WannaCry – WannaCrypt – Infórmate y previene para no llorar

Como es conocido por varios de ustedes, ahora mismo, Internet y los equipos tecnológicos privados están sufriendo una serie de ataques cibernéticos debido a la proliferación de un tipo de virus informático del formato troyano, que está en la capacidad de introducirse en nuestro dispositivo (Computadores y/o Servidores inicialmente) mediante un correo electrónico con datos adjuntos o enlaces a páginas externas explotando una vulnerabilidad de software, haciendo posible el secuestro de la información interna que almacenamos como fotos, videos, archivos, datos de clientes, diseños y otros.

Esta variable de virus especializado se encarga bloquear el acceso a nuestros datos creando una nueva llave lógica (cifrado) y pidiendo un rescate en dinero digital con valor real (Bitcoins) para obtener la llave que permita nuevamente abrir nuestros archivos; esto es lo que se conoce como “Ransomware”.

El nombre que identifica este Ransomware que está realizando los ataques no dirigidos (no tiene un objetivo o entidad en especial) es “WannaCrypt” y sus variables son WCry, WannaCry o WanaCrypt0r.

Aquí presentamos un diagrama descriptivo de la situación presentada:

ransomware-grafia

Imagen Cortesía A F P

Debido a esta novedad, la cantidad de incidentes de riesgo en seguridad informática se han incrementado exponencialmente en el mundo y nuestro país no es la excepción.

pantalla-ataque-ransomware

Caso Real en Colombia

Por lo mismo y como parte de nuestro procedimiento de respuesta ante incidentes de seguridad, a continuación, entregamos una serie de recomendaciones que buscan prevenir y mitigar el riesgo presente y futuro de ataques a los equipos informáticos que se encuentren conectados y/o con acceso a Internet.

PREVENSION DESDE EL USUARIO

El correo electrónico es una de las principales fuentes de infección por lo que recomendamos validar la veracidad de correos sospechosos basados en metodologías de descarte sencillas como: ¿Quien es el remitente (Persona o empresa)? ¿Lo conozco? Si es un remitente seguro, ¿Qué tipo de archivo adjunto o enlace de internet contiene? ¿Es información que estoy esperando? Si tiene datos de contacto en la firma, tratemos en corroborar con la persona que envía el correo que si lo haya hecho antes de abrir los adjuntos.Si en alguna de estas preguntas la respuesta es NO, debería contactar a su especialista de informática para consultarle que hacer y revisar esa novedad.

Realizar copias de seguridad de datos importantes es la forma más eficaz de combatir la infección por Ransomware. Los atacantes tienen influencia sobre sus víctimas cifrando archivos valiosos y dejándolos inaccesibles. Si la víctima tiene copias de seguridad, puede restaurar sus archivos una vez que se ha limpiado la infección. Las organizaciones y personas deben asegurarse de que las copias de seguridad estén debidamente protegidas o almacenadas fuera de línea para que los atacantes no puedan eliminarlas y se pueda retroceder a un estado anterior reduciendo el daño por perdida de datos.

Evalúe que los programas instalados en su computador las utiliza en sus labores diarias y si encuentra alguna que no es necesaria, contemple su desinstalación de forma segura. Si no tiene las autorizaciones respectivas acuda a su especialista informático de confianza.

Descargue las actualizaciones de seguridad recomendadas por los fabricantes para sus aplicaciones de software en el computador incluyendo sistema operativo, software antivirus y herramientas ofimáticas (correo, office, otros). Si no tiene las autorizaciones respectivas acuda a su especialista informático de confianza.

PREVENSION DESDE LA INFRAESTRUCTURA TECNOLOGICA

Descargue en forma segura e instale las actualizaciones de seguridad de Microsoft MS-17-010 desde el portal de Microsoft https://support.microsoft.com/en-us/help/4013389/title (verificar que sea un enlace seguro):

* CVE-2017-0143

* CVE-2017-0144

* CVE-2017-0145

* CVE-2017-0146

* CVE-2017-0147

* CVE-2017-0148

Para sistemas operativos Windows XP, Windows 8 y Windows Server descargar desde el portal de Microsoft
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598. (verificar que sea un enlace seguro)

Segmente redes. Aunque es una medida básica no previene, pero si mitiga que la amenaza de seguridad se siga dispersando con equipos vecinos a su medio de conexión.

Las comunicaciones externas de servicios como SMB y Terminal Services directas deben ser prohibidas o configuradas y monitoreadas de manera segura.

Considere la posibilidad de bloquear el puerto 445 para la comunicación externa si no lo necesita o identificar las reglas de acceso en el dispositivo de seguridad perimetral (porque lo requiere algún servicio) y monitorear el tráfico en tiempo real con sistemas de prevención de intrusiones de Host y de red (HIPS, NIPS).

Deshabilite las comunicaciones de Tor (Un nuevo tipo de navegador que busca pasar sobre las reglas de seguridad de la red) desde y hacia su organización. Este servicio no es requerido para servicios de comunicación básicos seguros.

Considere las soluciones de protección de usuarios, servidores y redes incluyendo antivirus (Paso 1) amenazas de día cero basadas en análisis de comportamiento y no en firmas solamente (sandboxing, antimalware y antiransomware), & a futuro: sistemas de monitoreo y correlación de eventos.

El uso de servicios en la nube podría ayudar a mitigar la infección por ransomware (como sucedió en el caso presentado en la imagen), ya que muchos conservan versiones anteriores de archivos, lo que le permite “retroceder” conforme a los acuerdos de respaldo y no perder todo lo hecho hasta el momento del cifrado de la información.

EN CASO DE ESTAR INFECTADO

Nada garantiza que una vez pago el rescate se envíe la llave para acceder nuevamente a la información que fue cifrada ni que esto no volverá a suceder, recuerde …. son informáticos con comportamiento criminal. Además, la idea es NO FOMENTAR esta mala práctica que nos dejaría en manos de la delincuencia digital.

Aísle por completo (incluso cualquier conexión a red) el o los computadores infectados para que no se extienda más el virus y para garantizar que pasado el tiempo los atacantes tampoco puedan acceder a la información si se logra encontrar alguna solución a la situación. Recuerde “El equipo más seguro en todo el mundo es aquel que no está conectado”.

Esperamos que esta comunicación sea un aporte para mejorar la seguridad en el diario uso de las tecnologías informáticas en sus organizaciones y hogares. Si lo desean compartir al interior de sus empresas estaremos muy contentos de saber que el mensaje será entregado para beneficio mutuo.

TENGAMOS EN CUENTA QUE LA SEGURIDAD INFORMATICA ES UN BALANCE COMPLETO ENTRE PERSONAS, PROCESOS Y TECNOLOGÍA QUE SE ESTABLECEN BAJO UN CICLO CONTINUO DE MEJORA

Finalmente, si ustedes o en sus compañías desean tener apoyo tecnológico de confianza que les permita aclarar información sobre este boletín (o términos no entendidos como ShadowBrokers, Eterblue,etc), implementar recomendaciones para su seguridad informática interna o en nube, en iTelkom contamos con los recursos humanos idóneos, las tecnologías apropiadas y metodologías ágiles y eficientes para tal fin.

Contáctenos y vea porque estamos construyendo soluciones rápidas, seguras y simples.

www.itelkom.co

Referencias y agradecimientos: Microsoft, ISACA, Radware, Sophos, Bitdefender, AFP, Telefónica, NSA, OEA.

Leave a Reply

Your email address will not be published. Required fields are marked *