Ir al home de Widefense
Contenido Widefense Ciberdefesa

Derechos reservados Widefense ®  2021

El contenido es para fines informativos. Los enlaces a sitios de terceros se incluyen para tu conveniencia y no implican relación legal. Es posible que estos sitios difieran en estándares de privacidad, seguridad o accesibilidad.

  • LinkedIn
  • Facebook
  • Twitter
  • Instagram
  • Kenneth Daniels

Enfrentando el Ransomware

Las nuevas versiones de ramsonware han incrementado su complejidad y ha creado una red más robusta para su operación y segura para el anonimato, han cambiado el medio de cobro a bitcoins y utilizan principalmente la red TOR para comunicarse y descargar la amenaza.

Hasta el año 2014, el objetivo eran personas, después de Criptolocker, la nueva tecnología conocida cómo CTB-Locker se movió a los almacenamientos virtuales, los sistemas de almacenamiento en red (NAS) y utiliza redes TOR.  La complejidad para su detección ha aumentado, utilizan técnicas de evasión avanzada y han elevado su efectividad para desencriptar.  En los últimos 9 meses el aumento de actividad ha sido exponencial y se ha convertido en un negocio altamente rentable, que cuenta con modelos definidos de asociación, distribución y rentabilidad totalmente articulados.

Los nuevos Ramsonware evitan ser detectados y atacan vulnerabilidades (similar a un gusano), necesita ser activado por el usuario (similar a un troyano) y se propaga por web y correo (técnicas de Phishing).  Tienen una alta capacidad de adaptar el mensaje, el idioma e incluso pueden personalizarse con temas locales de actualidad.

El factor común entre la antigua y la nueva versión de la amenaza sigue siendo el usuario, su bajo conocimiento del tema y su poca preocupación por combatir las amenazas lo convierten en el eslabón más débil en la cadena de seguridad.  Las últimas versiones se han movido a androide (cada vez más personal).

¿Qué podemos hacer?

Para elevar la protección contra esta amenaza es necesario integrar al usuario final y adoptar medidas de protección integral, algunas recomendaciones incluyen:

Formación de usuarios para elevar su estado de alerta (Awareness): La mayoría de los ataques de ransomware comienzan con correos electrónicos de phishing, la sensibilización de los usuarios es muy importante y necesaria. Por cada diez correos electrónicos enviados por los atacantes, al menos uno será exitoso.

Recopilar todos los eventos de seguridad: contar con un sistema de registro y análisis de eventos e incidentes de seguridad, permite aprender, reaccionar más rápido y tomar acciones preventivas y correctivas que lleven a una mejora continua.

Mantener actualizados los sistema (parches al día): Las nuevas versiones de ransomware explotan vulnerabilidades. Es fundamental mantener al día los parches de los sistemas operativos, Java, Adobe Reader, Flash y aplicaciones. Lo ideal es tener un procedimiento análisis de vulnerabilidad y remediación, adicionalmente se debe verificar que los parches se aplicaron con éxito.

Cuidado al abrir archivos adjuntos: Escanear con antivirus automáticamente todos los email y mensajes instantáneos adjuntos. Definir y fomentar el uso correo electrónico seguro, evitar que abran automáticamente adjuntos, ni los elementos gráficos y asegurar que el panel de vista previa este desactivado. Nunca abra correos electrónicos no solicitados o inesperados y menos archivos adjuntos.

Tener cuidado con los esquemas de phishing basados en spam: no haga clic en enlaces en correos electrónicos o mensajes instantáneos.

#ransomware

1 visualización