Artículo técnico del Ing. Luis María Mozzoni

Ransomware, una amenaza para todos

Articulo publicado en el diario La Voz del Interior en su edición papel el día 15/05/17

¿Cuánto tiempo hace que no realiza un backup de sus archivos? De esas fotos familiares o de esos documentos laborales que tanto tiempo le llevaron generar. Bueno, le recomiendo que luego de finalizar la lectura de esta nota, se tome el tiempo necesario y realice este backup. Y no solamente eso, sino que también piense y en lo posible, automatice alguna política para la realización en forma recurrente en el tiempo.
¿Por qué esta recomendación? Simplemente porque a medida que evoluciona la tecnología, esta lo hace tanto para bien, como para mal.

¿Qué es el ransomware?

En una definición rápida podríamos decir que es un tipo de malware que tiene como objetivo principal solicitar el pago de un rescate para la “liberación” de un dispositivo o de información que ha sido bloqueada (cifrada).
A diferencia de otros virus o troyanos en donde su objetivo es “robar” información para luego venderla en un mercado ilegal (información que puede ir desde usuarios/passwords de emails, números de tarjetas de crédito hasta historias clínicas) el ransomware tiene como finalidad cifrar la información y solicitar un monto especifico de dinero de rescate, luego del cual el cyberdelincuente envía las claves necesarias para poder des encriptar y recuperar la información o el acceso al dispositivo.

¿Quiénes o qué dispositivos pueden ser afectados por este tipo de malware?

El ransomware afecta principalmente a sistemas Windows pero existen variantes de ransomware para Linux o MAC OS como también para dispositivos móviles con Android o iPhones
Afecta a usuarios domésticos y sus dispositivos particulares pero también y con mayores consecuencias afecta a empresas, gobiernos u organismos como hospitales o infraestructuras críticas, causando graves pérdidas, tanto de información, como económicas pero más aún, de reputación.

¿Cómo se propaga?

El ransomware, como otros tipos de malware, es un negocio, ilícito, pero un negocio. En este negocio participan además del creador del ransomware, los que alquilan la infraestructura para su distribución y los que ofrecen el servicio para recaudar el rescate. Estas redes criminales de cyberdelincuentes especializadas en ransomware normalmente tienen más de una variante para la propagación.
Una posibilidad de propagación es la de un ataques dirigido, en donde los desarrolladores del malware utilizan herramientas que les permiten reconocer vulnerabilidades en el software de los dispositivos de red, en los sistemas operativos o en las aplicaciones utilizadas. De esta forma, por ejemplo, podrían utilizar un servidor web desactualizado de una posible víctima como vía de acceso para instalar el ransomware y afectar toda la red.
Otra posibilidad y quizás el método más común es mediante técnicas de lo que se conoce como ingeniería social. Estas puede ser mediante un correo electrónico malicioso con un enlace o un adjunto que al abrirlo instala el malware. Este archivo podría ser por ejemplo un simple documento de Microsoft Office que contenga un macro que ejecute el malware. Otro método es conocido como drive-by download, que consiste en dirigir a las víctimas a sitios web infectados, descargando el malware sin que ellas lo perciban aprovechando alguna vulnerabilidad o desactualización de su navegador, antivirus o sistema operativo.
Mas allá del método utilizado, esta técnica de propagación mediante ingeniera social hace especialmente grave la situación ya que afecta al eslabón más débil dentro de la seguridad que es el usuario final. Es por esto que es esencial formar y conscientizarnos respecto a estas posibles situaciones y cómo actuar al respecto.
Cómo es posible imaginar, las consecuencias de un código dañino de estas características en un entorno corporativo pueden ser devastadoras. Y lamentablemente dichas consecuencias pueden agravarse aún ya que existen variantes de ransomware que tienen la capacidad de propagarse a otros dispositivos de almacenamientos directamente conectados con el equipo infectado, ya que pueden comprobar cada una de las unidades montadas así como recursos compartidos de red para cifrar también su contenido afectando a otros dispositivos conectados en la misma red de la víctima o más lejos aún, en caso de utilizar la nube con sincronización continua, también existen familias de ransomware que tiene la posibilidad de cifrar y bloquear los backup en estas.

Para ir concluyendo, ¿Qué medidas podemos tomar?

Lamentablemente para nosotros, el ransomware se manifiesta cuando el daño ya está hecho, por eso es importante trabajar con acciones preventivas.
De acuerdo a la guía de aproximación publicada por el INCIBE (www.incibe.es) hay una serie de acciones que son comunes tanto para usuarios domésticos como para entornos corporativos:

La primera acción preventiva que podemos tomar está relacionada a los ataques por ingeniería social. Para evitar este o cualquier otro tipo de ataque similar realizado mediante ingeniería social, lo primero que tenemos que hacer es desconfiar de cualquier mensaje recibido por correo electrónico, SMS, aplicación de mensajería o redes sociales en el que se le coaccione o apremie a realizar una determinada acción o ingresar a un determinado link.
Como pautas generales:

  • No abrir correos de usuarios desconocidos, eliminarlos directamente y no contestar en ningún caso.
  • Revisar los enlaces antes hacer clic aunque sean de contactos conocidos. Desconfíe de los enlaces acortados o utilice algún servicio para expandirlos antes de visitarlos.
  • Desconfiar de los ficheros adjuntos aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el software antivirus/antimalware. En el caso de estos últimos comprobar regularmente que está activo.
  • Utilizar contraseñas robustas y que no tengan permiso de administrador.

La segunda acción preventiva está relacionada a rutinas de backup y la posibilidad de recuperar la información en caso de un incidente. Como pautas generales:

  • Tener procedimientos de backup que se ejecuten en forma rutinaria y permitan resguardar todos los archivos o mínimamente los que consideremos críticos en base a alguna política o definición corporativa.
  • Guardar estas copias de seguridad en un lugar diferente al del servidor de archivos para evitar que sean infectadas. Esto podría ser en discos externos no conectados regularmente a la red o dispositivos físicos como DVD o Blu-Ray.
  • Si el backup lo realizamos mediante algún servicio cloud, desactivar la sincronización persistente.

La tercera recomendación está relacionada a los servicios de email.
Como pautas generales:

  • Contar con filtros de anti spam para evitar que los emails maliciosos ingresen al buzón.
  • Escanear los correos entrantes y salientes para detectar amenazas y filtrar ficheros ejecutables o los comprimidos para evitar que alcancen al empleado.
  • Utilizar la autenticación de correos entrantes, para evitar situaciones de suplantación de correo electrónico o email spoofing.

La cuarta recomendación está relacionada a cuestiones generales como ser:

  • Utilizar siempre softwares antivirus, antimalware y firewalls en los dispositivos de los usuarios.
  • Mantener actualizados los softwares de nuestros dispositivos, ya sea los sistemas operativos, los antivirus, los anti spams, los navegadores o cualquier aplicación o dispositivo de seguridad de utilicemos dentro de nuestra red.
  • Utilizar cuentas de usuarios que tengan contraseñas robustas y que no tengan perfil administrador.

Y la última recomendación es si te infectan:
Como pautas generales:

  • Desconecta inmediatamente los equipos infectados de la red. Esto evitará que el problema se expanda al resto de equipos o servicios compartidos.
  • Si fuera posible, cambia todas las contraseñas de red y de cuentas online desde un equipo seguro. Después de eliminar el ransomware tendrás que volver a cambiarlas.
  • Ponte en contacto con un técnico o servicio especializado para que aplique las medidas necesarias que te permitan recuperar la actividad lo antes posible y desinfectar el equipo.

Y finalmente NO PAGAR EL RESCATE:

  • Pagar no garantiza volver a tener acceso a los datos, recordemos que se trata de delincuentes.
  • Si pagas es posible que seas objeto de ataques posteriores, ya que los cyberdelincuentes saben que estás dispuesto a pagar.
  • En incremento de la situación ilícita y extorsiva, puede que te soliciten una cifra mayor una vez hayas pagado.
  • Pagar fomenta el negocio de los ciberdelincuentes.

Para entornos corporativos estas recomendaciones pueden ser más amplias, como por ejemplo realizar periódicamente una auditoría a los sistemas tanto para poner a prueba los mecanismos de seguridad o para comprender la capacidad de defensa ante un ataque.
Esta auditoria debería considerar aspectos como ser:

  • Implementación de antivirus, antispam, filtrado de contenidos y DLP.
  • Administración de usuarios, permisos y accesos.
  • Dispositivos móviles / BYOD y su acceso a la red.
  • Gestión automatizada de actualizaciones de software.
  • Monitorización del uso de los recursos informáticos y de red.
  • Monitorización y análisis de eventos de seguridad en tiempo real (SIEM).

Adicionalmente, esta auditoria podría incluir acciones específicas como ser:

  • Test de penetración.
  • Auditoría de red.
  • Auditoría de seguridad perimetral.
  • Auditoría web.
  • Monitorización del uso de los recursos informáticos y de red.
  • Auditoría forense.