El Ransomware es un negocio multimillonario que afecta a las organizaciones a nivel mundial a través de sus usuarios. La clave para estar protegido contra el ransomware es poner especial cuidado a la protección de cada usuario con soluciones que incorporen tecnologías que trabajen en conjunto para detectarlo de manera confiable.
- Detección basada en firmas.
Todos los objetos en el mundo digital contienen atributos específicos que pueden ser utilizados para identificarlos, a esto se denomina firma digital. Cada variante de ransomware no escapa de tener asociada una firma específica que lo identifica. Incorporar estas firmas de forma regular a la base de datos de su solución antiransomware, permitirá identificar archivos que contengan la firma maliciosa, para identificarlos como una amenaza y así poder bloquearlos.
2. Detección basada en Comportamiento.
La detección basada en firmas es una forma eficiente de detener el ransomware conocido, sin embargo, es incapaz de detectar nuevas variantes de ransomware que aún no hayan sido estudiadas para obtener su firma digital. Por este motivo la detección basada en comportamiento es fundamental.
La detección basada en comportamiento trabaja mediante la detección de patrones de conducta que son inusuales, para detener todo programa malicioso antes que pueda hacer cambios en su sistema.
Patrones como creación automática de archivos, intentos de cifrado de archivos, intentos de eliminación de archivos, podrían indicar la presencia de un ransomware que debe ser bloqueado.
La detección basada en comportamiento puede detectar de forma confiable casi todo tipo de malware, aún cuando su sistema de detección basado en firmas se encuentre desactualizado.
3. Prevenir la explotación de vulnerabilidades.
El inicio de un ataque de ransomware, usualmente comienza con la explotación de alguna vulnerabilidad del sistema operativo del computador o de alguno de los programas que utiliza. Por esta razón es que es tan importante mantener actualizados nuestros programas como estrategia de prevención.
Típicamente lo que ocurre al explotar una vulnerabilidad, es que el cyberdelincuente logra una forma para comprometer su sistema, permitiéndole reconocer el equipo o su entorno de red, hurtar sus credenciales, propagarse a otros equipos aprovechando la misma vulnerabilidad u otra presente en los otros equipos. Sólo al final, el ransomware secuestra su información. Al entender todo el proceso del ataque, se puede entender que es un proceso elaborado que toma su tiempo y que ocurre por descuido o falta de atención del usuario.
La idea es detener el ataque en sus fases tempranas, antes que culmine el ataque de ransomware. Al detener cualquier inyección de código a través de programas comúnmente utilizados, por ejemplo, prevenir la ejecución de scripts desde las aplicaciones de Microsoft Office, se previene la ejecución de código malicioso y se reduce la capacidad de maniobra del ataque.
La prevención de la explotación de vulnerabilidades asegura la detección y bloqueo del ransomware en las fases tempranas del ataque, independientemente del método de infección, sea por email, por escritorio remoto, navegación ocasional o vulnerabilidades no parcheadas.
4. Protección con Password.
El Ransomware no se despliega de forma instantánea. Es una ataque que típicamente demora algunos días, semanas y hasta meses. Los cyberdelincuentes se toman su tiempo en reconocer su objetivo para maximizar el impacto del ataque. Parte de este proceso involucra deshabilitar cualquier proceso de seguridad existente en el sistema objetivo, lo cual asegura que este malware no sea detectado e impedido su despliegue.
La protección con password es una forma eficiente para evitar que puedan deshabilitar la solución de seguridad que se tenga implementada en los sistemas de los usuarios. Mejor aún, si la protección por password es establecida de forma centralizada desde un servidor de administración que se encuentre fuera de la red corporativa, preferiblemente en la nube. Al no existir un mecanismo local para el ingreso de la contraseña, se hace mucho más complicado que el cyberdelincuente pueda obtener acceso o interceptar estas contraseñas.
5. Alerta de Ataque al servicio RDP.
RDP es el protocolo de Escritorio Remoto, que suele ser utilizado para tener acceso a servidores. Este protocolo es uno de los vectores de ataque más ampliamente utilizados en los últimos tiempos, motivado a la necesidad de implementar mecanismos de Teletrabajo.
En estos casos, el cyberdelincuente inicia el despliegue del ransomware mediante la ubicación de servidores que tengan el protocolo de RDP expuesto hacia el Internet. Al detectar que el puerto de la aplicación responde al intento de conexión, inicia un ataque de fuerza bruta para obtener las credenciales de dicho servidor. Una vez que ubican una cuenta que posea privilegios administrativos, el atacante podría hacer de todo en la red comprometida.
Disponer de un mecanismo que alerte de los intentos de acceso fallidos a nuestros servidores por RDP, nos permite tomar decisiones como: el bloqueo de las direcciones IP de los atacantes, deshabilitar el servicio RDP en demanda para que sólo permanezca activo durante el período de tiempo que lo necesitamos, utilizar mecanismos de endurecimiento y rotación de contraseñas o en el mejor de los casos utilizar mecanismos de autenticación de múltiple factor que impida el éxito en el secuestro de una cuenta que posea privilegios administrativos.
Conclusión
La protección contra el ransomware requiere poner mucha atención a los equipos y sistemas de nuestros usuarios (eslabón débil de la cadena) y utilizar estas cinco tecnologías de protección de forma simultánea, lo cual se entiende como una estrategia multicapa.
El escenario ideal apunta a que estas tecnologías puedan estar incorporadas en un sólo producto que facilite su implementación y abarate su adopción en los equipos de los usuarios. Sin embargo, también puede adoptarse cada tecnología de forma independiente, con soluciones más especializadas y costosas. Incluso puede adoptarse la estrategia multicapa en distintas zonas de seguridad de la red corporativa.
No puede, ni debe descartarse, el uso de un buen mecanismo de respaldo de los datos, que se encuentre preferiblemente fuera del alcance de los atacantes de la red. Hasta hace poco tiempo se solía decir que la única forma de asegurar la continuidad del negocio era mantener los mejores backups posibles. Sin embargo, los cyberdelincuentes saben esto y no sólo secuestran los datos operativos, también sustraen los respaldos existentes.
Todo lo relacionado con WatchGuard, eScan, Paessler y nuestros comentarios acerca de Seguridad IT 