Cómo prevenir el “Ransomware” en una organización

El ransomware se ha convertido en el malware de moda, gracias sobre todo a su gran poder destructivo y a que son difíciles de solucionar en la mayoría de las ocasiones. A esto hay que sumarle que los ransomware existentes evolucionan con el fin de ser aún más destructivos o bien implementan formas de esquivar las barreras de protección, ya sea saltándolas o bien optando por un método de infección alternativo. En Aucal estamos siempre informando de este tipo de acciones y entregando maneras de detectarlos y cómo prevenirlos.

 

Si bien este tipo de malware suele tener el foco puesto en los archivos personales de los usuarios, con el tiempo han intentado infectar otros componentes, llegando incluso a neutralizar el disco duro por completo, como ya hizo Petya en su día, y cuya evolución tomó como alternativa cifrar los ficheros del usuario en caso de no conseguir los permisos de administrador necesarios para cifrar el disco duro.

 

A pesar de que Windows es el sistema que más noticias acapara en torno al ransomware, esto no quiere decir que no exista para otras plataformas. En este mismo año KeRanger causó estragos entre los usuarios del cliente de BitTorrent Transmission para Mac, mientras que Ransom32 se aprovecha de JavaScript para ofrecer una base que puede infectar a Windows, Mac y Linux con tan solo realizar unas modificaciones.

 

Luego tenemos la familia de ransomware Cerber, una de las más veteranas entre las que están actualmente activas y que ha utilizado todo tipo de métodos para infectar, incluyendo la publicidad en The Pirate Bay y Microsoft Office.

 

Tiempo atrás publicamos una serie de medidas para prevenir el ransomware, sin embargo, estas iban dirigidas sobre todo a ordenadores particulares. ¿Qué hacer cuando se trata de proteger una organización? En este artículo trataremos por qué este tipo de malware es peligroso para las organizaciones (ya sean sanitarias, bancarias o de cualquier tipo) y cómo combatirlo, siendo esto complementario con lo explicado en el artículo anterior.

 

ramsonware-2

 

Por qué el ransomware es peligroso para las organizaciones

Muchas organizaciones no monitorizan cómo están compartiendo los ficheros sus empleados, incluyendo aquí los enormes repositorios de ficheros que suelen ser objetivo de los ransomware más recientes. Uno no puede supervisar lo que no ve, por lo que no se puede capturar ningún ransomware que esté circulando si no se lleva a cabo una correcta monitorización de lo que se está compartiendo.

Otro aspecto importante es controlar a qué ficheros tienen acceso los usuarios dentro de una organización. En muchas ocasiones los empleados tienen acceso a una gran cantidad de ficheros que no necesitan, abriendo puertas a que el malware pueda comprometer unos datos que tendrían que estar blindados o mejor protegidos.

La carencia de un registro sobre quién ha modificado o cifrado un fichero, algo que no facilita la tarea cuando se necesita realizar un gran ejercicio de recuperación para asegurar que nada se ha perdido. Recuperarse de los ataques que nos ocupan en este artículo a menudo trae consigo el fin la compartición de ficheros mientras se restauran los backups.

 

Maneras de combatir el ransomware en una organización

La mejor manera de combatir el ransomware es asegurando de que todos los ficheros de usuario del sistema están monitorizados y analizados. Realizando esto se puede detectar el ransomware y otras amenazas a través de los cambios que pueden ocurrir en el sistema de ficheros, como por ejemplo el borrado de una gran cantidad de ficheros. Monitorizando minuciosamente el registro del sistema y configurando una solución de monitorización que dispare una alerta cuando se detecta un comportamiento extraño, se puede detectar la creación, cifrado o borrado de ficheros.

Si las herramientas de punto final de seguridad no ayudan a prevenir el ransomware, ¿qué lo hará? Las Analíticas de Comportamiento de Usuario (UBA en sus siglas en inglés) registran las actividades qué hacen normalmente los usuarios del sistema y las compara con otras no habituales de un atacante que ha robado las credenciales de un usuario. Monitorizando el comportamiento habitual de los usuarios y registrando cada acción individual, los UBA son capaces de crear un perfil que describe lo que significa cada usuario, haciendo más fácil el detectar comportamientos anómalos.

Operar con la cantidad de privilegios mínimo puede ser una buena idea para reducir la exposición de los ficheros y datos. Grupos como “Todos” y “Usuarios del Domino” para el uso de contenedores de datos (como carpetas y sitios de SharePoint) puede exponer la jerarquía de todos los usuarios de una empresa. Eliminando el uso de esos grupos y usando menores privilegios se puede dificultar el cifrado de los ficheros de una organización a través de ransomware.

Dada esta realidad y si estás en el mundo de la informática, Aucal recomienda especializarse en Ciberseguridad estudiando un máster que te ayudará a combatir de manera profesional este tipo de delitos cibernéticos.

 

Fuente, scmagazine.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someonePrint this page

2 comentarios

Comments are closed.