FlagViernes, 24 Noviembre 2017

 

 

logo forcepoint gde

 

El ransomware es un tipo de software malicioso que amenaza con publicar los datos de la víctima o bloquear permanentemente su acceso a menos que se pague un rescate.

A través de una notificación se nos informa que el acceso a nuestros datos o dispositivo está restringido y que debemos realizar el pago para recuperar dicho acceso. Una vez efectuado el pago, el ransomware nos “garantiza” el acceso a nuestra información o a nuestros sistemas.

Algunos ejemplos de ransomware son:

SCAREWARE: Exige un pago utilizando amenazas de acción futura con tácticas de intimidación. Los archivos o sistemas del usuario no han sido afectados.

LOCKERS: Hace la promesa de volver a conceder acceso a la pantalla o al sistema del usuario al mismo tiempo que pide el pago.

CRIPTO-RANSOMWARE: Habiendo cifrado los archivos del usuario, el Cripto-ransomware ofrece la clave de descifrado a la víctima a cambio de una retribución. El Cripto-ransomware puede afectar archivos locales y archivos hospedados en redes compartidas. Los archivos cifrados que no pueden recuperarse se convierten en un incidente de “destrucción de datos”. El ejemplo más claro y reciente es WannaCry.

¿Cómo funciona el Ransomware?

El ransomware se disemina, principalmente, a través de archivos adjuntos en el correo electrónico (los documentos de Microsoft Office son particularmente populares). También se distribuye con programas infectados o al descargar archivos ocultos de malware (drive-by) desde sitios web comprometidos.

Los autores del ransomware utilizan técnicas de ingeniería social para alentar a los usuarios finales a descargar, ejecutar o hacer clic en el contenido malicioso. Finalmente y después de ejecutarse, el ransomware comienza a hacer el cifrado de los datos una vez que ha enumerado todos los controladores y buscado los tipos de archivo objetivo.


Muchos de los ataques que involucran ransomware también son Ataques Persistentes Avanzados (APTs). Estos ataques se realizan en siete fases:

1.- Reconocimiento

2.- Señuelo
En estas dos primeras fases el atacante se enfoca en obtener información de inteligencia de su objetivo (compañía o empleados específicos). Con esa información el atacante puede desarrollar un señuelo destinado a conseguir el acceso confiable hacia la red. El objetivo aquí es hacer que el usuario haga clic en la URL de un mensaje de correo electrónico, de un mensaje personal o de alguna otra forma de enlace web.

3.- Redireccionamiento
El atacante puede enviar una URL como parte de un mensaje. Esto puede ser completamente inofensivo y hasta parecer benigno para la mayoría de las soluciones de seguridad instaladas. Sin embargo, el malware contenido en el mensaje puede estar a muchos clics de distancia, o puede tener un código oculto que automáticamente redirecciona al usuario al sitio que si contiene el malware.

4.- Explotación de Vulnerabilidad
El kit de explotación es una pieza de software lo suficientemente inteligente para detectar brechas en las defensas de seguridad. Si existen brechas, se desplegará y se instalará. Durante esta etapa, la seguridad en tiempo real es esencial. Es necesario tener la capacidad para inspeccionar el tráfico en el momento en que se hace clic.

5.- Archivo detonante

6.- Alerta al cibercriminal
Estas dos fases, son pasos adicionales que puede realizar un atacante. El kit de explotación puede traer consigo un archivo cuentagotas que se descarga en el equipo de cómputo una vez que tiene acceso a información confidencial. También puede generar una "llamada a casa" al atacante para seguir recibiendo instrucciones.

7.- Robo de datos
En esta etapa final el atacante ha logrado atravesar las defensas. Puede tratarse también de un empleado que ha sido vulnerado o que tiene malas intenciones y que intentará enviar información confidencial a través de diversos canales web, email o endpoints. En ese momento, la organización necesita una solución que pueda detectar cualquier intento de robo de datos.


¿Cómo me protejo?
Es importante contar con tecnologías de seguridad para defenderse en vectores de ataque relevantes, en este caso la web y el correo electrónico. Asimismo, se requieren herramientas de monitoreo y elaboración de informes para detectar y derrotar a las amenazas entrantes.

Se debe implementar un programa continuo de educación para el usuario y capacitación para alertar al personal sobre los peligros de visitar páginas web inseguras así como de la apertura de correos sospechosos o de phising.

También se necesita establecer un proceso de copia de seguridad de datos confiable y evaluado (preferentemente fuera de línea) en toda la empresa. Esto puede ayudar a recuperar los archivos sin pagar por un rescate. Al notificar a los usuarios finales sobre los incidentes de Ransomware y determinar si hay puntos débiles en la infraestructura o procesos que puedan ser aprovechados por tácticas de Ransomware se pueden eliminar las brechas de seguridad.

Es indispensable diseñar e implementar un plan de respuesta a incidentes para que pueda reaccionar ante el Ransomware.

El pago de un rescate para recuperar datos sería mejor aprovechado si se invierte en medidas de seguridad más efectivas para evitar incidentes similares en el futuro (como la educación para los usuarios y un entorno seguro de URL y archivos).

Debemos implementar controles en los puntos de salida de la red, tales como:

• Reglas de firewall para bloquear el tráfico de comando y control, así como neutralizar las técnicas de evasión que se pueden utilizar para entregar cargas maliciosas.
• Controles avanzados de protección contra amenazas, que incluyen entorno seguro, para proporcionar una defensa contra ataques de día cero y otras técnicas de malware altamente evasivas.
• Soluciones de seguridad web para bloquear destinos desconocidos (no categorizados) y realizar un análisis en tiempo real del contenido en la web.
• Soluciones de seguridad de correo electrónico para bloquear las amenazas que ingresan por esa vía.

Las siguientes medidas de control en dispositivos finales deben ser tomadas en cuenta, en especial para usuarios remotos e itinerantes.

• Mantener el antivirus actualizado.
• Usar una herramienta para dispositivos finales para bloquear aplicaciones maliciosas y prevenir la fuga de datos.
• Aplicar seguridad web para dispositivos finales que están fuera de la red.
• Hacer un análisis del comportamiento de los usuarios para identificar y bloquear la actividad sospechosa en dispositivos finales clave, incluso cuando operan fuera de la red.


Ramón Castillo, Ingeniero de Preventa Senior en Forcepoint para México y Centroamérica

 

 

 

 

 

 

 

Te puede interesar...

Canalys Channels Forum 2017 se concentra en clarificar las oportunidades del canalCanalys Channels Forum 2017 se concentra en clarificar las oportunidades del canal
18 Nov 2017 01:51 - Carlos Soto

  Cobertura Especial. Con sede en Buenos Aires, Argentina, Canalys Channels Forum 2017 ha de [ ... ]

Balabit se expande a América Latina con Onistec como socioBalabit se expande a América Latina con Onistec como socio
24 Nov 2017 18:57 - Redacción

  Balabit anunció un acuerdo de distribución con Onistec para impulsar los esfuerzos de la [ ... ]

Hanwha Techwin presentó su renovado programa de canalesHanwha Techwin presentó su renovado programa de canales
03 Nov 2017 19:57 - Adrián Rivera

  Hanwha Techwin presentó su renovado programa de canales denominado STEP a un grupo select [ ... ]

Spammers aprovechan la euforia del blockchain: Kaspersky LabSpammers aprovechan la euforia del blockchain: Kaspersky Lab
13 Nov 2017 14:14 - Redacción

  Kaspersky Lab dió a conocer su informe de Spam y phishing del tercer trimestre de 2017, e [ ... ]