Tecnología — 23 marzo 2016

Esta semana ha sido muy activa para los ransomware, se han detectado miles de ataques por toda la red, y sobretodo se han detectado nuevas variantes de estos peligrosos virus.
En el día de hoy en mi empresa fuimos golpeados por la nueva variante de Teslacrypt, la versión 4.0 descubierta hace apenas 5 días; A diferencia de las versiones anteriores, ésta no cambia las extensiones de los archivos, haciendo que la búsqueda e identificación de los archivos afectados sea una verdadera odisea.
En apenas 5 minutos, por abrir un documento de Word infectado de un remitente desconocido, un gerente vio con horror como se encriptaba uno a uno todos sus archivos, perdiendo así años de trabajo.

Es por eso, que aquí les traigo un pequeño compilado, de lo que aprendí a las apuradas en estos días, una guía de buenas prácticas para hacer frente al RansomWare, prevenirlo y estar preparados por si infecta la red.

1. Respaldo, respaldo, respaldo.

Mas allá de todos los consejos que voy a verter en esta guía, es fundamental e imperativo contar con herramientas y políticas de respaldo, ya que un ataque perpetuado por un ransomware, una vez que se ejecuta con éxito, deja los archivos comprometidos con pocas chances de ser recuperados, y en el caso de serlo, corren el riesgo de igualmente contener daños estructurales.
Una política de respaldo todos los días a nivel de servidor (cintas), y la implementación de un fileserver (con las medidas de seguridad adecuadas) y la instrucción a los usuarios de utilizar sus unidades de red para almacenar archivos, es fundamental.
Además, también es aconsejable contar con una herramienta de respaldo en la nube, como por ejemplo OneDrive, que es proporcionada con las licencias corporativas de Office 2016.

2. Antivirus centralizado & AntiSpam & Proxy & Firewall

El 100% de los RansomWare vienen por e-mail.
Tenemos tres oportunidades para detener que el archivo infectado llegue a las manos de algún desprevenido usuario; La primera sería el Proxy de la empresa o el Firewall, muchas soluciones (como por ejemplo el Fortinet) tienen la capacidad de analizar todo el tráfico que circula entre ellos, e incluso cuentan con una base de definición de malware y virus, pudiendo así, detener el tráfico no deseado. En el caso de no contar con una solución de este estilo, tenemos la segunda barricada, que sería un software AntiSpam que monitoree la solución de correo que estamos utilizando.
Pasado este punto, si no tuvieron éxito las barricadas anteriores, sólo nos queda las defensas instaladas en la máquina del usuario, siendo esta el AntiVirus centralizado.
En el caso que el AntiVirus instalado no detecte nada, la única esperanza que nos queda es que las políticas del proxy sean estrictas, impidiendo así que el trojan downloader, es decir, el documento infectado, ejecute la segunda parte de la rutina de infección y no pueda comunicarse con los servidores, y baje el payload.

3. Software Restrictions en APPDATA utilizando Active Directory.

Todos los RansomWare comparten un comportamiento en común, el cuál es ejecutar el payload desde la carpeta APPDATA.
Impedir la ejecución de archivos .exe, .js y .VBA desde esa carpeta nos garantiza que nunca va a lograr encriptar los archivos.
Esta excelente guía (en inglés) explica el proceso paso a paso para implementar esta útil defensa.

4. Educación del usuario.

Por último y no menos importante, es centrarnos en el eslabón más débil de nuestra defensa, que es lógicamente el usuario.
Es recomendable crear un instancia de capacitación presencial, pero en el caso que el tiempo o la organización no lo permita, siempre podemos mandar un e-mail educativo, conciso, claro y con información relevante para al menos educar a los que así lo deseen.
Este es el e-mail que mandamos en mi organización, lo dejo por si a alguien le sirve.

———————————————————————————————————————————————————-

IMPORTANTE – Precauciones frente a VIRUS por Correo Electrónico.

Estimados [email protected],

Recientemente hemos detectado una actividad intensa en envío de correos con archivos adjuntos infectados de virus, por parte de grupos de piratas informáticos.

El más dañino de los ataques, es llamado ” RANSOMWARE”, dicho virus, llega a través de adjuntos de correo electrónico, seguramente haciéndose pasar por una dirección de confianza (proveedor, facturas, a veces de uno mismo, etc).

Una vez ejecutado, queda latente en la máquina a la espera de activarse. En el momento que se activa (puede pasar un mes para esto), el virus ENCRIPTA (bloquea con una clave aleatoria) TODA LA INFORMACIÓN DE SU PC, esto quiere decir, que ya NO PODRÁ ACCEDER A NINGÚN ARCHIVO de su PC.

Es totalmente imperativo que no se abra NINGÚN archivo adjunto procedente de direcciones de correo que usted NO CONOZCA  o sospeche que son fraudulentas.

Ante cualquier duda ante un archivo adjunto, por favor, comuníquese inmediatamente con el departamento de IT.
A continuación, les recomendamos leer el siguiente resumen sobre las buenas prácticas en el envio y recepción de correo electrónico.
Recuerden que la protección de la información de XXXXX Uruguay, es un compromiso de todos.

Buenas practicas en el manejo del correo electrónico:

Muchos virus, para su propagación, no solo utilizan la libreta de direcciones de correo, sino que utilizan también las direcciones de correos enviados o de otras carpetas donde encuentren direcciones de correo.
Es importante tratar con sumo cuidado los archivos adjuntos.

Archivos Adjuntos: Buenas prácticas

  •  No abrir archivos adjuntos de origen desconocido.
  • No abrir archivos adjuntos que no esperamos recibir, aunque nos parezca que su origen es conocido.
  • No abrir adjuntos que tengan extensiones ejecutables ( Ej. informe.exe )
  • No abrir adjuntos que tengan más de una extensión. ( Ej. factura.doc.exe )
  • Chequear con el remitente la razón por la cual nos envió un archivo adjunto.

Reenvío de Correo Electrónico 

La opción de “reenviar” un correo,  cuando es mal utilizada, es uno de los causantes de:

  • Falta de privacidad de las direcciones  y del contenido de correo electrónico
  • Distribución de código malicioso.
  • Saturación del sistema de correo debido a mensajes no solicitados (Spam)

Reenvío de Correo Electrónico 

Recuerde que, al reenviar un correo electrónico sin tomar precauciones, se copian:

  • el “Asunto”, anteponiendo “RE” o “FW”,
  • el contenido del mensaje original y
  • las direcciones de correo del remitente y de los destinatarios originales.

Esto representa un problema para la privacidad, ya que estamos transmitiendo direcciones de correo que pueden ser usadas por terceros.

Reenvío de Correo Electrónico: Buenas Prácticas

Si, por motivos laborales, debe reenviar un correo electrónico:

  • Borre la/s dirección/es de correo del/los remitente/s
  • O mejor aún: copie el contenido del correo original y arme uno nuevo
  • Si lo reenvía a más de una persona, utilice la opción de enviar “Copia Oculta”
  • ¡¡¡ No sea un reenviador compulsivo de correos electrónicos !!!

Mensajes no solicitados (SPAM)

Spam son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas.
Los spammers utilizan diversas técnicas para armar largas listas de direcciones de correo a las cuales enviarles spam:

  •  Búsqueda de direcciones en paginas web y foros
  • Captura de direcciones en cadenas de correo
  • Suscripciones a Listas de correo
  • Compra de bases de datos de direcciones de correo
  • Acceso no autorizado en servidores de correo

SPAM: Recomendaciones

  • No deje su dirección de correo electrónico en cualquier formulario o foro de Internet.
  • No responda los correos no solicitados. Bórrelos. Es lo más seguro.
  • En general, no conviene enviar respuesta a la dirección que figura para evitar envíos posteriores.
  • Configure filtros o reglas de mensaje en el programa de correo para filtrar mensajes de determinadas direcciones.
  • No configure “respuesta automática” para los pedidos de acuse de recibo.
  • No responda a los pedidos de acuse de recibo de orígenes dudosos.

———————————————————————————————————————————————————-

5. Creación de un laboratorio de virus.

La mejor manera de combatir estas amenazas, es entenderlas, ya que muchas veces el usuario, por temor, verguenza o simple distracción omite detalles de cómo se contagió, o que errores vio, por eso, siempre es recomendable tener un laboratorio, un entorno de una o dos máquinas las cuáles podamos infectar, testear herramientas de limpieza, y demás.
Por supuesto, estas máquinas DEBEN estar completamente aisladas de la red corporativa.

Términos de búsqueda:

COMPARTIR ARTICULO

El Autor

Damian de Arce
Damian de Arce

Soñador, poeta, escritor, tecnólogo, loco, antiguo, romántico, muchas cosas se dicen de mí, prefiero catalogarme como un observador de la humanidad.