Blog de Internet Security Auditors

Blog de Internet Security Auditors: Cómo protegerse (efectivamente) de un Ransomware o la RansomSociety (la Sociedad Secuestrada)

Escrito por Internet Security Auditors | May 23, 2017 4:00:00 AM
El Ransomware es un programa que aprovecha una vulnerabilidad para “colarse” en tu PC, encriptar todos los datos y pedirte dinero a cambio, además en medios empresariales se propaga de forma que infecta todas las unidades de red a las que tengas acceso.

Un Ransomware es un Virus?
Un virus es un programa cuya finalidad es la infección alterando o no su comportamiento. Hay un tipo de virus llamado “gusano” [Worm] cuya finalidad es la dispersión (la infección masiva).

Un ramsonware es un programa “malicioso” de ahí el nombre de MalWare [Software Malintencionado], cuya finalidad como programa es el secuestro de la información de nuestro equipo. 

En el caso de WannaCry, es un programa malicioso, dado que secuestra nuestra información y nos pide dinero para liberarla y al mismo tiempo se dispersa ( Worm).

La RansomSociety es la sociedad secuestrada por la amenaza de este tipo de acciones, cada día hay más preocupación por la “amenaza digital”, hemos visto robos de información que han influido en resultados electorales, países que abandonan las máquinas para hacer el recuento de sus elecciones “analógicamente” (Holanda) por miedo a intervenciones de un tercero. Ataques a infraestructuras críticas con éxito, Ucrania… La amenaza existe, y más desde que ha pasado a tener plan de negocio. Conviene recordar que la “industria” del malware mueve miles de millones de dólares hoy en día, por tanto, hay negocio y hay gente dispuesta a beneficiarse de este mercado, así que vamos a tener amenazas ahora y en el futuro.

¿Cómo podemos protegernos de forma efectiva contra un Ransomware?
Hay dos principios básicos:
  1. Preventivo: previniendo la pérdida, anticipándome y protegiendo el equipo previo a que esto pase.
  2. Reactivo: actuando una vez estoy siendo atacado.
En función de dónde esté:

¿Qué hago en casa?

Preventivo
  • Unificar la información personal en una carpeta (Mis Documentos, Mis Imágenes…), ¿por qué? Para facilitar la copia de seguridad, si tenemos la información dispersa en el disco duro hacer un backup será más complejo.
  • Comprar un disco duro externo y hacer copia de los datos a este medio externo.
  • Establecer una rutina de actualización de la información, éstas acciones tienen que tener continuidad, tener un backup de hace 3 años puede que no me sirva de nada, por tanto, a la hora de establecer un proceso de copia debe establecerse una rutina de actualización (cada día, cada semana, cada mes…).
  • Revisar que Windows Update o el sistema operativo utilizado esté al día, si no es así actualizar el equipo.
  • Actualizar Antivirus/Malware en todos los equipos (recordemos que si es un ZeroDay no habrá definición de antivirus aún pero siempre es recomendable).
  • Explicar a todos los usuarios del PC que:
    • No deben abrir correos sospechosos,
    • No deben ejecutar programas que “aparecen” en la web tipo “instale esto y le permitiremos bajar el archivo” o “su pc es vulnerable, escanéelo ahora con este programa”, suele ser malware.
    • Usar un bloqueador de elementos emergentes en los navegadores
    • Usar UAC (Control de cuentas de usuario de Windows).
      Inicio – Cuentas de usuario:


      Haga clic en Activar o desactivar Control de cuentas de usuario.
      Nota: Si se le pide una contraseña de administrador o una confirmación, escriba la contraseña o haga clic en Continuar.
      Haga clic para activar la casilla de verificación Usar el Control de cuenta de usuario (UAC) para ayudar a proteger el equipo y, a continuación, haga clic en Aceptar.
      Reinicie el equipo para aplicar el cambio.
      • Controlar las opciones de privacidad de los navegadores.
      • Borrar la memoria caché de Internet y el historial del navegador. [Basados en los métodos de protección pasivos de la definición de Virus].
      Generalmente en un domicilio los Pc’s comparten un grupo de trabajo, por lo que todos los usuarios de todos los Pc’s del domicilio debieran observar éstas recomendaciones.
Reactivo
Si mi equipo se comporta de forma anómala ¿qué puedo hacer?
  • Si veo que la información ya no está disponible o bien los archivos cambian de nombre o bien el equipo se queda “colgado”, es posible que tenga un malware cifrando la información. En ese caso:
    • Apagar el equipo
    • Buscar asesoramiento para restaurar la información, evaluar hasta dónde ha llegado o bien probar la solución de la infección completa.  O bien restaurar la información desde el punto de restauración anterior y revisar que la información se halle actualizada.
  • Si ya me han infectado del todo y al abrir cualquier archivo lo que veo es el aviso del Ransomware conforme debo pagar:
    • Intentar buscar soluciones ya existentes en www.nomoreransom.org
      Asistente de NomoreRansom.org

      Nomoreransom.org
      Es una iniciativa sin ánimo de lucro que agrupa herramientas gratuitas para los usuarios. En caso de haber sido infectado por alguno de los malwares que ya disponen de desencriptador, es posible desencriptar la información sin necesidad de pagar al Ciberdelincuente.

      CryptoSheriff permite enviar un archivo cifrado a nomoreransom para que ellos identifiquen el tipo e indiquen si tienen “vacuna”.

    • O utilizar Telefonica WannaCry File Restorer, si apagamos el PC antes de que se cifre todo aún puede recuperarse desde la carpeta Temp.
    • Si esto no funciona, ir a buscar directamente el backup y despedirse de la información que no hubiera guardada en la copia de seguridad.
    • No se recomienda pagar el rescate, no hay garantía que el pago vaya a permitir desencriptar la información (hay quien ha pagado y no ha podido rescatar la información, hasta los procesos de pago de los Ransomwares tienen un “HelpDesk” para ayudar a los usuarios…).
¿Qué hago en la oficina?
Preventivo
  • No emplear los medios de la oficina para otra cosa que el cometido de tu puesto de trabajo.
  • Comunicar un incidente cuando se produzca mediante los cauces establecidos y si estos no existen mediante cualquier medio a nuestro alcance
  • No abrir correos sospechosos o que tengan algo que los haga sospechosos, como por ejemplo:
    • Texto extraño o contenido poco habitual, el cuerpo del mensaje “pide dinero” o pide algo no habitual como que se realice un acceso a su web.
    • Otro ejemplo, es un correo de publicidad con un ZIP anexo, ¿Para qué es el Zip? Sospechar
    • Oferta novedosa o mail del banco: “estamos actualizando la información debe acceder a su cuenta e introducir su número de cuenta”. Los bancos nunca piden el número de cuenta, lo único que piden son el identificador de acceso y la clave que debe ser oculta. Si un banco pide que le envíes la clave en texto, llama al banco.
  • No ejecutar programas que “aparecen” en la web tipo: “instale esto y le permitiremos bajar el archivo” o “su pc es vulnerable, escanéelo ahora con este programa”, “llame a este 908 para bajar…” suele tratarse de malware.
Reactivo:
Si recibo un mail y al abrir el adjunto la pantalla parpadea o bien el adjunto de Office no se abre o bien se abre y el Excel/Word se cierra a continuación, es posible que haya sido infectado. En ese caso: Avisar a los equipos de soporte

¿Cómo identifico que mi equipo está teniendo un ataque?
  • Si veo que la información ya no está disponible o bien los archivos cambian de nombre y el equipo se queda “colgado”, lo más probable es que tenga un malware cifrando la información. En ese caso:
    • Apagar el equipo
    • Avisar inmediatamente a los equipos de soporte
  • Avisar a los compañeros que si reciben un mail nuestro puede ser fraudulento
  • Si veo que información en la red a la que tengo acceso no está o bien ha cambiado de nombre:
  • Avisar a los equipos de soporte
Existen asimismo métodos de infección en donde no es necesario que yo haya abierto “nada”, sino que el ransomware busca equipos vulnerables a determinada vulnerabilidad en el sistema (el caso de WannaCry, se vale de un ZeroDay para infectarse) y por el hecho de estar conectados a la red los infecta. Por lo que nosotros, como monitores debemos estar atentos al comportamiento de nuestro PC y si vemos que alguna de las casuísticas mencionadas antes se produce avisar de inmediato para que los equipos de respuesta puedan identificar y neutralizar lo antes posible la amenaza.

QUÉ ES UN ZERO DAY?
Son vulnerabilidades de los programas desconocidas para su fabricante –por tanto, no ha podido emitir un parche que la subsane- no estamos protegidos contra ellas dado que son desconocidas para los equipos que administran los sistemas. Ante ellas las protecciones más efectivas son el aislamiento “cortamos internet” o bien la concienciación “sospechar de un correo extraño o no solicitado”.

Una Vulnerabilidad Zero Day puede permitir por ejemplo que un archivo se copie entre todos los Pcs vulnerables a dicha vulnerabilidad de una red. Este es el caso de WannaCry que explota una vulnerabilidad de SMB

Conclusión
Por tanto, aunque seamos un usuario que no entra en ninguna web extraña ni recibe ningún mail extraño podemos vernos infectados por otro usuario que sí lo haga por la naturaleza “gusano” de algunos malwares. Lo primero que debemos hacer como usuarios es evitar la infección evitando actividades que puedan poner en riesgo la compañía/información doméstica. Hemos visto cómo, aún sin haber sido nosotros quienes realizan estas actividades, podemos resultar infectados, en cuyo caso la recomendación es disponer de información de copia de seguridad actualizada, de forma que esta pueda ser restaurada de forma eficaz y rápida y no nos haga depender del pago de un rescate, también hemos visto cómo, aunque se haya encriptado toda la información aún queda esperanza con recursos como nomoreransom.org.

Por tanto, todos debemos observar reglas de uso adecuado de los medios para preservar las tres dimensiones de la Seguridad de la Información que son la Confidencialidad, la Integridad y la Disponibilidad de mis datos, si el cumplimiento no es por parte de todos, estas dimensiones pueden verse afectadas:
  • Confidencialidad: Exfiltración, publicación de información a quien no debiera verla
  • Integridad: Alteración, modificación de la información, caso de ransomware
  • Disponibilidad: Denegación, impedir el acceso a la información, caso de los Ataques que saturan los sistemas, ataques de Denegación de Servicio (DOS) o bien si son a gran escala Ataques Distribuidos de Denegación de Servicio (DDOS).
Y nuestros técnicos deben velar para que los sistemas que empleamos se hallen actualizados de forma que al menos dispongamos de la protección que el fabricante ha suministrado vía actualización de los parches o definición de virus.

Internet Security Auditors asesora y ayuda a las empresas a conseguir un entorno en donde se cumpla la conclusión de éste artículo, ayudando a gestionar su seguridad y aportando un enfoque práctico orientado a negocio que aporte valor a todos los involucrados implantando las mejores prácticas y una metodología contrastada para reducir el riesgo de ataques.

Autor: Carlos Ortiz de Zevallos - ISO 27001 L.A., Scrum Manager, MCP, ITILF, 
ITIL Service Management.
Dpto. Consultoría