Ir al contenido principal

[Recomendado] - Buenas prácticas contra ataques de ransomware


(Una serie de apuntes que iremos actualizando con el tiempo)

¿Que és el ransomware?

  • Captura data, encripta.
  • El atacante solicita una recompensa.
  • Se distribuye por email, sitios web.

¿Por qué se ha vuelto tan popular?

  • Uso del Bitcoin para solicitar los rescates. Alza del precio del Bitcoin.
  • Surgimiento del Ransomware-como-servicio que permite a cualquiera realizar ataques.
  • Debilidades en la detección desde el Sistema Operativo. Defensas en desarrollo.
  • Usuarios poco entrenados en ciberseguridad.
  • Los atacantes han mejorado sus habilidades en ingeniería social.

Acciones efectivas

  • Debe realizar un backup periódico de los archivos.
  • Procure educar a los empleados en ciberseguridad con regularidad. (Seguridad Proactiva)
  • Verifique periodicamente los backups.
  • Instale los backups separados de la red local.
  • Configure las medidas de restricción de ejecución.
  • Haga que sus empleados usen las computadoras con derechos restringidos, no como Admin.
  • Debe procurar estar al día con las actualizaciones de software.
  • Debe mantener actualizado MS Office. Activar la vista protegida.
  • Debe mantener actualizado el antivirus.
  • Establezca un plan de continuidad de negocio.
  • Establezca un plan de respuesta a incidentes.
  • Realice un análisis de riesgos. Enumere sus activos más importantes. Planifique la defensa.

Protección del email

  • Ordene a su administrador de red establecer filtros robustos anti spam
  • Bloquee los archivos adjuntos de remitentes desconocidos. Bloquee adjuntos con extensiones MS Office antiguas (.doc, .xls)
  • Haga una lista blanca de extensiones de archivos permitidos en los adjuntos.

Protección en nivel de red

  • El firewall debe limitar o bloquear RDP (Escritorio remoto), WMI y otros servicios de administración.
  • En las computadoras de usuarios, quite derechos administrativos innecesarios.
  • Establezca una lista blanca de programas permitidos en su empresa.
  • Limite el permiso de escritura a pocos directorios.
  • Limite la ejecución de Windows Script Host, macros de MS Office, Extensiones relacionadas a ejecutables y acceso directo, PowerShell.
  • Establezca la restricción de ejecución desde %LocalAppData% y %AppData%.
  • Permita que los usuarios puedan ver las extensiones de archivos conocidos en el Explorador de Windows.
  • Realice una prueba periodica de penetración.
  • Solucione las vulnerabilidades reportadas por las pruebas de penetración.
  • Configure el firewall para el bloqueo de IPs maliciosas.

Si es afectado por el ransomware...

  • Si se encuentra en un periodo temprano de infección, apague el sistema de inmediato para prevenir la propagación del cifrado en el disco.
  • Si ya lleva mucho tiempo, desconecte inmediatamente el equipo de la red para evitar la propagación.
  • La desconexión incluye Wifi, Bluetooth, conexiones hacia almacenamiento externo por USB. No apague el equipo.
  • Tome un snapshot del sistema (RAM y disco) en el equipo recién infectad. Tendrá una oportunidad para localizar las claves (o no).
  • Averigue el canal de ataque, si se trata de un email o un archivo en USB. De esta manera podrá prevenir otro ataque.
  • En su centro de computo, bloquee el acceso a la red de todos los equipo de inmediato para impedir que nuevas computadoras infectadas con el ransomware contacte con su centro de comandos.
  • Limpie los equipos con un antivirus actualizado. Para una recuperación completa considere reinstalar el Sistema Operativo.
  • De ser posible, cambie las contraseñas usadas en servicios online y red local de los usuarios afectados. 
  • Notifique a las autoridades. Pueden ayudarlo en la investigación y comunicar actividades que ayuden en la captura de los criminales.

Evite pagar el rescate

  • Si paga el rescate, está financiando a los atacantes para que realicen nuevos crímenes.
  • El pago no garantiza el rescate de los archivos. Solo refuerza el modelo de negocio de los atacantes.
  • El desarrollo del ransomware seguirá mejorando. Debe mantenerse preparado.
  • Use las buenas prácticas para proteger su organización.
  • Realice simulacros y pruebas periodicas para confirmar sus defensas.

Fuente

Ransomware: Best Practices for Prevention and Response

https://insights.sei.cmu.edu/sei_blog/2017/05/ransomware-best-practices-for-prevention-and-response.html

https://www.us-cert.gov/sites/default/files/publications/Ransomware_Executive_One-Pager_and_Technical_Document-FINAL.pdf


Comentarios

Entradas más populares de este blog

Guía simple para optimizar Elementary OS Loki después de instalar

¡Buen día! esta guía está destinada a configurar Elementary OS para mejorar el rendimiento de memoria, procesador y mejoras en la seguridad:

Dejamos a tu libertad elegir uno o varios de los pasos. Comencemos:
1. Recomendamos desinstalar las aplicaciones que posiblemente no necesites: Te recomendamos desinstalar la siguiente selección:
Correo - Si te gusta usar el correo web como Gmail u Outlook.Calendario - Si crees que los calendarios web de Google u Outlook son mejores.Camera - No es necesario tener instalada esta aplicación para atender Hangout o Skype via navegador.Ayuda - Ayuda de Unity. La ayuda de sitios web, youtube y foros es mejor.Scratch - Hay mejores editores en la tienda como gedit o leafpad. Scratch nos parece genial, pero todavía tiene unos bugs.Simple Scan - Elimina esta aplicación si no tiene escaner.Bluetooth - Si tu computadora no tiene Bluetooth.Noise o Música - Las últimas versiones escanean demasiado la carpeta música, puedes cambiar por otro reproductor como A…

[Video] - Proemtheus, email descentralizado usando blockchain

La startup Proemtheus se encuentra recaudando fondos para desarrollar un servicio de email distribuido, distinto a los servicios como gmail, yahoo o hotmail, que son gratuitos a cambio de las implicaciones en la privacidad. Como decía un viejo dicho encontrado en twitter: "cuando el producto es gratis, el producto eres tú".

Para lograr el servicio de email alternativo, Proemtheus pretende desarrollar su servicio aprovechado la tecnología blockchain. Ya habíamos hablado de esto antes en una predicción de betatecno de 2015 y en el desarrollo del servicio distribuido de internet de blockstack.org.

La aparición del blockchain recuerda el mismo fenómeno ocurrido en los inicios de internet y la aparición de la web. Se trata de una tecnología que cambiará por completo el uso de los servicios en el internet.


[Video] - Deep Web y Bitcoin explicado por Keanu Reeves

La Deep Web es real. Representa todo el contenido no indexado en la red. Es extensa. Una manera de acceder es usando Tor.

Como si se tratara de un extraño sincronismo, la voz del actor Keanu Reeves (Neo en The Matrix) participa en la narración de un video promocional del documental Deep Web, advirtiendo la diferencia entre Deep Web y la DarkNet, así como el uso del Bitcoin.

El documental se encuentra en Netflix
The Deep Web Explained by Keanu Reeves from Duncan Elms on Vimeo.


Bitcoin Explained by Keanu Reeves from anotherplace.tv on Vimeo.