Por: Ola Peters, consultor en ciberseguridad en DART.
El incremento en la conectividad de las computadoras y el crecimiento de Bring Your Own Device (BYOD o Trae tu Propio Dispositivo) en la mayoría de las organizaciones facilita la distribución de software malicioso (malware). A diferencia de otros tipos de programas maliciosos que por lo general pueden pasar desapercibidos por un largo periodo de tiempo, un ataque de ransomware se experimenta por lo general de manera inmediata, y su impacto en la infraestructura de tecnología de la información es a menudo irreversible.
Como parte de las interacciones de la Respuesta a Incidentes (Incident Response) del Equipo de Detección y Respuesta (Detection and Response Team o DART) de Microsoft, de manera regular los clientes nos preguntan sobre “pagar el rescate” después de un ataque de ransomware. Por desgracia, esta situación por lo general deja a la mayoría de los clientes con opciones limitadas, dependiendo de la continuidad del negocio y los planes de recuperación en caso de desastre que tengan preparados.
Las dos opciones más comunes son pagar el rescate (con la esperanza de que la clave de descifrado obtenida de parte de los actores maliciosos funcione como se anunció) o cambiar de marcha a modo de recuperación en caso de desastre, para restaurar los sistemas a un buen estado conocido.
La triste verdad sobre la mayoría de las organizaciones es que por lo general sólo se quedan con la opción de pagar el rescate, ya que la opción de reconstruir se quita de la mesa por una falta de buenas copias de seguridad conocidas o debido a que el ransomware también ha encriptado esos buenos respaldos. Por otra parte, una creciente lista de municipios alrededor de los Estados Unidos ha visto cómo el ransomware ha puesto la mira en su infraestructura crítica, así como en sus respaldos de seguridad, un movimiento que realizan los actores de amenazas para garantizar mejor el pago.
Nunca aconsejamos a una víctima de ransomware que pague cualquier forma de demanda de rescate. Pagar un rescate es a menudo caro, peligroso, y sólo alimenta la capacidad de los atacantes de continuar sus operaciones; en resumen, esto equivale a dar una proverbial palmada en la espalda de los atacantes. La cosa más importante para tener en cuenta es que pagar a los cibercriminales para obtener una clave de descifrado de ransomware no garantiza que sus datos encriptados vayan a ser restaurados.
¿Qué opciones recomendamos? El hecho es que cada organización debe tratar un incidente de ciberseguridad como una cuestión de cuándo sucederá y no si va a suceder. Tener esta mentalidad ayuda a una organización a reaccionar de manera rápida y efectiva cuando este tipo de incidentes suceden. Dos grandes marcos de estándares de la industria. Sysadmin, Audit, Network, and Security (SANS) y el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), han publicado, cada uno por su cuenta, conceptos similares sobre responder a malware e incidentes de ciberseguridad. La conclusión es que cada organización necesita ser capaz de planear, preparar, responder y recuperar cuando enfrentan un ataque de ransomware.
A continuación, se describen los pasos diseñados para ayudar a las organizaciones a planear y prepararse mejor para responder a ransomware y a los principales incidentes cibernéticos.
Cómo planear y prepararse para responder a ransomware
- Utilizar una solución efectiva de filtrado de email
De acuerdo con el Security Intelligence Report Volume 24 de 2018 de Microsoft, los emails de spam y phishing se mantienen como el método más común de entrega de infecciones de ransomware. Para detener de manera efectiva al ransomware en su punto de entrada, cada organización necesita adoptar un servicio de seguridad de email que garantice que todo el contenido y encabezados de email que entren y salgan de la organización sean escaneados para buscar spam, virus y otras amenazas avanzadas de malware. Al adoptar una solución de protección de email de grado empresarial, la mayoría de las amenazas de ciberseguridad contra una organización serán bloqueadas a su ingreso y su egreso.
- Parchado regular de los sistemas de hardware y software y gestión efectiva de vulnerabilidad
Muchas organizaciones siguen sin adoptar una de las antiguas recomendaciones en ciberseguridad y las importantes defensas contra ataques de ciberseguridad – aplicar actualizaciones y parches de seguridad tan pronto como los vendedores de software los publiquen. Un ejemplo destacado de esta falla fueron los eventos de ransomware WannaCry en 2017, uno de los más grandes ataques globales en ciberseguridad en la historia de internet, que utilizó una vulnerabilidad filtrada en el protocolo de red de Server Message Block (SMB) en Windows, para el cual Microsoft publicó un parche casi dos meses antes del primer incidente conocido. El parchado regular y un programa efectivo de gestión de vulnerabilidad son medidas importantes para defenderse contra el ransomware y otras formas de malware y son los pasos en la dirección correcta para asegurar que cada organización no se convierta en una víctima de ransomware.
- Utilizar un antivirus actualizado y una solución de detección y respuesta de endpoint (EDR, por sus siglas en inglés)
Aunque tener una solución antivirus por sí sola no garantiza una protección adecuada contra virus y otras amenazas informáticas avanzadas, es muy importante asegurar que las soluciones antivirus se mantienen actualizadas con sus proveedores de software. Los atacantes invierten de manera importante en la creación de nuevos virus y exploits, mientras que los proveedores buscan estar al día a través de publicar actualizaciones diarias para sus motores de base de datos de antivirus. Complementario a poseer y actualizar una solución antivirus es el uso de soluciones EDR que recolectan y almacenan grandes volúmenes de datos desde endpoints y brindan monitoreo a nivel de archivo, basado en hospedaje en tiempo real y visibilidad de los sistemas. Los conjuntos de datos y alertas generados por esta solución pueden ayudar a detener amenazas avanzadas y por lo general se aprovechan para responder a incidentes en seguridad.
- Separar credenciales administrativas y de privilegios de credenciales estándar
Como consultor en ciberseguridad, una de las primeras recomendaciones que por lo general doy a los clientes es separar sus cuentas administrativas de sistema de sus cuentas estándar de usuario y garantizar que esas cuentas administrativas no se utilizan en múltiples sistemas. Separar esas cuentas privilegiadas no sólo refuerza un control apropiado de acceso, también garantiza que una cuenta comprometida no lleva a comprometer toda la infraestructura de TI. Adicional a esto, utilizar soluciones de Autenticación Multi-Factor (MFA, por sus siglas en inglés), Gestión de Identidad Privilegiada (PIM, por sus siglas en inglés), y Gestión de Acceso Privilegiado (PAM, por sus siglas en inglés), son maneras de combatir de manera efectiva el abuso de cuentas privilegiadas y una manera estratégica de reducir el surgimiento de ataque a credenciales.
- Implementar un programa efectivo de lista blanca de aplicaciones
Es muy importante, como parte de una estrategia de prevención de ransomware, restringir las aplicaciones que pueden correr dentro de una infraestructura de TI. La lista blanca de aplicaciones garantiza que sólo aquellas que han sido probadas y aprobadas por una organización pueden correr en los sistemas dentro de la infraestructura. Aunque esto puede ser tedioso y presenta varios desafíos administrativos de TI, esta estrategia ha probado su efectividad.
- Respaldar de manera regular los sistemas y archivos críticos
La capacidad de recuperarse a un buen estado conocido es la estrategia más crítica de cualquier plan de incidente de seguridad de la información, en especial de ransomware. Por lo tanto, para garantizar el éxito de este proceso, una organización debe validar que todos sus sistemas, aplicaciones y archivos críticos son respaldados de manera regular y que esos respaldos son probados con regularidad para garantizar que son recuperables. El ransomware es conocido por encriptar o destruir cualquier archivo con el que se cruza, y a menudo los hace irrecuperables; en consecuencia, es de vital importancia que todos los archivos impactados puedan ser recuperados con facilidad desde un buen respaldo almacenado en una ubicación secundaria que no haya sido afectada por el ataque de ransomware.
Conozcan más y estén al día
Conozcan más sobre cómo DART ayuda a los clientes a responder a los ataques y a tener ciber resistencia. Agreguen a favoritos el blog de Seguridad para estar al día con nuestra cobertura experta en temas de seguridad. También, síganos en @MSFTSecurity para las noticias y actualizaciones más recientes en ciberseguridad.
