¡Págueme o…. Pierde sus Datos! – Parte II

EPIDEMIA: Incidentes que involucran Ransomware - Literalmente "Viral"

Jorge Utrera - ERI SISAP

image001
http://24by7security.com/how-hospitals-can-protect-themselves-from-ransomware/

En la primera parte del articulo describí qué es Ransomware y como se instala en las computadoras.

Nunca antes, en la historia de la humanidad, se ha extorsionado de la manera masiva global que está sucediendo en estos momentos en el mundo entero. Viral y epidémico, porque se multiplican los reportes de todas partes del mundo con noticias relacionadas con Ransomware. En esta segunda parte se delinean las posibles defensas contra esta moderna Pandemia, iniciada por mentes criminales dignas de castigos drásticos, ejemplares, porque hay reportes de ataques Ransomware a Hospitales, lo cual pone en peligro vidas humanas, al no tener acceso a resultados de laboratorio, ultrasonidos, radiografías, etc.
http://www.csoonline.com/article/3033160/security/ransomware-takes-hollywood-hospital-offline-36m-demanded-by-attackers.html/

Creciente variedad de Ransomware:

("Tarifas" Vigentes: US$200.00 - US$ 500.00.)

Captura de pantalla 2016-04-06 a las 12.38.23 p.m.

Método de distribución preferido:

    • Por medio de correos tipo "Phish", con archivo adjunto (Word, Excel, PDF) con carga maliciosa. (también utilizan sitios web comprometidos/maliciosos).
    • Una vez infectada la máquina, intenta replicarse a través de Carpetas Compartidas.

Defensa:

Programas AntiVirus son poco efectivos contra "Ataques de Día Cero" Ransomware y otros similares, porque:

    • Se basan en firmas de código malicioso conocido, por lo que no reconocerán la variedad de Ransomware recibida, hasta que sea creada la firma y actualizado el producto por parte del fabricante, x-días y hasta semanas, después del descubrimiento.
    • El código malicioso moderno es polimórfico, se "auto-modifica", convirtiendo en inútil al AntiVirus. Existen servicios y programas especializados para detección de código malicioso contenido en Correos tipo Phish/Ransomware y otros, utilizando por ejemplo, técnicas de Sandboxing, que es un mecanismo para ejecutar de manera segura, código inseguro en ambiente controlado.

Medidas preventivas:

    • Capacitación/Concientización de Mejores Prácticas a usuarios sobre los peligros de Phishing/Ransomware.
    • Mantener el respaldo/backup de los datos actualizado y vigente, preferiblemente cifrado más offsite/cloud backup. (El código malicioso cifrará también el backup, si el disco USB de Backup está conectado a la computadora infectada).
    • Mantener las computadoras actualizadas con parches de seguridad del sistema operativo y aplicaciones. (Adobe, Java, por ejemplo).
    • Nunca abrir mensajes de correo no esperados o no solicitados aunque provenga de personas/empresas conocidas. Consultar un experto, en caso de duda.

Mejores Prácticas en caso de infección con Ransomware:

    • En caso de duda, asesorarse con un experto en seguridad de la información
    • Reportar incidente a la autoridad responsable de ciberdelincuencia del país (CERT, CSIRT).
    • NO pagar la extorsión (En principio se recomienda no pagarlo, si posible. Cada persona/empresa deberá decidir).
    • Aislar equipo detectado/desconectar de la red.
    • Ejecutar herramientas adicionales para intentar reconocer el tipo de código malicioso.
    • Enviar muestra a fabricante / solución de Antivirus para que generen firma en actualización.
    • Formatear computadora, reinstalar programas y restaurar backup.

Referencias:

  • https://nakedsecurity.sophos.com/2014/06/18/whats-next-for-ransomware-cryptowall-picks-up-where-cryptolocker-left-off/
  • http://www.symantec.com/connect/blogs/cryptolocker-qa-menace-year
  • https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26383/en_US/McAfee_Labs_Threat_Advisory-Ransomware-Locky.pdf
  • http://www.welivesecurity.com/wp-content/uploads/2016/02/Rise_of_Android_Ransomware.pdf
  • https://www.invincea.com/2016/02/dridex-crew-bets-on-ransomware/
  • https://www.fbi.gov/sanjuan/press-releases/2016/fbi-warns-the-public-about-ransomware-internet-scam
  • Ejemplo de Mensajes típicos, después de infección Ransomware

    image003 image004

    No hay comentarios

    Agregar comentario