Gestionar el monitoreo de eventos de seguridad en una infraestructura tecnológica es una labor que en la última década a tomado más fuerza debido a los frecuentes y más complejos ataques informáticos.
Un Plan de Continuidad de Negocio https://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio te exige tener un plan a la medida de recuperación ante un desastre, que en la mayoría de las veces se estima o se concentra en trasladar la infraestructura tecnológica de un lugar a otro en caso de una situación que lo amerite, como terremoto o inundación, aplicando el DRP (Disaster Recovery Planning) pero en muy pocos casos el PCN incluye un ataque informático
En vísperas del 2020 un ataque ramsomware con una nueva variable restringió los servicios informáticos de un principal aeropuerto de Estados Unidos, asi como el de su operador de infraestructura tecnológica. Las noticias indicaron del pago de una cifra muy alta para la recuperación de la información en monedas bitcoins.
¿Cómo protegernos del ramsomware?
Son muchas las formas en que el ramsomware pueda ingresar a un equipo informático, pero en su gran mayoría las técnicas usadas son la ingeniería social o las vulnerabilidades del software para instalarse de modo silencioso.
Necesitamos estar alertas ante esta grave amenaza que ha tomado más fuerza en el último semestre del 2020 debido a los planes de contingencia de las empresas.
Los ciberatacantes usan dos tipos de cifrado: los archivos preparados para el ataque se protegen con cifrado AES de 256 bits, y las claves generadas se protegen a su vez con cifrado RSA de 2048 bits, y los atacantes guardan la clave privada que permite descifrar las claves ubicadas en el equipo infectado como los archivos que las protegen.
La clave de descifrado hasta la fecha no ha sido posible de descifrarla ni por ataque de fuerza bruta, lo que hace que el atacante tenga el control de la información de tus ordenadores.
Dicho esto, la mejor forma de protegernos de un ataque de ramsomware es tener un esquema de detección y remediación de vulnerabilidades, un sistema de prevención y detección de intrusos (IDS IPS), y una buena gestión de monitoreo de eventos de seguridad
Monitoreo de eventos de seguridad como mecanismo de defensa.
El monitoreo de eventos de seguridad es un mecanismo de defensa que podemos utilizar como un recurso de primera línea de detección de intrusos.
En la mayoría de los casos un atacante busca las vulnerabilidades de nuestros equipos informáticos para obtener acceso a ellos, un mecanismo de ataque son las vulnerabilidades de RDP (Remote Desktop Protocol) existentes, o dejar un archivo spam en nuestros equipos.
Normalmente su método de infección es dejar los archivos infectados con una extensión diferente a la original por la variante del ramsomware.
Una vez finalice el cifrado, el malware mostrará al usuario un mensaje indicándole que su información ha sido cifrada y pidiento un rescate en bitcoins para la recuperación de su información.
El investigador de seguridad Kinomakino ha recopilado mas de un centenar de extensiones diferentes utilizadas por el ramsomware y las ha recopilado en un fichero csv.
La lista es totalmente gratuita y se encuentra disponible en GitHub.
https://github.com/kinomakino/ransomware_file_extensions/blob/master/extensions.csv
Con esta información recopilada y conociendo el comportamiento del ramsonware, una de las opciones de las muchas que deben existir, para la protección de este tipo de ataques, es la recomendada por los especialistas de ESET, quienes aportan un blog interesante con la creación de un señuelo para un ataque de este tipo.
https://www.welivesecurity.com/la-es/2016/04/12/evitar-ransomware-cifre-servidor-de-ficheros-w2012/
Una vez configurado el señuelo que generará un log de evento ante un cambio de nombre de sus ficheros, este puede ser gestionado por el monitor de eventos de seguridad con una alarma en tiempo real via celular, para que el equipo de seguridad pueda tomar acciones prontas y evitar una propagación a tiempo.
Consejos para protegernos de un ataque
Backup periódico de la data
Una de las herramientas más importantes que se tiene en las plataformas tecnológicas es la herramienta de backup.
Un backup debe ser actualizado en forma periódica de acuerdo a los requerimientos de tu infraestructura (backup diarios, incrementales, diferenciales, mensuales, anuales, full, etc.)
Procura no tener los backup en tu misma red ya que un ataque de ramsomware cifra unidades asignadas (discos locales), usb, y storage de almacenamiento. Por lo cual una buena recomendación es tener backup en discos externos, y mejor aún si tu infraestructura lo tiene, un backup periódico en cinta externa es la mejor recomendación.
Mostrar las extensiones ocultas de los archivos
Una de las formas de ataque de los ramsomware son archivos con doble extensión “.pdf.exe”, la cual aprovecha la configuración predeterminada de windows de ocultar las extensiones para tipos de archivos conocidos.
Al desactivar la casilla correspondiente, podremos ver la extensión completa de cada uno de los archivos y podremos ver facilmente los archivos sospechosos.
Ante cualquier ataque de ramsomware estas extensiones tendrán el comportamiento de cambio de nombre y con un buen sistema de control como el descrito anteriormente se podrá controlar de una manera correcta y eficáz.
Deshabilitar RDP
El malware cryptolocker/Filecoder en general accede a los equipos mediante el protocolo de escritorio remoto RDP (Remote Desktop Protocol). Si no necesitas el protocolo puedes deshabilitarlo para proteger tus equipos del cryptolocker/Filecoder y algunos otros exploits.
Si lo vas a usar la recomendación es habilitar la auditoría de seguridad de windows para que el evento ID 4778 (en sistemas operativos windows) se genere en el log correspondiente, y puedas verlo en el monitor de eventos de seguridad. Esto le permitirá tener una gestión por cada ingreso a tu infraestructura que se realice por este protocolo, y por supuesto la instalación de una VPN (Virtual Private Network)
La importancia de la implementación de un siem juega un papel principal si se mantiene habilitado el protocolo RDP, con el fin de gestionar de manera más efectiva este tipo de eventos.
Instalar revisiones y actualizaciones de seguridad
Tener un sistema operativo y software informático actualizado, son los consejos más prácticos para cualquier amenaza, no solo de ramsomware.
Los archivos malware con frecuencia usan este tipo de vulnerabilidades para ingresar silenciosamente al sistema.
Mantener desactualizado un sistema operativo o una revisión de software en su ciclo de vida es un pase abierto a la data de tus equipos.
Mantener un buen esquema de revisión de vulnerabilidades y software reduce significativamente las posibilidades de convertirte en una víctima de este tipo de ataques y cualquier otro.
PASOS A SEGUIR ANTE UN ATAQUE INFORMÁTICO
Prevención
Definir una política de seguridad, establecer un esquema de clasificación de la información, sistemas de control de accesos físicos, control de dispositivos extraibles
Detección
El momento en el que se detecta un incidente de fuga de información es un momento crítico en cualquier entidad. Una buena gestión de la fase de detección del ataque informático puede suponer una reducción significativa del impacto del ataque.
Recuperación
Una vez que se detecta una entrada ilegal en los sistemas informáticos de su red, es necesario llevar a cabo un plan organizado de recuperación, cuyo objetivo no es otro que recuperar el sistema y dejarlo tal y como estaba antes del incidente.
Para ello se deben implantar medidas técnicas de recuperación de la información: backups de los sistemas, copias de seguridad etc.
Respuesta
Ante un ataque informático, es necesario poner en conocimiento de nuestros clientes el incidente ocurrido.
En este sentido, los nuevos reglamentos de protección de datos personales establece en sus artículos que se deberá comunicar a los interesados toda violación de la seguridad que afecte a sus datos personales, siempre que entrañe un alto riesgo para los derechos y libertades de las personas físicas titulares de los datos objeto de la vulneración.