Insights > Blog

101 Cómo evitar un ataque de Ransomware

 

El ransomware es una amenaza creciente y debe ser abordada con seriedad por los gobiernos y las organizaciones del sector privado, especialmente las organizaciones de infraestructura crítica como la distribución de energía, plantas de tratamiento de agua, los sectores de salud, tránsito, seguridad pública, etc.

En resumen, el ransomware es un programa maligno diseñado para cifrar los archivos en un dispositivo, inutilizando estos archivos y los sistemas que dependen de ellos. Es común que los atacantes pidan un rescate a cambio del descifrado. Con el tiempo, los atacantes han ajustado sus tácticas de ransomware para ser más destructivas y mucho más impactantes, centrándose cada vez más en la exfiltración de datos y amenazando con venderlos o hacerlos públicos —incluyendo información confidencial o personal— si no se paga el rescate en el plazo requerido.

Estas violaciones de datos pueden causar pérdidas financieras a la organización víctima del ataque y pueden minar la confianza de los clientes, afectando la reputación de su marca. Todas las organizaciones corren el riesgo de ser víctimas de un incidente de ransomware y son responsables de proteger informaciones sensibles y datos personales almacenados en sus sistemas. A continuación, presentamos algunos consejos que constituyen información para todos los sectores gubernamentales y organizaciones privadas, incluidas las organizaciones de infraestructura crítica, para ayudarles a prevenir y responder a los incidentes causados por el ransomware. Son acciones recomendadas por todos los organismos de seguridad del mundo y, obviamente, sugeridas a nuestros clientes:

PREVENCIÓN DE ATAQUES DE RANSOMWARE

 

  1. Mantenga copias de seguridad de los datos encriptadas y offline, y pruébelas regularmente. Los procedimientos de copia de seguridad deben realizarse y comprobarse periódicamente. Es importante que las copias de seguridad se mantengan offline, ya que muchas variantes actuales de ransomware intentan localizar, eliminar e incluso cifrar las copias de seguridad disponibles
  2. Preparar, mantener y ejercitar un plan básico de respuesta a incidentes cibernéticos, un plan de resiliencia y planes de comunicación necesarios.
  • El plan de respuesta a incidentes cibernéticos debe incluir procedimientos de respuesta y notificación para incidentes de ransomware.
  • El plan de resiliencia debe abordar cómo operar, qué hacer si se pierde el acceso o el control de las funciones críticas y las acciones involucradas, así como de las prácticas de seguridad cibernética.

3.Mitigar las vulnerabilidades y configuraciones erróneas relativas a Internet para reducir el riesgo de ataques que exploten esta superficie. Emplee las mejores prácticas para el uso del Protocolo de Área de Trabajo Remota (RDP) y otros servicios de área de trabajo remota. Las amenazas suelen obtener un acceso inicial a una red a través de servicios remotos expuestos y mal protegidos y, posteriormente, propagan el ransomware.

a) Audite la red en busca de sistemas que utilicen RDP, puertas RDP cerradas y no utilizadas, aplique bloqueos de cuentas después de un determinado número de intentos, aplique la autenticación multifactor (MFA) y registre los intentos de login en RDP.

b) Realice escaneos regulares de vulnerabilidad para identificar y resolver las vulnerabilidades, especialmente aquellas en dispositivos orientados a Internet. Cipher ofrece varios servicios de escaneo y pentests, incluida la gestión de vulnerabilidades, para ayudar a las organizaciones privadas, públicas y de infraestructura crítica a evaluar, identificar y reducir su exposición a amenazas cibernéticas, como el ransomware. Presentamos informes sobre estos servicios con recomendaciones sobre las mejores prácticas, y proponemos formas de reducir sus riesgos y mitigar posibles vectores de ataque.

c) Actualice oportunamente el software, incluidos los sistemas operativos, las aplicaciones y el firmware. Priorice la aplicación de parches en las vulnerabilidades críticas y en los servidores orientados a Internet, así como en el software que procesa los datos de Internet, como navegadores web, complementos de los navegadores y lectores de documentos. Si una acción de parcheo no es factible, aplique las mitigaciones proporcionadas por el proveedor.

d) Asegúrese de que los dispositivos estén configurados correctamente y de que las funciones de seguridad estén activadas para, por ejemplo, desactivar las puertas y protocolos obsoletos y/o que no estén en uso para fines comerciales.

e) Desactive o bloquee el protocolo Server Message Block (SMB) entrante y saliente y eliminar o desactivar las versiones obsoletas de SMB.

4. Reduzca el riesgo de que los correos electrónicos de phishing lleguen a los usuarios finales:

a) Habilite filtros potentes de spam.

b) Implemente un programa de concienciación sobre seguridad cibernética y de formación de usuarios que incluya orientación sobre cómo identificar e informar de actividades sospechosas (como phishing) o incidentes. Las campañas de concienciación y maduración sobre seguridad y responsabilidades incluidas pueden ayudar mucho. ¡EDUCAR es la clave!

5. Practique la “higiene” cibernética:

a) Asegúrese de que el software antivirus, el antimalware y los softwares certificados estén actualizados.

b) Implemente una lista de permisos de aplicaciones.

c) Asegúrese de que las cuentas y los privilegios de los usuarios estén limitados mediante políticas de uso de cuentas, control de cuentas de usuarios y gestión de cuentas privilegiadas.

d) Ponga en práctica la MFA para todos los servicios en la medida de lo posible, especialmente para correo web, redes privadas virtuales (VPN) y cuentas que acceden a sistemas críticos.

e) Implemente las mejores prácticas de seguridad cibernética conocidas.

 Nota: las organizaciones que confían en los proveedores de servicios gestionados (MSP) para la gestión remota de los sistemas de TI deben tener en cuenta el riesgo que implican las prácticas de gestión e higiene cibernética de sus MSP. Por lo tanto, consulte los sistemas de protección contra las amenazas cibernéticas, incluso el ransomware.

RESPUESTA A LOS INCIDENTES CAUSADOS POR RANSOMWARE

Suponga que su organización esté siendo víctima de un incidente de ransomware y/o de violación de datos. En este caso, recomendamos firmemente implementar su plan de respuesta a incidentes cibernéticos y llevar a cabo las siguientes acciones:

  1. Proteja las operaciones de la red y evite más pérdidas de datos utilizando la siguiente lista de comprobación, siguiendo los tres primeros pasos en secuencia.

 Nota: Se recomienda incluir esta lista de comprobación como un anexo específico para el ransomware en los planes de respuesta a incidentes cibernéticos.

a) Determine qué sistemas han sido afectados y aísle esos sistemas inmediatamente. Si les parece que varios sistemas han sido afectados, desconecte la red al nivel de los conmutadores. Si no es posible desconectar inmediatamente la red, localice el cable de red (por ejemplo, Ethernet) y desconecte los dispositivos afectados de la red o retírelos del Wi-Fi para contener la infección.

b) Si —y sólo si— los dispositivos afectados no pueden ser retirados de la red o la red no puede ser apagada temporalmente, desconecte los dispositivos infectados para evitar la propagación del ransomware.

 Nota: este paso debe realizarse sólo si es necesario, ya que puede dar lugar a la pérdida de artefactos de infección y la posible evidencia del ataque almacenado en la memoria volátil.

c) Haga un examen para determinar los sistemas impactados para su restauración y recuperación. Priorice en función de la criticidad.

d) Hable con su equipo para desarrollar y documentar un entendimiento inicial de lo que ocurrió basado en un análisis preliminar.

e) Involucre a sus equipos internos y externos y a las partes interesadas para informarles de cómo pueden ayudarle a mitigar, responder y recuperarse del incidente. Considere firmemente la posibilidad de solicitar la asistencia de un proveedor de respuesta a incidentes de terceros de confianza con experiencia en violaciones de datos.

  1. Si no parece posible ninguna acción de mitigación inicial, realice una imagen del sistema y capture la memoria de una muestra de los dispositivos afectados. Además, recoja todos los registros pertinentes, así como muestras de cualquier binario de programa maligno “precursor” y los observables asociados o indicadores.

 Nota: no destruya las pruebas forenses y tenga cuidado de preservar las pruebas de naturaleza altamente volátil o de retención limitada para evitar su pérdida o manipulación.

  1. Siga los requisitos de notificación indicados en su plan de respuesta a incidentes cibernéticos. Considere:

– Si las informaciones de carácter personal almacenadas en nombre de otras empresas han sido robadas, notifique a esas empresas acerca de la violación.

– Si la violación afectó informaciones de carácter personal, notifique a las personas afectadas para que puedan tomar medidas para reducir la posibilidad de que su información sea utilizada indebidamente. Informe a las personas sobre el tipo de informaciones que han sido expuestas, recomiende acciones y proporcione las informaciones de contacto pertinentes.

– Si la violación ha involucrado informaciones electrónicas de salud, notifique al Consejo Regional de Medicina (CRM), laboratorios, clínicas y profesionales de la salud involucrados y, en algunos casos, a los medios de comunicación. Consulte a la Secretaría de Salud de su Municipio, de su Estado o incluso órganos de la administración Federal, según la magnitud del atentado.

  1. Reporte el incidente a la Unidad de Ataques Cibernéticos de la Policía Civil o Federal, así como a otras agencias relevantes de acuerdo con su negocio.

 ATENCIÓN: Desaconsejamos firmemente el pago de un rescate a los atacantes y delincuentes. Al pagar un rescate, se puede estar estimulando a los adversarios a dirigirse a otras organizaciones, estimular a otros actores criminales a participar en la distribución de ransomware y/o también puede financiar y facilitar otras actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperen los archivos afectados por el ataque.

 REFERENCIAS Y CONSEJOS ADICIONALES 

Fuente: Alexandre Armellini | Coordinador del Red Team de Cipher en LATAM

 

 

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics