Rasomware nos demostró que todavía somos vulnerables que tenemos gestiones deficientes o letra muerta en forma de procedimientos o en otras palabras si pasa algún tiempo nos relajamos y bajamos la guardia.

El código de Rasomware podría ser usado en auditoria de seguridad en vez que encripte los archivos y solicite rescate podría bloquear la estación y solicitar un código que solo la gente de seguridad tendría algo parecido a como cuando pasan por los escritorios y encuentran una estación con la sesión abierta (Ctrl+Alt+Supr). Y dejan una nota o se llevan la maquina un incidente de seguridad. Es más, si se modificara el código para que parchara la maquina a la que llega una especie de vacuna que usa el mismo medio de transporte del virus.

Rasomware nos deja un montón de tarea será la tendencia virus que usan como transporte las vulnerabilidades.

Aquí dejo algunas recomendaciones que recopile:

 

Acceso a la Organización:

  • Conexión directa a la RED. (NAP con DHCP)
  • Correo electrónico. (Filtros, antivirus para Exchange)
  • Terminal Services, Citrix. (Desconexión de unidades compartidas, Políticas).
  • Permisos en carpetas compartidas (auditoria de Permisos)
  • NAP/NAC.
  • DMZ Remedición.
  • IPS aislamiento de maquina con comportamiento sospechoso.
  • Denegación de Servicios (WEBs, Correo infección masiva).

 

 

Gestión de Actualizaciones:

  1. WSUS: MS17-010
  2. https://support.microsoft.com/es-co/help/4023262/how-to-verify-that-ms17-010-is-installed
  3. https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

 

 

Recomendaciones para Sistemas Operativos.

  • Mantener las Estaciones y Servidores Actualizados.
  • Protección antivirus.
  • Activar la opción de “mostrar extensiones de archivos” en la configuración de Windows. Esto hará más fácil distinguir los archivos potencialmente maliciosos.
  • Ya que los Troyanos son programas, deberías prestar atención y mantenerte alejado de extensiones como “exe”, “vbs” y “scr”.

 

 

 

 

PRINCIPALES RECOMENDACIONES PARA MINIMIZAR EL IMPACTO DEL RANSOMWARE

 

 

  1. Desarrollar y ejecutar un plan para un programa de concienciación

de los usuarios finales (Inducción, Capacitación) 

 

  • Puede resultar difícil obtener aprobación para el envío de

recordatorios de seguridad regulares a toda la empresa, pero si

cuenta con usuarios finales más concienciados, no hay duda de

que tendrá que enfrentarse a menos incidentes de ransomware.

 

 

  1. Revisar o validar los procesos de copia de seguridad de los servidores (Auditoria, Remedición)

 

  • Algunas organizaciones no se dan cuenta de que sus copias de

seguridad están comprometidas o se configuraron de forma

inadecuada hasta que es demasiado tarde. Puede que necesite

recurrir a ellas para restaurar el servicio.

 

  • Empiece por sus servidores de archivos que alojen recursos

compartidos en red para departamentos esenciales.

 

 

  1. Revisar los permisos de las unidades de red para minimizar el

impacto que puede tener un solo usuario (Auditoria, Remedición)

 

Revisiones de los privilegios de los usuarios finales

 

  • Asigne un gestor de proyectos a fin de organizar una actividad

de evaluación de los permisos que los usuarios tengan sobre las

unidades de red conectadas. Implemente el principio del menor

privilegio para minimizar el impacto que pueda tener un solo

usuario en las unidades de red compartidas de la organización.

 

  • Según el tamaño de la organización, este proceso podría ser un

esfuerzo importante y complejo, por lo que comience por las

ubicaciones de unidades de red que usen los departamentos

esenciales.

 

Revisiones de los privilegios de los usuarios administradores

 

 

  • Audite las funciones con privilegios que utilicen los equipos de

red, copias de seguridad y servidores para validar que exista un

nivel de acceso adecuado.

 

  • Asegúrese de que los administradores tengan asignadas

cuentas normales y restringidas, independientes de sus cuentas

con muchos privilegios.

 

  • Exija que los administradores solo usen estas últimas cuentas

cuando sea estrictamente necesario.

 

  • Elimine asignaciones de unidades de red automáticas de las

cuentas administrativas, siempre que sea posible.

 

  • Restrinja la recepción de mensajes de correo electrónico en las

cuentas administrativas.

 

 

  1. Documentar su plan de respuesta a incidentes de ransomware

 

  • Es probable que ya disponga de un plan de respuesta a

incidente genérico, pero debe estar preparado para el

ransomware en concreto, porque la recuperación tras estos

ataques precisa un proceso muy específico y distinto de otros

incidentes de malware.

 

  • Los casos en los que se cifren todos los archivos de la unidad

de un departamento pueden llegar a ser bastante complejos,

ya que deberán entrar en juego varios equipos (el de copias de

seguridad, servidores de archivos, endpoints, directorios, etc.).

 

Cuanto más planifique ahora, menor será su plazo de respuesta.

 

 

 

 

 

PRINCIPALES RECOMENDACIONES PARA PREVENIR EL RANSOMWARE

 

  1. Deshabilitar las secuencias de comandos de macros de archivos

de Microsoft Office mediante la política de grupo de AD

 

 

  • Según Microsoft, el 98 % de las amenazas dirigidas a Office

utilizan macros. Al deshabilitar las secuencias de comandos de

macros de Microsoft Office, podrá parar los pies a ransomware

como Locky.

 

  • Puede que toda la organización no precise macros de Office,

pero una parte sí. Habilite las macros únicamente para

excepciones o determinados departamentos.

 

  • Office 2016 cuenta con una nueva función que permite

a los administradores bloquear la ejecución de macros en

documentos de Word, Excel y PowerPoint que se originaran

en Internet. De modo que, si puede actualizar su versión de

Office, hágalo y habilite esta función.

 

 

  1. Examinar sus procesos de gestión de parches mensuales (WSUS)

 

  • A muchas organizaciones les resulta difícil aplicar parches a sus

sistemas en un plazo de 30 días tras la publicación de parches

mensuales «Patch Tuesday» (martes de parches) de Microsoft.

  • Revise sus procesos de aplicación de parches en busca de

oportunidades para eliminar obstáculos.

 

  • Plantéese implementar un producto de endpoints avanzado

que impida exploits debido a que falten parches o a malware.

 

 

  1. Analizar su protección contra malware o correo no deseado entrantes

 

  • Asegúrese de que tiene configurado el bloqueo del correo

entrante de acuerdo con las recomendaciones del proveedor

de su servidor de correo electrónico (bloquear los ejecutables

de archivos adjuntos, entre otras).

 

  1. Implementar un cortafuego de nueva generación para

proteger la red

 

  • Cerciórese de que su cortafuego bloquee automáticamente

las amenazas conocidas de acuerdo con una fuente sobre

amenazas que se actualice constantemente.

 

  • Garantice que su cortafuego proporcione capacidades

de espacio aislado para que pueda detener las amenazas

desconocidas (direcciones URL y ejecutables) antes de que

accedan al endpoint. Los espacios aislados representan el mejor

modo de detectar nuevas variaciones de ransomware que

surgen continuamente.

 

  • Configure su cortafuegos o proxy para exigir la interacción

del usuario en el caso de que este se esté comunicando con

páginas web etiquetadas como «no categorizadas» (p. ej., hacer

clic en un botón para continuar). En las campañas de phishing

dirigidas se emplean numerosas páginas web no categorizadas

para distribuir malware. Este proceso de dos pasos evita que

determinados tipos de ransomware efectúen una llamada

externa al servidor de comando y control. Si esto no sucede,

es posible que sus archivos no se cifren.

 

 

  1. Implementar protección de endpoints avanzada para velar por la

seguridad de los endpoints

 

  • Los antivirus tradicionales no son eficaces contra el malware

avanzado, como el ransomware, que cambia continuamente

para eludir la detección. Asegúrese de que sus medidas de

protección de endpoints pueden detectar y prevenir malware

conocido y desconocido, así como exploits conocidos y

desconocidos, incluidos los de día cero.

 

  • La creación de una lista de archivos permitidos puede funcionar

para algunas organizaciones más simples y pequeñas, pero

para organizaciones con muchas aplicaciones y complejidad,

la gestión de dicha lista puede suponer muchísimo trabajo.

La detección de malware basada en técnicas resulta muy eficaz

a la hora de identificar el ransomware.

 

  • Asegúrese de que sus sistemas de protección de endpoints

están equipados con inteligencia sobre amenazas en tiempo

real obtenida de fuentes internas y externas de distintos

sectores, regiones geográficas y divisiones de la organización.

 

Otras Recomendaciones.

Para las organizaciones que no cuentan con estas tecnologías sugerimos:

  1. Bloquear TODO el acceso externo de internet a los puertos de comunicación SMB (139, 445).
  1. Contestar las consultas al dominio “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com” con una dirección de un sinkhole (interno o externo que haga log de las conexiones, ya surgen de equipos infectados).
    Implementar lo más rápido posible el parche Microsoft del boletín MS17-010
  2. Bloquear en sus firewalls toda la comunicación con las direcciones de los servidores C&C (188[.]166[.]23[.]127:443, 193[.]23[.]244[.]244:443, 2[.]3[.]69[.]209:9001, 146[.]0[.]32[.]144:9001, 50[.]7[.]161[.]218:9001, 217.79.179[.]77, 128.31.0[.]39, 213.61.66[.]116, 212.47.232[.]237, 81.30.158[.]223, 79.172.193[.]32, 89.45.235[.]21, 38.229.72[.]16, 188.138.33[.]220)
  3. Es importante tener en cuenta que, aunque sean implementadas estas medidas, no hay garantía de bloqueo completo del malware, inclusive considerando que los atacantes cambian rápidamente de estrategia para evadir las contramedidas. La implementación de una solución completa de protección en capas, con las tecnologías arriba descriptas, es la que mejor puede proteger a las organizaciones.