente implementar su plan de respuesta a incidentes cibernéticos y llevar a cabo las siguientes acciones:

Proteja las operaciones de la red y evite más pérdidas de datos utilizando la siguiente lista de comprobación, siguiendo los tres primeros pasos en secuencia.

Nota: Se recomienda incluir esta lista de comprobación como un anexo específico para el ransomware en los planes de respuesta a incidentes cibernéticos.

a) Determine qué sistemas han sido afectados y aísle esos sistemas inmediatamente. Si les parece que varios sistemas han sido afectados, desconecte la red al nivel de los conmutadores. Si no es posible desconectar inmediatamente la red, localice el cable de red (por ejemplo, Ethernet) y desconecte los dispositivos afectados de la red o retírelos del Wi-Fi para contener la infección.

b) Si —y sólo si— los dispositivos afectados no pueden ser retirados de la red o la red no puede ser apagada temporalmente, desconecte los dispositivos infectados para evitar la propagación del ransomware.

Nota: este paso debe realizarse sólo si es necesario, ya que puede dar lugar a la pérdida de artefactos de infección y la posible evidencia del ataque almacenado en la memoria volátil.

c) Haga un examen para determinar los sistemas impactados para su restauración y recuperación. Priorice en función de la criticidad.

d) Hable con su equipo para desarrollar y documentar un entendimiento inicial de lo que ocurrió basado en un análisis preliminar.

e) Involucre a sus equipos internos y externos y a las partes interesadas para informarles de cómo pueden ayudarle a mitigar, responder y recuperarse del incidente. Considere firmemente la posibilidad de solicitar la asistencia de un proveedor de respuesta a incidentes de terceros de confianza con experiencia en violaciones de datos.

Si no parece posible ninguna acción de mitigación inicial, realice una imagen del sistema y capture la memoria de una muestra de los dispositivos afectados. Además, recoja todos los registros pertinentes, así como muestras de cualquier binario de programa maligno “precursor” y los observables asociados o indicadores.

Nota: no destruya las pruebas forenses y tenga cuidado de preservar las pruebas de naturaleza altamente volátil o de retención limitada para evitar su pérdida o manipulación.

Siga los requisitos de notificación indicados en su plan de respuesta a incidentes cibernéticos. Considere:

– Si las informaciones de carácter personal almacenadas en nombre de otras empresas han sido robadas, notifique a esas empresas acerca de la violación.

– Si la violación afectó informaciones de carácter personal, notifique a las personas afectadas para que puedan tomar medidas para reducir la posibilidad de que su información sea utilizada indebidamente. Informe a las personas sobre el tipo de informaciones que han sido expuestas, recomiende acciones y proporcione las informaciones de contacto pertinentes.

– Si la violación ha involucrado informaciones electrónicas de salud, notifique al Consejo Regional de Medicina (CRM), laboratorios, clínicas y profesionales de la salud involucrados y, en algunos casos, a los medios de comunicación. Consulte a la Secretaría de Salud de su Municipio, de su Estado o incluso órganos de la administración Federal, según la magnitud del atentado.

Reporte el incidente a la Unidad de Ataques Cibernéticos de la Policía Civil o Federal, así como a otras agencias relevantes de acuerdo con su negocio.

ATENCIÓN: Desaconsejamos firmemente el pago de un rescate a los atacantes y delincuentes. Al pagar un rescate, se puede estar estimulando a los adversarios a dirigirse a otras organizaciones, estimular a otros actores criminales a participar en la distribución de ransomware y/o también puede financiar y facilitar otras actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperen los archivos afectados por el ataque.

REFERENCIAS Y CONSEJOS ADICIONALES

Para más informaciones y recursos sobre la protección y respuesta contra el ransomware, consulte Detener el ransomware | CISA
MS-ISAC: Ransomware: Las tendencias de extracción de datos y doble extorsión (Ransomware: Las Tendencias de Extracción de Datos y Doble Extorsión (cisecurity.org))
Seguridad cibernética para pequeñas empresas (Seguridad cibernética para pequeñas empresas | Comisión Federal de Comercio (ftc.gov))

Fuente: Alexandre Armellini | Coordinador del Red Team de Cipher en LATAM

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

101 Cómo evitar un ataque de Ransomware

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais