Beclever blog

Nuestras últimas novedades

Ransomware!! Técnicas para mitigar el riesgo de una infección

Prácticamente a diario encontramos noticias de un nuevo ataque de malware ransomware que ha afectado a una o varias empresas o instituciones públicas y ha causado pérdidas de miles o millones de euros. Entre los más destacados podemos mencionar la campaña de WannaCry de 2017 o, más recientemente, los ataques con Emotet sufridos por varias instituciones públicas.

 

El ransomware se ha convertido en una de las amenazas preferidas por los ciberdelincuentes por varios motivos:

  • Los últimos ransomware son capaces de propagarse rápidamente por la empresa, comprometiendo la productividad durante periodos prolongados de tiempo.
  • Copias de seguridad inexistentes o muy espaciadas en el tiempo. Al no disponer de copias recientes de la información clave, la empresa se ve obligada a pagar un rescate generalmente en Bitcoins si quiere recuperar dicha información para el negocio.
  • Confianza en las soluciones antivirus tradicionales. Muchas empresas confían en que el antivirus corporativo bloquee el ataque. Sin embargo, estas soluciones funcionan en base a amenazas conocidas bloqueando las ejecuciones de las mismas por lo que el polimorfismo utilizado por muchos de los ransomware más conocidos y dañinos las hace ineficientes (estos ransomware se transforman ligeramente con cada versión… y hay nuevas versiones prácticamente cada minuto).

 

El impacto económico de estos ataques a nivel mundial se cifra en miles de millones de euros y la previsión es que vaya en aumento progresivamente.

 

¿Como funciona un ransomware? Por regla general, prácticamente todos los ransomware siguen cuatro fases diferenciadas.

En primer lugar se produce la infección, habitualmente a través de un archivo adjunto o un enlace a una página web que descargan y ejecutan el software malicioso. La gran mayoría de ransomware se ejecutan en el momento de la descarga, aunque existen otros que responden a diferentes disparadores (transcurrido un tiempo, cuando se abre office…).

 

Una vez infectado el objetivo, el ransomware realizará una búsqueda de clave de encriptación en un servidor gestionado por el atacante. En caso de no poder conectar con el servidor que le suministra las claves de encriptación algunos ransomware dejan de funcionar, pero la mayoría son capaces de utilizar un clave por defecto por lo que puede seguir el proceso.

 

Tras obtener la clave de encriptación, el ransomware comienza el proceso de cifrado de archivos. Entre sus objetivos principales se encuentran archivos de Office, documentos PDF, etcétera.

 

Como última fase, el malware intentará realizar una propagación al resto de equipos del entorno utilizando diferentes técnicas. Esto puede finalizar en un escenario en el que todos los archivos de la empresa queden cifrados, con el consiguiente impacto que esta situación puede tener en la productividad.

 

Una vez entendido el riesgo que puede suponer para el negocio una infección por ransomware, y visto que las soluciones antivirus tradicionales no son efectivas contra ellos, es necesario definir que estrategias de mitigación pueden resultarnos útiles.

  • Listas blancas de aplicaciones (Application whitelisting)
  • Listas negras de aplicaciones (Application blacklisting)
  • Listas grises de aplicaciones (Application greylisting)
  • Mínimo privilegio (Least privilege)
  • Copias de seguridad (Backup)

 

El whitelisting de aplicaciones es sin duda la técnica más efectiva, sin embarco es extremadamente difícil de poner en práctica. Se basa en permitir únicamente la ejecución de aplicaciones aprobadas por la compañía, pero supone conocer todas y cada una de las aplicaciones y versiones utilizadas por cada usuario en cada equipo lo que se convierte en una tarea muy compleja en entornos medios y grandes. Es una buena aproximación para servidores pero no para endpoints.

 

El blacklisting de aplicaciones es el extremo contrario al anterior y consiste en bloquear aplicaciones maliciosas conocidas de manera similar al proceso que ejecutan las soluciones antivirus. Como se ha comentada anteriormente, las características de polimorfismo de los ransomware hacen esta técnica ineficiente ya que no es posible mantener una lista actualizada de las aplicaciones prohibidas.

 

La estrategia de greylisting de aplicaciones es posiblemente la mejor aproximación para mitigar el riesgo de infección por un ransomware. En esencia, se trata de bloquear las aplicaciones maliciosas conocidas (blacklisting) y limitar los privilegios que tienen las aplicaciones desconocidas como por ejemplo acceder a Internet o modificación de archivos. Esta técnica es muy efectiva, pero en el caso de usuarios con privilegios de administrador local su efectividad se reduce notablemente ya que ciertos ransomware puede ejecutar las acciones bloqueadas utilizando los privilegios del administrador.

 

El principio de mínimo privilegio consiste en otorgar al usuario únicamente los permisos que necesita para realizar su trabajo. Es demasiado habitual encontrar usuarios que tienen privilegios de administrador local cuando realmente no los necesitan.

 

Disponer de copias de seguridad actualizadas es una best practice altamente conocida. Es cierto que mantener sistemas de backup complejos puede resultar costoso, pero es necesario poner en la balanza el coste de estos sistemas frente a la posible pérdida irreparable de información que puede ocasionar un ataque por ransomware.

 

En resumen, la mejor aproximación sería la combinación de varias de las técnicas expuestas para mitigar el riesgo de ataque. Las recomendaciones serían los siguientes:

  • Aplicar whitelisting de aplicaciones en servidores
  • Eliminar los privilegios administrativos en los endpoints otorgando a los usuarios únicamente los permisos que necesitan en realidad, posibilitando elevar privilegios en caso de necesidad
  • Aplicar técnicas de greylisting en los endpoints, limitando los permisos de las aplicaciones desconocidas
  • Realizar backup periódicos, centrándose especialmente en la información crítica
  • Mantener el antivirus actualizado para bloquear amenazas conocidas.

Autor: Jose Angel Crego

Deja un comentario