Autor: netsec3

Con los desafíos a la seguridad de la información y un entorno tecnológico cambiante, surgen día a día nuevas vulnerabilidades y amenazas, y por supuesto el ransomware no es la excepción, desde una visión proactiva es importante tener medidas preventivas para minimizar el impacto que un ataque efectivo podría tener sobre las operaciones del negocio, sin embargo, no siempre esto ha sido factible, por lo cual también hay que considerar las medidas reactivas cuando el ataque se materialice.

Lo más importante es tomar medidas preventivas que ayuden a proteger toda la red.

Una de las medidas preventivas más significativas es el crear una cultura de la seguridad de la información, en donde todos los usuarios finales de la información tomen las medidas pertinentes para su resguardo, y la compartan únicamente con los interesados involucrados manteniendo las líneas de comunicación autorizadas dentro de la organización, reconocidos estos como los canales seguros; además, por supuesto, de contar con todas las medidas de protección como aseguramiento de endpoints a través de soluciones EDR, protección perimetral con firewalls de última generación, manejo de software actualizado, gestión de cuentas privilegias, backups seguros, entre otros.

En Network Secure, nuestro equipo de especialistas está dispuesto ayudarle a usted y a su organización, si cuentas con un problema de ataque de Ransomware o buscas estar protegido de ello, agenda una llamada con uno de nuestros especialistas para que podamos ayudarte con un assessment.

Haga un balance de todo el hardware y el software que utiliza actualmente su organización.

Conozca lo que tiene, cuánto cuesta su funcionamiento, qué recursos de la organización se utilizan para su funcionamiento y mantenimiento, y si hay o no planes para reemplazar el equipo existente en algún momento en el futuro.

Por ejemplo: Si tiene un servidor que ejecuta Windows Server 2003 pero se ha actualizado a Windows Server 2008 R2 (o posterior), esto podría indicar que debería preocuparse por los ataques de ransomware debido a la versión más antigua del sistema operativo que se utiliza en esta máquina específica.

También puede considerar la posibilidad de actualizar otros sistemas si no cumplen con los estándares técnicos actuales o si no se ejecutan en versiones más nuevas de sistemas operativos como Microsoft Office 2010/2013/2016, etc., que son más seguras que las versiones anteriores debido principalmente a que incluyen características como la arquitectura de 64 bits; sin embargo, todavía puede haber vulnerabilidades asociadas a esas versiones, por lo que es importante no sólo el tipo de ordenador que ejecuta cada dispositivo individual, sino también cuántas personas acceden a ellos diariamente frente a las semanales/mensuales, etc.

Para el control de su inventario de software y las versiones instaladas, recomendamos pueda utilizar una solución de Manage Engine que le permite realizar una gestióncentralizada.

Implantar políticas de seguridad sólidas.

Dentro de la organización, como parte del sistema de gestión de la seguridad de la información, debería de existir un equipo encargado de velar porque las políticas se cumplan y estén correctamente aplicadas, reconocido normalmente este como “comité de seguridad de la información”; dentro de sus funciones principales están el impulsar, velar y responder por la seguridad de la información de la organización, por tanto deben ser conscientes de la importancia de la protección contra ciberamenazas, en los endpoint, sistemas, equipos e infraestructura de red en general.

Es una labor de gran responsabilidad, dado que todo el proceso de validación de políticas, normas, procedimientos y relacionados deben estar alineados con los objetivos del negocio sin dejar de lado el salvaguardar la información, y esto a su vez, debe de ser de conocimiento general a todos los colaboradores de la organización.

Actualice regularmente todos los sistemas, el hardware y las aplicaciones con los últimos parches.

La actualización periódica de todos los sistemas, hardware y aplicaciones con los últimos parches es esencial para prevenir ataques como éste. Si desconoce cómo actualizar su sistema o no está seguro de si se ha actualizado, consulte con un asesor de seguridad o con el fabricante de su dispositivo.

Actualizar los sistemas operativos: Windows 10 incluye una protección integrada contra el ransomware por defecto; sin embargo, aún puede ser vulnerable si un atacante compromete su PC a través de una infección o una infección de malware en una unidad USB (como las que se utilizan para las memorias flash), a través de archivos recibidos por correo o descargados desde internet.

Actualice las aplicaciones de software: Muchos programas populares, como Adobe Acrobat Reader, se actualizan automáticamente cuando hay actualizaciones de seguridad disponibles; sin embargo, algunos pueden requerir la intervención manual de los usuarios que deseen comprobar las nuevas versiones antes de instalarlas en sus ordenadores.

Asimismo, como una buena práctica, el equipo de tecnología de la información deberá ser el responsable de mantener el software actualizado, ya que no es apropiado que los usuarios finales tengan privilegios sobre modificaciones sensibles en los sistemas, esto, por supuesto, establecido a través de los procedimientos otorgados por parte del comité de seguridad de la información.

Se recomienda apoyarse con soluciones que les permita gestionar las versiones y las actualizaciones de los Sistemas Operativos y Softwares de forma centralizada y orquestado con un plan de actualizaciones.

Manage Engine es uno de los fabricantes que cuenta con soluciones que le permiten realizar esta tarea de forma automática, controlada y programada. A su vez, le genera alertas para el control de versiones y un reporte para conocer las versiones y el licenciamiento activo de su inventario.

Formar a los empleados sobre cómo evitar los ataques de ransomware.

La formación es un componente crítico de cualquier estrategia de seguridad, pero es especialmente relevante cuando se trata de ransomware. La formación del usuario reduce en gran medida el riesgo de infección; un ataque de ransomware normalmente comienza con un email malicioso, los usuarios deben saber identificar las ciberamenazas, incluyendo el ransomware, el phishing y la ingeniería social; los usuarios formados para identificar mensajes maliciosos son menos propensos a abrir un archivo adjunto infectado. Adicionalmente, el usuario de la información deberá conocer las políticas y procedimientos respecto al resguardo de la información y cómo detectar comportamientos que hagan sospechar que están siendo víctimas de un ataque de cualquier tipo, especialmente ransomware, qué acciones inmediatas deben tomar y a quién deben notificar para recibir la asistencia oportuna ante el evento.

Si se produce un ataque de Ransomware, aisle (desconecte o apague) inmediatamente el sistema infectado de la red para evitar que se propague a otros sistemas.

No intente limpiar el sistema. Es importante que no utilice ninguna herramienta o método que pueda dañar su ordenador o sus datos una vez que se haya producido la infección.

Si no está seguro de si su equipo debe apagarse o dejarse en funcionamiento durante la respuesta a un incidente, ríjase por los procedimientos aprobados por el comité de seguridad de la información y póngase en contacto con los responsables en su organización que pueda ayudarle a tomar esta decisión.

Cuenta con un equipo de respuesta a incidentes lo antes posible.

Ponte en contacto con nuestro equipo de especialistas en Seguridad de la Información para contarles sobre tu caso y que así podamos asesorarte de la mejor manera para que tu negocio tenga la menor afectación posible.

Conclusión: Esté preparado y sepa qué puede hacer si se produce un ataque.

La conclusión es que debe estar preparado y saber qué hacer si se produce un ataque.

Es importante que deba:

1. Gestionar las políticas de los usuarios de forma correcta.
2. Actualizar regularmente sus sistemas con los últimos parches y opciones de seguridad.
3. Monitorear su red y los equipos permanentemente.
4. Disponer de un Firewall que proteja la red empresarial.
5. Contar con una solución de respaldos según las necesidades del negocio.
6. Disponer de un Plan de Recuperación de Desastres.
7. Realizar chequeos de Pentesting al menos 1 o 2 veces en el año.
8. Contar con el apoyo de un equipo especializado en Seguridad IT.

Si necesita ayuda para mejorar la seguridad de la información de su organización o implementar una solución que le permita gestionar, administrar y monitorear su infraestructura, agende una llamada de asesoría gratis con nuestro equipo.

Siendo el ransomware y el phishing, dos de las amenazas más grandes y con mayor crecimiento en el mundo, no dejan de ser la preocupación principal de los CSO, ya que constantemente, estas amenazas, se encuentran en evolución para evadir las soluciones de seguridad y lograr secuestrar los datos de sus víctimas.

Por ello, en Network Secure recomendamos que las empresas cuenten con soluciones de monitoreo, gestión, control y protección de la información para reducir la brecha de vulnerabilidad.

De acuerdo con análisis realizados por laboratorios especializados de los fabricantes más reconocidos de soluciones de seguridad, han detectado el incremento de una variante de “secuestro” (ransomware) con un impacto significativamente mayor dado que dificulta su detección, eliminación y prevención por su forma de operar: el cifrado intermitente.

A diferencia del método tradicional que, a través del cifrado completo de los archivos, se bloquea el acceso general a la información o a la unidad de almacenamiento, el cifrado intermitente (o cifrado segmentado) toma bloques de los archivos para cifrarlos y dejando inutilizable la información; este método permite que los operadores de ransomware logren evadir los sistemas de detección (prevención) y consigan cifrar los archivos más rápido; la aplicación de este tipo de cifrado permite que el malware tome porciones de bytes de un archivo, logrando un ataque efectivo en un 50% menos de tiempo que un cifrado completo, adicionalmente, este método no es detectado fácilmente en los monitoreos de seguridad que se basan en detección automatizada de signos y procesos, la huella de los archivos cifrados es prácticamente igual a la de los archivos originales, por lo que los sistemas de detección lo pueden determinar como “válido” y no disparan alertas de infección.

Podría interesarte: Catálogo de Soluciones de Seguridad de Network Secure

La primera variante fue detectada a mediados del 2021, en LockFile, esta tendencia está siendo adoptada por otros grupos de ransomware como Black Basta, ALPHV (BlackCat), PLAY, Agenda y Qyick; LockFile cifra en bloques alternos de 16 bytes, mientras que Black Basta, que apareció en abril de 2022, no brinda a los operadores la opción de elegir entre modos, y decide qué hacer en función del tamaño del archivo,  Para archivos pequeños de menos de 704 bytes de tamaño, cifra todo el contenido, para archivos entre 704 bytes y 4 KB, cifra 64 bytes y omite 192 bytes en el medio. Si el tamaño del archivo supera los 4 KB, el ransomware de Black Basta reduce el tamaño del espacio de los intervalos intactos a 128 bytes, mientras que el tamaño de la parte cifrada sigue siendo de 64 bytes.

Adicionalmente, en la forma de operación de esta variante en el ransomware, en la actualidad, algunos no necesitan ponerse en contacto con un servidor de comando y control (C2) en Internet para operar, esto significa que puede cifrar datos en máquinas que no tienen acceso a Internet; además, se dice que “no hay ransomware que eliminar” dado que, una vez que ha cifrado todos los documentos en la máquina, el ransomware se “auto elimina”, borrando sus binarios, dificultando así su identificación y reversión.

Conclusión y Recomendación

Los sistemas de detección se encuentran en constante evolución ante estas amenazas, sin embargo, dado que la seguridad de la información debería tener un enfoque en capas, siempre es recomendable contar con los métodos adicionales de prevención y recuperación ante desastres, contar con sistemas de backup seguros con una apropiada segmentación y aislamiento de los sistemas en producción, para que puedan estar resguardados de amenazas de este tipo, permitiendo la restauración de operaciones con el menor impacto posible; idealmente, dentro de la definición de políticas de seguridad de la información se debería contar con una solución de contingencia que entre en operación cuando la falla sea detectada.

En Network Secure contamos con más de 18 años de experiencia y +400 clientes en Latinoamérica a quienes asesoramos y ayudamos con nuestro servicio de consultoría de Seguridad de la Información y las diferentes soluciones de +25 marcas de clase mundial para reducir las brechas y vulnerabilidades de la Seguridad de la Información y disponer de métodos de prevención y recuperación de desastres. Agende una llamada con uno de nuestros especialistas.

Es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos y sistemas informáticos. Los términos antivirus y antimalware se utilizan a menudo como sinónimos ya que los virus informáticos son un tipo específico de malware.

Es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos y sistemas informáticos. Los términos antivirus y antimalware se utilizan a menudo como sinónimos ya que los virus informáticos son un tipo específico de malware.

Es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos y sistemas informáticos. Los términos antivirus y antimalware se utilizan a menudo como sinónimos ya que los virus informáticos son un tipo específico de malware.