Conecta con nosotros

Guías

Cómo prevenir y solucionar ataques Ransomware

Publicado

el

Los ataques Ransomware están a la orden del día y han sido una de las técnicas de infección de malware más agresivas de 2015.

Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como «rescate» para liberarlos.

Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad.

Puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles) y su motivación es casi exclusivamente económica. Los últimos ataques Ransomware han confirmado que los desarrollos son cada vez más sofisticados y peligrosos como vimos a finales de año con la actualización del Angler Exploit Kit, uno de los “cócteles” maliciosos para ransomware más potentes que existen, con la suma de CryptoWall 4.0 que ofrece un cifrado fuerte casi irrompible.

A comienzos de este año conocimos un desarrollo aún más peligroso denominado Ransom32 que se vende en la Deep Web y que puede afectar por igual a equipos con Windows, Mac y Linux porque se trata de un “Ransomware como servicio”. Escrito en Javascript, utiliza Node.js y se ejecuta sobre la plataforma NW.js para cifrar los ficheros y exigir el rescate habitual de estos virus-estafa. Tiene semejanzas con Cryptolocker (uno de los desarrollos más populares), se apodera de los archivos personales del equipo bajo un fuerte cifrado usando una clave pública RSA-2048, con la clave de descifrado incluida en un servidor secreto en Internet. Cuando apareció, solo 7 de 54 antivirus fueron capaces de detectarlo.

Ransom32

Para intentar frenar esta amenaza, el CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional) ha publicado un interesante informe denominado «Medidas de seguridad contra Ransomware», que todo usuario deberíamos conocer porque repasa desde los conceptos básicos de este malware, las vías de infección, las medidas preventivas, las medidas reactivas y la restauración de ficheros o su descifrado cuando es posible.

Lo más interesante es la lista de medidas preventivas a adoptar en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente los ataques Ransomware. Los hemos comentado en otras ocasiones pero no está de mal recordarlos porque la prevención es siempre la mejor fórmula:

  1. Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados.
  2. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado.
  3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas).
  4. Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail.
  5. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas.
  6. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control.
  7. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days).
  8. No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware.
  9. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto.
  10. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo «Privacy Manager», que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits).
  11. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.
  12. Adicionalmente, se recomienda la instalación de la herramienta «Anti Ransom», que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando «honey files»). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  13. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse.

Si a pesar de todo lo anterior detectamos una infección, CCN-CERT recoge medidas reactivas a adoptar de inmediato para poder frenarlo. El informe indica también las preguntas a desarrollar para comunicar el incidente a los equipos de seguridad y la valoración de cada uno de los escenarios.

Otro apartado interesante es el de la restauración de ficheros desde las obligatorias copias de seguridad, así como una tabla resumen de las posibilidades de recuperación de datos dependiendo del tipo de cifrado:

Ransomware_2

El informe también ofrece algunas de las herramientas y utilidades on-line existentes que permiten el descifrado de ciertos especímenes de ransomware. Es la última solución si no tenemos copias de seguridad y no podemos perder los archivos. Ya te adelantamos que no es sencillo porque los ciberdelincuentes van por delante y por ello los métodos de prevención tienen que estar por encima de todo.

Un informe muy educativo este del CCN-CERT que te recomendamos revisar.

Lo más leído