WannaCry ataca de nuevo: Protégete del Ransomware con estos consejos

WannaCry ataca de nuevo: Protégete del Ransomware con estos consejos
15 de mayo, 2017

WannaCry, el troyano utilizado para el ataque de Ransonware iniciado el viernes que ha alcanzado a todo el mundo al menos a 150 países y 200.000 equipos, ha mutado en varias variantes y se espera una segunda oleada a medida que las nuevas versiones infectan nuevas redes, principalmente empresariales.

Llevamos muchos años hablando del Ransomware, uno de los malware más peligrosos para la ciberseguridad mundial. WannaCry es el ataque masivo de mayor alcance conocido y como otros Ransomware, infecta un ordenador personal y desde ahí a toda la red donde esté instalado, bloquea el funcionamiento de los equipos apoderándose de los archivos con un cifrado fuerte y exige a la organización, empresa o usuario una cantidad de dinero como “rescate” para liberarlos.

Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad. O pagar como hacen 4 de cada 10 víctimas de Ransomware. Un dato increíblemente alto según últimos informes.

El malware por Ransomware (en general) puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles). En este caso particular, WanaCry aprovecha una vulnerabilidad del protocolo SMB para atacar sistemas Windows. La vulnerabilidad fue parcheada por Microsoft en el mes de marzo pero obviamente afecta a los sistemas no actualizables y también a los que aún soportados, no habían sido actualizados.

Ransomware_2

Ante la magnitud del ataque, Microsoft ha tomado la decisión como medida excepcional de lanzar el parche MS17-010 para sistemas operativos no soportados oficialmente, Windows XP, Windows 8.0 y Windows Server 2003. Por supuesto, la instalación del parche es obligatorio para proteger los equipos de WanaCry y de todas sus variantes porque aprovechan la misma vulnerabilidad.

Protégete del Ransomware

Una vez infectado con WannaCry poco se puede hacer porque -como con otros Ransonware- no hay “cura” directa. Hay disponible una solución temporal pero ya no sirve porque los cibercriminales ya han hecho modificaciones al software malicioso. En empresas y organizaciones hay que aislar la red donde estén infectados los equipos, hacer lo mismo con los equipos infectados, desactivar el servicio SMBv1 y bloquear la comunicación de los puertos 137/UDP y 138/UDP / 139/TCP y 445/TCP en las redes de las organizaciones. A partir de ahí limpiar el malware.

Contra el ransomware, la gran “vacuna” se llama prevención y adoptar medidas previas contra la infección primaria. Te recordamos las más importantes para frenar WannaCry y el resto de Ransomware, muchos de ellos sin posible “cura” porque no hay manera de descifrar los archivos bloqueados.

  • Realizar y mantener copias de seguridad periódicas de todos los datos importantes: Es una idea en la cual hemos insistido bastante. Realizar copias de seguridad de los datos importantes es la primera y más efectiva medida para minimizar los daños en caso de ser infectado. Además se recomienda mantener las copias de seguridad aisladas y sin conexión con otros sistemas para evitar la infección de los datos a través de otros equipos.
  • Mantener el sistema actualizado con los últimos parches de seguridad, abarcando todo el software que haya instalado en el ordenador. En los boletines de seguridad de Microsoft se puede ver cómo las actualizaciones corrigen muchos problemas de seguridad.
  • Mantener una primera línea de defensa a través de algún antimalware (coloquialmente conocidos también como antivirus) y tener el firewall/cortafuegos correctamente configurado para permitir el acceso solo las aplicaciones y servicios necesarios.
  • Disponer de un filtro antispam a nivel del correo electrónico para evitar la infección a través de campañas masivas de emails. No abras nunca archivos adjuntos desconocidosPetya es un ransomware cuyo principal canal de distribución es el correo electrónico.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc). Existen herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit que facilitan esta tarea.
  • Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código malicioso y el servidor de mando y control.
  • Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar los exploits, incluyendo los 0-days.
  • No utilizar cuentas con privilegios de administrador: Como ya informamos con anterioridad, el 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
  • Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en toda las unidades de red mapeadas en el equipo de la víctima. Restringir los privilegios de escritura en red mitigará parcialmente el impacto.
  • Utilizar bloqueadores de JavaScript para el navegador: Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
  • Mostrar las extensiones para tipos de ficheros conocidos: Esta es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero.
  • Se recomienda la instalación de la herramienta Anti Ransom, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  • Emplear máquinas virtuales para aislar el sistema principal: Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en los ransomware, se ha demostrado que un entorno virtualizado su acción no llega a materializarse.

Un último consejo: no pagues a estos delincuentes. Asegúrate de tener al día tus copias de seguridad y en caso de infección por Ransomware, formatea, instala desde cero sistema operativo y resto de software, y restaura tus datos en un equipo totalmente limpio.

 

  • Share This