Entradas Etiquetadas :

Ransomware

errores ransomware prestigia seguridad
Errores comunes bajo ataques de Ransomware
1020 680 Prestigia

Cuanto mejor manejéis los ataques de tipo ransomware cuando sucedan, menor será la posibilidad de que el impacto sea mayor. En este artículo, veremos las cosas que puedes hacer para reducir la probabilidad de un ataque de malware y cómo manejarlo si ocurre, tanto durante el ataque como después y evitar posibles errores ante el pánico de la situación.

Si pensamos en los ataques de tipo ransomware (malware que cifra los datos de nuestros equipos y servidores como rehenes), los cibercriminales pueden ganar millones de euros con una sola variedad de ransomware, por lo que el motivo financiero su principal objetivo. Como sabéis, abundan las oportunidades para distribuir el malware, desde ataques de phishing contra usuarios hasta incrustarlo en parches de software legítimos atacando a la cadena de suministro.

¡Que no cunda el pánico!

Obviamente, no existe una defensa perfecta contra el ransomware. Si la hubiera, los ataques no habrían aumentado en órdenes de magnitud estratosférica, especialmente en los últimos años. Dicho esto, hay pasos que puede seguir para reducir el riesgo, como por ejemplo formar al personal para detectar y evitar ataques de phishing y para no abrir archivos adjuntos de correo electrónico peligrosos, ayudará a mantener alejado el ransomware de nuestra empresa o pyme. Mantener el software actualizado ayuda a detener los ataques que aprovechan las vulnerabilidades conocidas, sin embargo, los expertos también recomiendan un enfoque de seguridad en capas que incluye firewalls, análisis web y antivirus.

La prevención y preparación es excelente y evitará ataques de ransomware, pero tu defensa más importante contra el ransomware es la mitigación: planificar con anticipación para limitar el daño y ayudar a recuperarse rápidamente de un ataque. Puedes estar mejor preparado antes de que se produzca un ataque de ransomware si estableces una relación con un proveedor de respuesta a incidentes de igual forma, externalizando tu seguridad. Calma bajo fuego cruzado, os damos algunos consejos:

  • No apagues las maquinas infectadas, dejar las máquinas en funcionamiento puede preservar datos vitales para una investigación forense posterior.
  • Las máquinas infectadas se pueden aislar desconectándolas de la red, ya sea desconectando los cables de red o desactivando los puertos en la infraestructura de red.
  • No borres los ficheros cifrados, es posible que los necesites para la recuperación de los datos.
  • No restaurar la copia de seguridad hasta que se conozca el alcance completo del incidente y se haya creado un plan de remediación.
  • Asegura tu perímetro de red.
  • Aislar copias de seguridad.
  • Cierra los puertos expuestos en internet y cualquier otro acceso externo abierto.
  • Cambiar credenciales de usuario de los administradores.
  • Cambiar las credenciales de los usuarios.
  • Recopilar evidencia del malware.
  • Evalúa y planifica tu estrategia de restauración a través de las copias de seguridad disponibles.

Es imposible detener todos los ataques, pero hay pasos que las empresas y pymes pueden tomar para disminuir las posibilidades de infectarse con malware. A medida que los atacantes continúan buscando nuevas formas de explotar nuestros sistemas e información, debemos permanecer atentos para asegurarnos de haber realizado nuestros deberes para ayudar a prevenir y detectar estos ataques.

En vuestra empresa, ¿habéis sufrido algún tipo de ataque de malware? ¿Cómo actuasteis ante el incidente de seguridad? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

Ransomware Calavera Hacker Hacking
Consecuencias de una mala planificación IT ante un ciberataque.
1024 693 Prestigia

Uno de los negocios más lucrativos para los delincuentes es la Ciberdelincuencia. Se considera que ya suponen un valor de alrededor de un 0,8% del PIB Mundial (entre 445.000 y 600.000 millones de dólares). Y esto es debido al anonimato y protección de internet, y a la par, a la facilidad para hacerlos. Además, los ciberdelincuentes se aprovechan de los errores humanos en la mayoría de casos para que sus ataques sean efectivos. Los últimos estudios indican que el 95% de los casos de ciberataques necesitan de un fallo humano (o más) para ser efectivos.

Uno de los ataques más efectivos (y lucrativos) son los ataques Ransomware (o también conocidos como Cryptolockers). Estos ataques aprovechan un descuido de un usuario o una mala implementación de seguridad de un entorno empresarial para poder ejecutar un programa (conocidos como Ransomware) que encriptará la información de la empresa.

Como muestra, os explicamos uno de los últimos casos que hemos conocido. En este caso fallaron muchas cosas, y los atacantes pudieron hacer uno de los ataques más efectivos que hemos visto.

Vamos a exponer desde el punto de vista técnico un ejemplo en el que la afectación ha sido importante y en que unas medidas de seguridad insuficientes y ciertos errores en la planificación IT propiciaron unos importantes quebraderos de cabeza a la empresa.

La empresa empieza a detectar ficheros encriptados, con afectación a un número importante de servidores, lo que le impide trabajar con normalidad hasta el punto de dejar la empresa totalmente inoperativa ya que dejan de estar operativos los sistemas IT. Cuando se intenta recurrir a las copias de seguridad estas también están afectadas ya que el ataque se propaga también a través del sistema de copias de seguridad que no esta correctamente aislado y además uno de los equipos de backup esta averiado.

Se identifica que el ataque se ha propagado y generado distintos códigos desde varios servidores, lo que dificulta la recuperación de los datos. Se analiza el ataque en busca de soluciones para su recuperación pero no hay ningún sistema conocido que permita esta gestión, con lo que a la empresa solo le queda la opción de contactar con el atacante y pagar el rescate, la peor de las opciones y que genera muchas dudas sobre la efectividad, a parte del alto riesgo que conlleva.

Esta gestión finalmente les permite una recuperación parcial de los datos, al ser diferentes servidores el ataque genera diferentes códigos y incluso pagando el rescate resulta complicado recuperar los datos. Con la ayuda de los especialistas técnicos en ciberseguridad se consigue agilizar la localización de las fuentes del ataque y agilizar el proceso de recuperación, así como lo mas importante de cara al futuro, que es evitar que vuelva a ocurrir este grave suceso.

Todo ello lleva a esta empresa a estar con graves afectaciones durante mas de dos semanas, y afectaciones menores que se prolongan durante meses hasta volver a la normalidad. Analizando el ataque y con una posterior auditoria podemos resumir qué ha fallado y los principales errores cometidos que han permitido esta grave afectación:

  1. Errores en la planificación de la infraestructura IT: gran cantidad de usuarios (incluso externos) con permisos de administrador que permiten al atacante llegar hasta todos los recursos y datos de la red. Insuficiente seguridad en el acceso a los datos críticos de la empresa. Configuración DNS errónea que impide identificar correctamente el origen del ataque detectado por la herramienta de seguridad perimetral y endpoint.
  2. Copias de seguridad incorrectamente configuradas: sin copia o réplica aislada y encriptada en la nube u offline en soporte externo.
  3. Ausencia de elementos adecuados de protección a nivel perimetral y endpoint. Las soluciones avanzadas permiten detectar ataques desconocidos de este tipo mediante nuevos sistemas de análisis: deep inspection, escaneo en la nube via sandboxing, análisis de comportamiento y machine learning, entre otros.
  4. Comunicaciones inseguras: accesos desde fuera de la empresa no suficientemente controlados, aun disponiendo de conexiones VPN. Wifi insegura con acceso a los datos de la empresa. Redes incorrectamente segmentadas.
  5. Carencia de formación y phishing experiment a los usuarios: es necesario que los usuarios dispongan de una formación adecuada en el uso de la tecnología y la prevención de ataques, focalizado principalmente a la detección precoz de phishing, spear phishing y spoofing. Se recomienda también testear mediante herramientas de phishing experiment y similares la efectividad de la formación realizada a los usuarios.
  6. Ausencia de plan de contingencia. El hecho de no disponer de un plan de contingencia ante este tipo de situaciones provoca una crisis importante, disponer de este plan ayudará a volver cuanto antes a la normalidad y operativa diaria en un breve plazo de tiempo.

Todos estos puntos nos permiten llegar a conclusiones sobre las acciones a realizar para minimizar las probabilidades de recibir este tipo de ataques y evitar que nos puedan afectar gravemente, ya que a día de hoy nos es posible evitarlos al 100%. El paso previo para la mayoría de empresas es realizar una auditoria de seguridad, para luego implantar las soluciones recomendadas en las conclusiones.

Hoy en día la inversión en tecnologías y concienciación en ciberseguridad es una prioridad para proteger debidamente la empresa ante afectaciones directas a tesorería, reputación y productividad y así deben valorarlo los consejos de administración y dirección de las empresas.

*Post invitado, por Jordi Bartes, IT Consultant en Infoself Grouppartner de Prestigia Seguridad

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.