Este artículo presenta tips, estrategias y alternativas para evitar o mitigar los efectos de un ataque ransomware en nuestra organización.

¿Qué es el ransomware?

Según la definición de Wikipedia, un ransomware ("secuestro de datos" en español) es un tipo de malware que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.​ Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Este tipo de ataque se ha popularizado notablemente en los últimos tiempos y es uno de los más peligrosos en el sentido que provoca la inmediata y total pérdida de datos de la víctima (en caso de no contar con copias de seguridad). Este artículo presenta tips, estrategias y alternativas para evitar o mitigar los efectos de un ataque ransomware en nuestra organización.

Pautas generales para los usuarios

  1. Nunca hacer clic en enlaces no verificados.
  2. No abrir adjuntos de desconocidos.
  3. Sólo descargar archivos de sitios de confianza.
  4. Jamás ceder datos personales, mucho menos credenciales (usuario/contraseña).
  5. Nunca conectar medios USB de terceros.
  6. Nunca conectarse a redes WiFi públicas (sin seguridad WPA2).

Pautas generales para los admins

  • Educar a los usuarios.
  • Es indispensable mantener réplicas de backup en la nube o en sistemas externos para proteger los datos.
  • Escanear adjuntos a nivel servidor de correo.
  • Tener un buen mecanismo antispam a nivel servidor de correo.
  • Bloquear extensiones peligrosas como .EXE, .VBS o .SCR a nivel servidor de correo.
  • Implementar un mecanismo de sandbox para el cliente de correo electrónico puede traer dolores de cabeza ya que hace imposible adjuntar archivos en el FS local y descargar archivos recibidos parra guardar o subir a otra aplicación/servicio.
  • Bloquear IPs de Tor en los clientes.

Virtual Desktops

Hacer uso de escritorios virtuales (a los que los usuarios accedan vía RDP u otro protocolo) puede ser una solución de seguridad integral en el sentido que nos permitirá tener un control total sobre la seguridad de las terminales cliente. De esta forma podemos aplicar las políticas que sean necesarias y principio de mínimo privilegio para minimizar los riesgos al máximo posible.

Por otro lado los clientes se despreocuparían por el setup de aplicaciones y servicios usados por CA, al costo de tener que brindar un servicio de soporte técnico más abarcativo.

Sin embargo, los costos de implementar WVD (Windows Virtual Desktop) en Azure pueden ser elevados. El artículo WVD Pricing Guide (Windows Virtual Desktop) analiza un caso testigo para 10 usuarios donde estima un costo total de más de 420 dólares por mes.

Beneficios:

  • Control total sobre las estaciones de trabajo que permite aplicar el principio de mínimo privilegio y maximizar la seguridad.
  • Abstraerse de la granja heterogénea de sistemas operativos clientes.

Costos:

  • Elevado costo del servicio (dinero).
  • Costo de setup del servicio (horas de investigación, prueba, setup y mantenimiento de los VD).
  • Costo de soporte interno a nuestros usuarios (horas de soporte semanales).

Clientes Windows

  • Es posible definir restricciones GPO para evitar que se instale no sólo ransomware, sino malware en general. GPO tiene la capacidad de proveer un control granular en la ejecución de archivos en un sistema. Entonces, agregando reglas que bloqueen actividades tales como ejecutar archivos desde directorios comunes (ProgramData, AppData, Temp y Windows\SysWow) o impedir que los ejecutables corran desde los adjuntos de mails.
  • Utilizar software antivirus y mantenerlo actualizado.
  • Mantener las aplicaciones actualizadas (navegadores, clientes de correo, Java, Adobe, etc.).
  • Quitar privilegios administrativos a los usuarios.
  • Configurar las opciones de carpeta para que siempre muestre las extensiones (indispensable para que el usuario pueda distinguir un ejecutable "disfrazado").
  • Deshabilitar Windows Script Host y Windows PowerShell.
  • Deshabilitar macros y ActiveX en Office.
  • Instalar un browser con bloqueo de Ads y Popups.
  • Desactivar Autoplay.
  • Deshabiltiar Remote Desktop en el cliente (esto previene que el atacante se haga del control del sistema operativo cliente).

Google Drive/Docs/G Suite

La encriptación de archivos de Drive con ransomware es una amenaza real, aunque no tiene tanto impacto gracias a la papelera de Drive (muchos ransomware borran los archivos antes de crear la copia encriptada) y el control de versiones.

Google Drive tiene un mecanismo de control de cambios que permite recuperar los archivos a una versión previa:

No está claro cuántas copias y por cuánto tiempo.

Más allá de esto, se puede implementar un script de backup periódico (por ejemplo diario o semanal) que sincronice los archivos de Drive y los suba a un servicio o repositorio tercero:

Por supuesto este tipo de solución debe ser de tipo "pull" y asincrónica. De esta forma se evita que un atacante tenga acceso a las copias de seguridad.

Dropbox

Con Dropbox ocurre lo mismo que con Drive. Puede ser un blanco tentador para ataques de ransomware.

Existe un CLI para Linux (desarrollado por un tercero) también escrito en Go (excelente):

Conclusiones

La forma más importante y básica de mitigar el efecto de estos ataques es tener backups en la nube. En el caso de Drive/Dropbox, mantener backups periódicos en otro lado (por ejemplo en un bucket S3 de AWS). En caso de no contar con ninguna estrategia de backup alternativa es necesario implementarla a la brevedad para estar cubiertos ante un caso de ataque.

Una alternativa a WVD sería definir políticas de seguridad e implementar un script de securización para entornos Windows de usuarios. Esto para el caso en el que no contamos con una red de estaciones de trabajo corporativas, sino que cada usuario emplea su propio hardware.

Referencias

Compartí este artículo