RANSOMWARE: SOFTWARE MALICIOSO DE ALTO IMPACTO

By | noviembre 9, 2021

 

Nombre : Ransomware

Tipo      : Malware

Orden   : Cibercrimen

Modo   : Hacking


Definición

Se le denomina Ransomware a un conjunto de código informático invasivo, conocido como software malicioso, que tiene por objetivo raptar el o los aparatos computacionales (computadores y servidores) y cifrar los datos importantes. El término genérico viene de la contracción de la palabra Ransom (rapto) Ware (aparato)

Objetivos

Cometida la intromisión y una vez cifrado los datos, bloquea los accesos, neutraliza el acceso del administrador y se adueña del control del equipo con el propósito de cobrar rescate de la información y causar daño.

Alcance

Es una amenaza dirigida a las empresas con fines de extorsión económica. Amenazan con publicar los datos si no se procede al rescate, generalmente cobrados en Criptomonedas.

Medio

Aprovechando la permisión de intrusión, buscan alguna vulnerabilidad por distintos medios, ya sea por un pendrive, redes sociales, phising o suplantación de identidad, link o enlaces en correos o paginas web desconocidas, credenciales débiles y si se dan cuenta el factor importante de vulnerabilidad lo aporta el usuario. Últimamente el llamado concepto de Ingeniería Social con lo que de esta forma accede al control, instala el software malicioso, desarrollando el cometido de bloquear y tomar el control del aparato. Normalmente, entre otras cosas, sucede cuando el sistema operativo no está actualizado con todos los parches que corrigen posibles intrusiones. El software malicioso explora puertos de entrada y salida, como es el 445/TCP o 2049 de los protocolos de nivel de aplicación entre ellos el protocolo de Intercambio de red CIFS (common Internet file system) con lo que evitamos que la amenaza haga peticiones de archivos y servicios en ordenadores remotos a través de Internet  o NFS (Network File System) que permite a un usuario de equipo ver y, opcionalmente, almacenar y actualizar archivos en un equipo remoto como si estuvieran en el propio equipo del usuario.

 

Variantes

El ransomware ataca cifrando archivos valiosos para que no pueda acceder a ellos, o bien bloqueando tu acceso al ordenador para que no se pueda utilizar.

El ransomware que utiliza cifrado se llama ransomware de cifrado. El tipo que bloquea tu acceso al ordenador se llama ransomware de bloqueo. En este contexto, a medida que entre en mutación la variante nace con otras y mas sofisticaciones que la hacen potencialmente un amenaza compleja de combatir.

Entre los más conocidos está:

Wanna Cry – en 2016 afectó a equipos con sistema operativo Windows en donde los deprecados o desatendidos fueron blancos de acto malicioso.

El Ransomware es como el Covid, en el sentido que se propaga, logra su propósito y luego aparece o se desprende de esta una mutación viralizándose y volver al ciclo. Se estima que este tipo de software malicioso va aumentando y escalando su propagación con sus variantes y complicaciones introducidas.

 

Acciones de mitigación en la Gestión de riesgo

Consideraciones mínimas en 2 etapas:

Primera Etapa:

La primera tiene que ver con la prevención, es decir, antes de ser víctima y para esto se deberá considerar un plan de acción con herramientas para detectar, proteger y recuperar el activo de la información

  • Mantener el software instalado con sus actualizaciones y parches vigentes
  • Full antivirus de monitoreo local y en la nube
  • Generar una cultura de acción entre los usuarios en relación con evitar a ser infectados, evitando las amenazas basadas especialmente con la ingeniería social
  • Proteger los servidores y sus accesos con los protocolos de seguridad para el activ directory principalmente. Generar flag escalonado de acceso en términos de limitaciones en las carpetas de los usuarios y la información.
  • Utilizar la autenticación multifactorial para cuentas administrativas con políticas de generación claves “strong” (duras). Implementar la autentificación de dos factores para todas las cuentas  de administrador de copia de seguridad y asegurarse de que las cuentas estén configuradas con el privilegio mínimo requerido para funcionar.
  • Gestionar el cortafuego en términos de funcionalidad y vigencia. En la actualidad hay Hardware sofisticado que actúa como cortafuego de protección MOZ y herramientas de vigilancia como es el Centinela de Microsoft. En este tipo de herramientas también están las que protegen los Accesos VPN

 Segunda Etapa

La segunda es cuando ya estamos en una contingencia de ataque por lo que se requerirá cerrar “puertas” y “ventanas”. Acorralar y no permitir su avance. Ninguna solución por si sola puede proteger completamente a una organización de ataques de ransomware. En términos generales, para esta etapa tomar estas consideraciones mínimas:

  • Identificar el vector de ataque y proteger las funciones del administrador
  • Establecer el apetito de riesgo, medir probabilidades y el impacto
  • Gestionar el cortafuego; Cerrar Puertos principales respecto a los protocolos de nivel de aplicaciones, entre ellos, ya mencionados el 445/TCP o 2049 (CIFS y NSF)
  • Proteger el Servidor de Respaldo, (Copias de seguridad), considerando que en algún momento se deberá levantar el servicio.
  • Crear un entorno de recuperación aislado: Hacer que la recuperación de ransomware a través del entorno IRE (vigilancia por escaneo de datos) forme parte de su plan de recuperación ante desastres e incluirlas en futuras pruebas de recuperación ante desastres.

En este punto se recomienda que el encargado TI debe estar en constante actualización de conocimientos y haber formado líneas o redes de contacto en el area de ciberseguridad, tomando lecturas de actualidad y en este contexto les dejo un interesante sitio web que esta orientado al seguimiento de malwares y la eliminación de Malwares del tipo Ransomware «No more ransom«

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.