¿Qué es un ransomware?
Un ransomware es un tipo de malware (software malicioso) que busca bloquear equipos, información o sistemas pidiendo un rescate para desbloquearlo. El pedido de rescate es lo que define esta forma de ataque. Una de las principales características de este tipo de ataques es que tiene muchas variantes para lograr la penetración en nuestros sistemas. En el último tiempo el ransomware se convirtió en una de las peores amenazas en la web, con ataques a todo tipo de organizaciones, sin importar rubro ni tamaño, provocando grandes perjuicios económicos, regulatorios, legales, de reputación e incluso que afectando infraestructuras críticas o servicios esenciales.
¿Cómo nos infectan?
Al igual que otros malwares el ransomware explota alguna vulnerabilidad de seguridad de los equipos, de aplicaciones o de sistemas operativos. Pero también se están aprovechando de vulnerabilidades en sistemas industriales SCADA conectados a Internet, que por su complejidad no cuentan con parametrizaciones de seguridad y en algunos casos hasta cuentan con usuario y password por default. Engañar a usuarios mediante phishing, debilidades en procedimientos de seguridad y otras técnicas de ingeniería social suelen ser otro de los métodos para adquirir cuentas con altos privilegios. Inicialmente los ataques estaban orientados a pequeñas y medianas empresas, pero hoy el negocio parece que se encuentra en grandes empresas, más esfuerzo en el ataque, pero un pago por rescate mucho mayor convirtiéndose en un negocio más grande y lucrativo para estas organizaciones que cada día son más sofisticadas, numerosas y organizadas.
¿Cómo protegernos?
Algunas formas para prevenir o protegerse de este tipo de ataques.
Concientización: Sin dudas, las medidas de concientización y capacitación a usuarios son uno de los puntos más importantes en los que debemos trabajar para la prevención del ingreso de un ransomware. El phishing es una de los principales ataques, tener usuarios prevenidos y capacitados nos ayudará a identificar un correo malicioso.
Doble factor de autenticación, la autenticación de doble factor es otra de las medidas que nos ayudará a protegernos.
Diseño de red, definir correctamente el diseño de nuestra red, mínima exposición evitando exponer al exterior servidores que no son necesarios, definir correctamente la DMZ (zona desmilitarizada, es una red local que se ubica entre la red interna de la organización y la red externa) y contar con equipos de seguridad bien configurados.
Monitoreo de la red, verificar escalamiento de privilegios y eventos inusuales son algunos de los indicadores a tener en cuenta.
Copias de seguridad, estar preparados para recuperar la información en caso de que nuestros archivos sean cifrados por un ataque, puede llegar a ser nuestra única manera de recuperarnos.
Políticas y procedimientos, contar con procedimientos que nos ayuden a mantener nuestros equipos y software actualizados como también restringir el uso de aplicaciones no permitidas.
Mínimos privilegios, apunta a evitar que los usuarios tengan más privilegios de los que necesitan, si bien es un principio básico de seguridad seguimos viendo que no se cumple en grandes organizaciones.
Auditoria, contar con un equipo especializado para revisión y monitoreo de todos los puntos mencionados anteriormente.
Comité de crisis, también hay que trabajar sobre las medidas correctivas, para ello el comité debe trabajar sobre un plan de respuesta a incidentes para tener claro los pasos a seguir y las acciones a tomar en caso de ser afectados por un ransomware El Comité dejo de ser necesario para ser imprescindible.
En Crearis Latam contamos con herramientas que permiten identificar trafico malicioso y un equipo de profesionales con experiencia en implementación de medidas de prevención, forensic sobre ataques de ransomware y en el armado y gestión de Comités de Crisis.