Rasomware nos demostró que todavía somos vulnerables que tenemos gestiones deficientes o letra muerta en forma de procedimientos o en otras palabras si pasa algún tiempo nos relajamos y bajamos la guardia.
El código de Rasomware podría ser usado en auditoria de seguridad en vez que encripte los archivos y solicite rescate podría bloquear la estación y solicitar un código que solo la gente de seguridad tendría algo parecido a como cuando pasan por los escritorios y encuentran una estación con la sesión abierta (Ctrl+Alt+Supr). Y dejan una nota o se llevan la maquina un incidente de seguridad. Es más, si se modificara el código para que parchara la maquina a la que llega una especie de vacuna que usa el mismo medio de transporte del virus.
Rasomware nos deja un montón de tarea será la tendencia virus que usan como transporte las vulnerabilidades.
Aquí dejo algunas recomendaciones que recopile:
Acceso a la Organización:
- Conexión directa a la RED. (NAP con DHCP)
- Correo electrónico. (Filtros, antivirus para Exchange)
- Terminal Services, Citrix. (Desconexión de unidades compartidas, Políticas).
- Permisos en carpetas compartidas (auditoria de Permisos)
- NAP/NAC.
- DMZ Remedición.
- IPS aislamiento de maquina con comportamiento sospechoso.
- Denegación de Servicios (WEBs, Correo infección masiva).
Gestión de Actualizaciones:
- WSUS: MS17-010
- https://support.microsoft.com/es-co/help/4023262/how-to-verify-that-ms17-010-is-installed
- https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
Recomendaciones para Sistemas Operativos.
- Mantener las Estaciones y Servidores Actualizados.
- Protección antivirus.
- Activar la opción de “mostrar extensiones de archivos” en la configuración de Windows. Esto hará más fácil distinguir los archivos potencialmente maliciosos.
- Ya que los Troyanos son programas, deberías prestar atención y mantenerte alejado de extensiones como “exe”, “vbs” y “scr”.
PRINCIPALES RECOMENDACIONES PARA MINIMIZAR EL IMPACTO DEL RANSOMWARE
- Desarrollar y ejecutar un plan para un programa de concienciación
de los usuarios finales (Inducción, Capacitación)
- Puede resultar difícil obtener aprobación para el envío de
recordatorios de seguridad regulares a toda la empresa, pero si
cuenta con usuarios finales más concienciados, no hay duda de
que tendrá que enfrentarse a menos incidentes de ransomware.
- Revisar o validar los procesos de copia de seguridad de los servidores (Auditoria, Remedición)
- Algunas organizaciones no se dan cuenta de que sus copias de
seguridad están comprometidas o se configuraron de forma
inadecuada hasta que es demasiado tarde. Puede que necesite
recurrir a ellas para restaurar el servicio.
- Empiece por sus servidores de archivos que alojen recursos
compartidos en red para departamentos esenciales.
- Revisar los permisos de las unidades de red para minimizar el
impacto que puede tener un solo usuario (Auditoria, Remedición)
Revisiones de los privilegios de los usuarios finales
- Asigne un gestor de proyectos a fin de organizar una actividad
de evaluación de los permisos que los usuarios tengan sobre las
unidades de red conectadas. Implemente el principio del menor
privilegio para minimizar el impacto que pueda tener un solo
usuario en las unidades de red compartidas de la organización.
- Según el tamaño de la organización, este proceso podría ser un
esfuerzo importante y complejo, por lo que comience por las
ubicaciones de unidades de red que usen los departamentos
esenciales.
Revisiones de los privilegios de los usuarios administradores
- Audite las funciones con privilegios que utilicen los equipos de
red, copias de seguridad y servidores para validar que exista un
nivel de acceso adecuado.
- Asegúrese de que los administradores tengan asignadas
cuentas normales y restringidas, independientes de sus cuentas
con muchos privilegios.
- Exija que los administradores solo usen estas últimas cuentas
cuando sea estrictamente necesario.
- Elimine asignaciones de unidades de red automáticas de las
cuentas administrativas, siempre que sea posible.
- Restrinja la recepción de mensajes de correo electrónico en las
cuentas administrativas.
- Documentar su plan de respuesta a incidentes de ransomware
- Es probable que ya disponga de un plan de respuesta a
incidente genérico, pero debe estar preparado para el
ransomware en concreto, porque la recuperación tras estos
ataques precisa un proceso muy específico y distinto de otros
incidentes de malware.
- Los casos en los que se cifren todos los archivos de la unidad
de un departamento pueden llegar a ser bastante complejos,
ya que deberán entrar en juego varios equipos (el de copias de
seguridad, servidores de archivos, endpoints, directorios, etc.).
Cuanto más planifique ahora, menor será su plazo de respuesta.
PRINCIPALES RECOMENDACIONES PARA PREVENIR EL RANSOMWARE
- Deshabilitar las secuencias de comandos de macros de archivos
de Microsoft Office mediante la política de grupo de AD
- Según Microsoft, el 98 % de las amenazas dirigidas a Office
utilizan macros. Al deshabilitar las secuencias de comandos de
macros de Microsoft Office, podrá parar los pies a ransomware
como Locky.
- Puede que toda la organización no precise macros de Office,
pero una parte sí. Habilite las macros únicamente para
excepciones o determinados departamentos.
- Office 2016 cuenta con una nueva función que permite
a los administradores bloquear la ejecución de macros en
documentos de Word, Excel y PowerPoint que se originaran
en Internet. De modo que, si puede actualizar su versión de
Office, hágalo y habilite esta función.
- Examinar sus procesos de gestión de parches mensuales (WSUS)
- A muchas organizaciones les resulta difícil aplicar parches a sus
sistemas en un plazo de 30 días tras la publicación de parches
mensuales «Patch Tuesday» (martes de parches) de Microsoft.
- Revise sus procesos de aplicación de parches en busca de
oportunidades para eliminar obstáculos.
- Plantéese implementar un producto de endpoints avanzado
que impida exploits debido a que falten parches o a malware.
- Analizar su protección contra malware o correo no deseado entrantes
- Asegúrese de que tiene configurado el bloqueo del correo
entrante de acuerdo con las recomendaciones del proveedor
de su servidor de correo electrónico (bloquear los ejecutables
de archivos adjuntos, entre otras).
- Implementar un cortafuego de nueva generación para
proteger la red
- Cerciórese de que su cortafuego bloquee automáticamente
las amenazas conocidas de acuerdo con una fuente sobre
amenazas que se actualice constantemente.
- Garantice que su cortafuego proporcione capacidades
de espacio aislado para que pueda detener las amenazas
desconocidas (direcciones URL y ejecutables) antes de que
accedan al endpoint. Los espacios aislados representan el mejor
modo de detectar nuevas variaciones de ransomware que
surgen continuamente.
- Configure su cortafuegos o proxy para exigir la interacción
del usuario en el caso de que este se esté comunicando con
páginas web etiquetadas como «no categorizadas» (p. ej., hacer
clic en un botón para continuar). En las campañas de phishing
dirigidas se emplean numerosas páginas web no categorizadas
para distribuir malware. Este proceso de dos pasos evita que
determinados tipos de ransomware efectúen una llamada
externa al servidor de comando y control. Si esto no sucede,
es posible que sus archivos no se cifren.
- Implementar protección de endpoints avanzada para velar por la
seguridad de los endpoints
- Los antivirus tradicionales no son eficaces contra el malware
avanzado, como el ransomware, que cambia continuamente
para eludir la detección. Asegúrese de que sus medidas de
protección de endpoints pueden detectar y prevenir malware
conocido y desconocido, así como exploits conocidos y
desconocidos, incluidos los de día cero.
- La creación de una lista de archivos permitidos puede funcionar
para algunas organizaciones más simples y pequeñas, pero
para organizaciones con muchas aplicaciones y complejidad,
la gestión de dicha lista puede suponer muchísimo trabajo.
La detección de malware basada en técnicas resulta muy eficaz
a la hora de identificar el ransomware.
- Asegúrese de que sus sistemas de protección de endpoints
están equipados con inteligencia sobre amenazas en tiempo
real obtenida de fuentes internas y externas de distintos
sectores, regiones geográficas y divisiones de la organización.
Otras Recomendaciones.
Para las organizaciones que no cuentan con estas tecnologías sugerimos:
- Bloquear TODO el acceso externo de internet a los puertos de comunicación SMB (139, 445).
- Contestar las consultas al dominio “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com” con una dirección de un sinkhole (interno o externo que haga log de las conexiones, ya surgen de equipos infectados).
Implementar lo más rápido posible el parche Microsoft del boletín MS17-010 - Bloquear en sus firewalls toda la comunicación con las direcciones de los servidores C&C (188[.]166[.]23[.]127:443, 193[.]23[.]244[.]244:443, 2[.]3[.]69[.]209:9001, 146[.]0[.]32[.]144:9001, 50[.]7[.]161[.]218:9001, 217.79.179[.]77, 128.31.0[.]39, 213.61.66[.]116, 212.47.232[.]237, 81.30.158[.]223, 79.172.193[.]32, 89.45.235[.]21, 38.229.72[.]16, 188.138.33[.]220)
- Es importante tener en cuenta que, aunque sean implementadas estas medidas, no hay garantía de bloqueo completo del malware, inclusive considerando que los atacantes cambian rápidamente de estrategia para evadir las contramedidas. La implementación de una solución completa de protección en capas, con las tecnologías arriba descriptas, es la que mejor puede proteger a las organizaciones.
Deja un comentario