Prevención Multicapa contra Ransomware

Ransomware es una amenaza de la familia de los malware que ENCRIPTA los archivos locales de los usuarios, así como también archivos compartidos en red con el equipo infectado.

El objetivo de esta amenaza es obtener una recompensa económica de la víctima a cambio de la recuperación de sus archivos.  El pago de esta recompensa no asegura la liberación de los archivos y según estadísticas de Kaspersky Labs, 36% de las personas que realizó el pago no recuperó sus archivos.

wd2

Figura 1 Evolución del Ransomware en el tiempo. Fuente: Symantec Internet Security Threat Report 2015

 

¿CÓMO OPERA?

wd3A través de correo electrónico, el usuario recibe un correo con un archivo adjunto (*.zip / *.docm), este adjunto contiene un archivo VBS (Visual Basic Script), Javascript u otro adjunto, que al ser ejecutado realiza conexiones hacia el servidor privado del atacante descargando una DLL que se ejecuta a través de Rundll32.exe comenzando la encriptación de los archivos del usuario.

En el tercer trimestre de 2016 detectamos 21 nuevas familias y 32 091 nuevas modificaciones de programas maliciosos cifradores. El número de nuevas familias de cifradores fue ligeramente inferior a la del segundo trimestre (25), pero en cambio el número de nuevas modificaciones se multiplicó por un factor de 3.5 en comparación con las descubiertas el trimestre anterior.

 

MEDIDAS DE PREVENCIÓN DE RANSOMWARE

 

captura-de-pantalla-2016-11-30-a-las-12-47-20Entrenamiento de usuario
La mayoría del ransomware se propagan a través de correos electrónicos de phishing y estafa. Por lo tanto, vale la pena mantener un ojo en las actuales tendencias de estafa y spam.

En la seguridad corporativa, los usuarios son el eslabón más débil y la formación adecuada juega un factor importante en la prevención de las brechas de seguridad y si se produce una violación, ayuda a contener la amenaza.

 

Gestión eficiente de parches

De acuerdo con el informe anual de riesgos de Cyber de HP, el 44% de los ataques durante el año pasado se debieron al código sin parche que tenía de dos a cuatro años. Dos causas más comunes de retraso en el despliegue de parches son la inestabilidad y el tiempo de inactividad. Un nuevo parche puede desestabilizar el sistema y un sistema con un requisito de alta disponibilidad espera hasta que la industria lo haya probado. Muchas veces hemos visto un parche ser lanzado apresuradamente para solucionar una vulnerabilidad. Estos parches no probados solucionan vulnerabilidades de seguridad, pero ocasionalmente causan problemas operacionales. En algunas ocasiones, instalamos parches que se publicaron para solucionar los problemas causados por un parche anterior.

Equipo de Seguridad de TI Efectivo y Mandado

La seguridad informática es un campo en constante evolución y requiere capacitación e investigación continuas. Cuando un equipo de seguridad se da cuenta de un riesgo potencial, un paso difícil es convencer a la administración de negocios a que dedique el tiempo y esfuerzo necesarios para desplegar los controles preventivos esenciales. Las maneras tradicionales de medir el retorno de la inversión (ROI, Return On Investment) son ineficaces debido a que los negocios no realizan completamente el riesgo hasta que es demasiado tarde. En 2014, Sony Entertainment gastó decenas de millones de dólares después de que las brechas de seguridad le costaran a la compañía unos $ 1,25 mil millones.

Copias de seguridad

La defensa más eficaz contra ransomware es la copia de seguridad de los archivos de datos. Los datos de un usuario corporativo, almacenados en una unidad de red, se respaldan de forma regular. Sin embargo, no es una práctica habitual respaldar el escritorio de un usuario. Los administradores de sistemas de información necesitan ampliar el alcance de las copias de seguridad con actualizaciones de almacenamiento y ancho de banda. Con la posibilidad de que las copias de seguridad sean cifradas por ransomware, debemos mantener varias copias de datos (copia de seguridad de copias de seguridad), durante un período más largo.

Restringir el uso de privilegios elevados

Cuando un usuario corporativo es atacado, sólo los archivos de datos que son accesibles a ese usuario se cifran. En muchos casos, los administradores usan privilegios elevados para operaciones normales, como navegar por Internet y comprobar el correo electrónico. Cualquier clic incorrecto puede descargar ransomware, ejecutándose con los mismos privilegios elevados y puede resultar en la codificación de los datos de toda la organización (incluyendo copias de seguridad).

 

PREVENCIÓN MULTICAPA CON INTEL SECURITY

wd5

 

Prevenir Contacto Inicial

El principal medio de propagación de Ransomware es a través de correo electrónico, el usuario recibe un correo con un archivo adjunto que al ser ejecutado por el usuario gatilla el proceso de cifrado.

La primera medida para reducir los riesgos de infección ante este tipo de amenazas es concientizar a los usuarios a que no abran correos ni archivos adjuntos en estos provenientes de cuentas de correos desconocidas.

Contar con filtros anti spam el cual monitorea todo el tráfico entrante y filtra la salida de correos con links y archivos adjuntos potencialmente inseguros.

Generalmente sobre el 85% del tráfico de correo en las grandes empresas corresponde a Spam, un buen dominio de las plataformas de AntiSpam y las configuraciones adecuadas podría bloquear hasta un 99,9% de Spam recibidos.

 

Prevenir Descargas

intel securityEn caso de que la plataforma AntiSpam no sea capaz de contener un correo con archivos maliciosos adjuntos, el usuario ejecuta el archivo adjunto y Ransomware comienza si ejecución estableciendo comunicación hacia los servidores del atacante en este punto entra en juego la siguiente capa de protección, usando algún filtro de contenidos como Global Threat Intelligence (GTI) y Threat Intelligence Exchange (TIE) quienes son capaces de detectar el trafico establecido por el malware, terminando y bloqueando la conexión o comunicación con el Comando y control.

Ahora además se encuentra disponible Endpoint 10 que cuenta con 2 herramientas: Dynamic Application Conteiment y Real Protect (Static y Dynamic) que trabaja como un Sandbox local.

 

Prevenir la Ejecución del Malware

 

Si la capa de prevención anterior no fue capaz de bloquear la comunicación establecida entre el equipo comprometido y el servidor del atacante, el malware comenzara su ejecución, es en este caso cuando la plataforma Endpoint (McAfee VirusScan Enterprise o Endpoint Security) pueden detener la ejecución del código malicioso, usando funciones como “Escaneo en Acceso”, “Prevención de Ejecución” y “Detección de Anomalías”.

Detectar y Prevenir Archivos Encriptados

McAfee es capaz de monitorear y detectar cambios en el sistema de archivos y llaves de registro, ya sean estos, creación, ejecución y modificación de archivos y generar un evento, esto nos permite prevenir la infección completa de la maquina.

File Integrity monitoring puede utilizarse para detectar cambios maliciosos en los archivos del sistema y en el registro. La monitorización de integridad de archivos se puede utilizar para detectar una actividad de creación / modificación de archivos de masa y de cambio de nombre de archivo y generar una alarma. La función de supervisión de contenido mantiene pistas de cambios en el contenido del archivo y puede ayudar a recuperar archivos críticos.

Protección de bases de datos

McAfee Database Security Product se sitúa frente a la base de datos y escanea todos los comandos de tráfico y base de datos y protege contra las sentencias SQL ofuscadas. Puede proteger una base de datos sin parche contra una vulnerabilidad conocida, una característica conocida como parcheo virtual.

Como ejemplo, la instrucción SQL a continuación es utilizada por los atacantes para verificar la autenticación pero no extrae los datos para evitar la detección.

 

Fuentes:
Symantec Internet Security Threat Report 2015
SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks
Kaspersky Labs: Desarrollo de las amenazas informáticas en el tercer trimestre de 2016. Estadística
https://securelist.lat/analysis/informes-trimestrales-sobre-malware/84164/it-threat-evolution-q3-2016-statistics/