Guía de supervivencia...Guía de supervivencia para casos de ransomware 3 RESUMEN EJECUTIVO El...

Guía de supervivencia

Lo que cada organización necesita saber antes, durante y después de un ataque

Guía de supervivencia para casos de ransomware 3

RESUMEN EJECUTIVOEl ransomware es una vieja amenaza que ha vuelto con furor y con nueva intensidad. Este tipo de malware, el cual debe su nombre al pago que exige después de bloquear los archivos de las víctimas, se ha convertido rápidamente en uno de los principales ataques cibernéticos. Casi un cuarto de todos los ataques por correo electrónico que utilizan archivos malintencionados ahora incluye la variante de ransomware denominada Locky1.

Según el FBI, los atacantes de ransomware recaudaron más de 209 millones de dólares en rescates solo en el primer trimestre de 2016 y el volumen de ataque fue 10 veces mayor que en todo el año 20152. Además del rescate mismo (suponiendo que la víctima pague), esos ataques tienen un precio muy alto: interrupciones de las labores empresariales, costos de reparación y disminución de la imagen.

La mayor parte del ransomware se propaga mediante correo electrónico de phishing, aunque los dispositivos móviles y los sitios web infectados también son vectores.

Por qué está en aumento el ransomware El ransomware ha hecho erupción en años recientes debido a cuatro factores importantes:

• Los atacantes cuentan con diversos canales de distribución, lo cual aumenta las probabilidades de que tengan éxito

• Su elaboración es ahora más barata que nunca

• Brinda objetivos más lucrativos que tienen una gran motivación para pagar el rescate

• Es más fácil cobrar el rescate, gracias al bitcoin y a otras monedas digitales

Cómo sobrevivir el ransomware La mayoría de las empresas no están bien preparadas para las amenazas de ransomware, según lo revela el informe sobre el estado de los extremos 2016 de Ponemon Institute. El estudio indica que el 56 % de las empresas encuestadas ha expresado que no cuenta con suficiente preparación para defenderse de ataques de ransomware. Solamente el 38 % afirma contar con una estrategia para hacer frente a software destructivo3.

Considere lo siguiente como punto de partida.

Antes del ataque La mejor estrategia de seguridad consiste en evitar el ransomware por completo. Ello requiere planificación y esfuerzo, antes de que la crisis llegue.

Cree copias de seguridad y restaure La parte más importante de cualquier estrategia de seguridad contra el ransomware consiste en realizar copias de seguridad regulares. De manera sorprendente, pocas organizaciones ejecutan copias de seguridad y simulacros de restauración. Ambas partes son importantes; los simulacros de restauración son la única manera de saber con anticipación si el plan de copias de seguridad está funcionando.

Actualice y aplique parches Mantenga los sistemas operativos, el software de seguridad y los parches al corriente en todos los dispositivos.

Capacite e instruya, tenga cuidado con las macros La capacitación y la concientización de los empleados son cruciales. Sus empleados necesitan saber qué hacer, qué no hacer, cómo evitar el ransomware y cómo informarlo. Si los empleados reciben una exigencia de rescate de ransomware, necesitan saber que deben informar al respecto al grupo de seguridad y que nunca deben tratar de pagar por su cuenta.

Invierta en soluciones de seguridad de correo electrónico, dispositivos móviles y redes sociales que sean robustas Hasta la mejor capacitación de usuarios no detendrá todo el ransomware.

1 Proofpoint. “Quarterly Threat Summary Jan-Mar 2016” [Resumen trimestral de amenazas de enero a marzo de 2016],abril de 2016. 2 Chris Francescani (NBC News). “Ransomware Hackers Blackmail U.S. Police Departments” [Piratas de ransomware extorsionan a departamentos de policía de EE. UU.], abril de 2016. David

Fitzpatrick y Drew Griffin (CNN Money). “Cyber-extortion Losses Skyrocket, says FBI” [Las pérdidas por ciberextorsiones aumentan rápidamente], abril de 2016. 3 Ponemon Institute LLC. “2016 State of the Endpoint Report” [Informe sobre el estado de los extremos 2016], abril de 2016.

4 Guía de supervivencia para casos de ransomware

Las soluciones de seguridad de correo electrónico avanzadas no protegerán en contra de los archivos adjuntos, los documentos y las direcciones URL malintencionados incluidos en los mensajes de correo electrónico que conducen al ransomware. También invierta en productos de protección contra ataques en dispositivos móviles a fin de evitar que aplicaciones móviles malintencionadas afecten su entorno.

Durante el ataque: Cómo volver a la normalidad Aunque la mejor estrategia contra el ransomware consiste en evitarlo por completo, este consejo no sirve de nada si se acaba de infectar.

Tiene que resolver un problema a corto plazo, tal como volver a poner en marcha computadoras, teléfonos y redes, y hacer frente a las exigencias de rescate.

Llame al FBI La notificación a las autoridades correspondientes es un primer paso necesario. Visite www.fbi.gov/contact-us/legal-attache-offices para localizar la oficina de campo más cercana a usted o llame a esa oficina.

Desconéctese de la red En el momento en que los empleados vean una exigencia de ransomware u observen algo raro, se deben desconectar de la red y llevar la máquina infectada al departamento de TI.

Solamente el grupo de seguridad de TI debe intentar reiniciar el sistema y eso solo funcionará si se trata de scareware falso o de malware móvil rudimentario.

Determine el ámbito del problema haciendo uso de inteligencia sobre amenazas Su respuesta, incluyendo si pagará o no el rescate, depende de varios factores:

• El tipo de ataque

• Quién se ha visto afectado en la red

• Con qué permisos de red cuentan las cuentas afectadas

Organice una respuesta Una gran parte de su respuesta consiste en decidir si pagará el rescate. La respuesta es complicada y podría requerir que consulte con las autoridades policiacas y con su asesor jurídico. El pago podría ser inevitable.

No dé por sentado que las herramientas de descifrado de ransomware funcionarán La mayoría de las herramientas gratuitas solamente funciona con una variedad de ransomware o con una sola campaña de ataque. A medida que los atacantes

actualizan el ransomware, las herramientas se vuelven obsoletas ante él.

Restaure a partir de las copias de seguridad La única manera de recuperarse totalmente de una infección de ransomware consiste en restaurar todo a partir de la copia de seguridad. Sin embargo, aun con copias de seguridad recientes, el pago del rescate podría ser más favorable desde el punto de vista económico y operativo.

Después del ataque: Analice y fortalezca Es recomendable que realice una evaluación de la seguridad de principio a fin, para encontrar lo que aún permanezca en su entorno. Haga un examen meticuloso de sus herramientas y procedimientos de seguridad, así como de sus puntos débiles.

Limpieza Algunas variedades de ransomware contienen otras amenazas o troyanos de puerta trasera que pueden conducir a ataques en el futuro.

Busque detenidamente cualquier ataque oculto que se le haya pasado por alto durante el caos.

Análisis post mortem Analice su nivel de preparación y respuesta ante amenazas. Si no averigua la forma en que se perpetró el ataque, no tendrá modo de detener el siguiente.

Evalúe el nivel de concientización de los usuarios Los empleados bien informados son su última línea de defensa. Asegúrese de que los empleados, el personal o los docentes estén preparados.

Instrucción y capacitación Desarrolle un plan de estudios que cubra la vulnerabilidad de los empleados respecto a los ciberataques. Cree un plan de comunicación durante situaciones de crisis, en caso de un ataque en el futuro, y realice simulacros y pruebas de penetración.

Refuerce sus defensas El panorama de amenazas de acelerado cambio de hoy requiere de soluciones de seguridad que pueden analizar, identificar y bloquear en tiempo real las direcciones URL y los archivos adjuntos malintencionados que sirvan como vehículo para los principales ataques de ransomware.

Busque soluciones de seguridad que se puedan adaptar según las amenazas nuevas y emergentes, y que ayuden a responder a ellas con rapidez.


Introducción


INTRODUCCIÓNAún no había amanecido el 25 de abril de 2016, cuando alguien en Lansing Board of Water & Light (BWL) de Michigan abrió un archivo adjunto de correo electrónico de aspecto inocente. Activado por ese solo clic, comenzó a avanzar una infección por toda la red empresarial de BWL. Bloqueó archivos críticos y exigió pago para restaurar el acceso.

La tercera empresa de servicios públicos más grande del estado había caído víctima del ransomware. Los ejecutivos rápidamente pusieron fuera de servicio la red corporativa para contener la propagación del ransomware.

“En los 40 años que tengo en la empresa, nunca antes había visto algo de esta magnitud”, señaló Dick Peffley, gerente general de BWL. “Nuestros sistemas de control de horas, teléfonos, computadoras e impresoras, todo lo cual se necesita para realizar las tareas administrativas en BWL, están desactivados en este momento”4.

Tomó una semana para que pasara la borrasca y se restauraran los servicios de TI corporativos5.

Lamentablemente, esa empresa no ha sido la única. En los últimos meses, el ransomware se ha convertido aceleradamente en uno de los principales ataques cibernéticos. Cerca de un 25 % de todos los ataques por correo electrónico que se valen de archivos adjuntos malintencionados ahora incluyen la variedad de ransomware Locky6.

La mayoría de las empresas no están bien preparadas para las amenazas de ransomware, tal como lo revela el informe sobre el estado de los extremos 2016 del Ponemon Institute. El estudio indica que el 56 % de las empresas encuestadas ha expresado que no cuenta con suficiente preparación para defenderse de ataques de ransomware. Solamente el 38 % afirma contar con una estrategia para hacer frente a software destructivo7.

Considere lo siguiente como punto de partida. Revelaremos los factores que están detrás del vertiginoso aumento, lo que debe hacer si le sucede a usted y, lo más importante, cómo evitar caer víctima del todo.

4 Alexandra Ilitch (WLNS). “BWL network infected by ‘ransomware’ phishing virus” [Red de BWL infectada con virus de phishing tipo ransomware], abril de 2016. 5 Max Metzger (SC Magazine UK). “Michigan electrical utility company hit with ransomware attack” [Empresa de electricidad de Michigan afectada por ataque de ransomware], mayo de 2016. 6 Proofpoint. “Quarterly Threat Summary Jan-Mar 2016” [Resumen trimestral de amenazas de enero a marzo de 2016],abril de 2016. 7 Ponemon Institute LLC. “2016 State of the Endpoint Report” [Informe sobre el estado de los extremos 2016], abril de 2016.

Un mensaje de twitter envía información a los clientes de BWL durante el ataque de ransomware de abril de 2016.

“En los 40 años que tengo en la empresa, nunca antes había visto algo de esta magnitud”.

Dick Peffley, gerente general de BWL


UNA VIEJA AMENAZA COBRA NUEVA VIDAEl ransomware es una vieja amenaza que ha vuelto con furor y nuevas variantes en los últimos meses. Bloquea el acceso a un sistema o a datos informáticos, normalmente mediante el cifrado con extensiones específicas (JPG, DOC, PPT, etc.). Los archivos permanecen fuera del alcance hasta que la víctima pague al atacante a fin de recibir el código de cifrado para desbloquear los archivos. En muchos casos, la exigencia de pago viene con un plazo. Si no se cumple, el rescate puede duplicarse o los datos se pueden perder para siempre o incluso destruirse.

El verdadero costo Según el FBI, los atacantes de ransomware recolectaron más de 209 millones de dólares de sus víctimas solo en los primeros tres meses de 2016 y el volumen de ataques ha sido 10 veces mayor que el de todo el año 20158.

Además del rescate mismo (suponiendo que la víctima pague), esos ataques tienen un precio muy alto: interrupciones de las labores empresariales, costos de reparación y disminución de la imagen.

Considere el ataque sufrido por BWL. Aunque no parecía ser un ataque dirigido hacia los sistemas de control industrial, el ransomware causó muchos estragos. El hecho de no tener acceso a la información crítica ni a los sistemas de trabajo puede retardar la respuesta a emergencias y poner en peligro la seguridad pública.

El sector hospitalario ha sido seriamente afectado. Las infecciones bloquean los expedientes de los pacientes, disminuyen el flujo de trabajo y hasta afectan los sistemas de supervisión de pacientes. Debido a ello, la corrección del ransomware podría ser un asunto de vida o muerte.

Explotación del factor humano Tal como sucedió con el ataque a BWL, la mayoría del ransomware se propaga mediante mensajes de correo electrónico de phishing. Dichos mensajes engañan a los usuarios para que abran un archivo adjunto malintencionado o para que hagan clic en una dirección URL malévola.

En febrero de 2016, Locky infectó el Hospital Metodista de Kentucky por medio de una campaña de correo electrónico dirigida.

Después de que un empleado abrió lo que parecía ser una factura sin pagar, Locky se ejecutó y se propagó automáticamente por toda la red interna. Bloqueó estaciones de trabajo y restringió el acceso al servidor central. El hospital tenía que decidir entre: restaurar cada estación de trabajo a partir de las copias de seguridad o pagar cuatro módicos bitcoins (alrededor de 1.600 dólares) para desbloquear los archivos.

A principios de ese mes, nuestros investigadores habían descubierto esa variedad de Locky. Locky se propaga principalmente mediante los adjuntos de Microsoft Word, a menudo disfrazados como facturas sin pagar. Al abrir el documento, se pide al usuario que habilite macros. Si lo hacen, se descarga un archivo ejecutable conocido como Troj/Ransom-CGXis que procede de un servidor remoto. Dicho archivo cifra archivos delicados y ejecuta Locky9.

Una vez que se cifran los archivos, se muestra un mensaje que exige un pago, el cual generalmente incluye instrucciones que tienen que ver con la red Tor y bitcoin. La víctima no puede ni cerrar ni evadir el mensaje. El problema no se resuelve aunque se pulsen las teclas CTRL+ALT+SUPR o se reinicie el sistema.

DE DÓNDE PROCEDEEl ransomware se distribuye mediante tres vectores principales de ataque:

• Correo electrónico

• Dispositivos móviles

• Sitios web o vínculos infectados en redes sociales, y publicidad contaminada con malware (publicidad malintencionada)

Hasta ahora, el correo electrónico con archivos adjuntos o vínculos malintencionados presenta el mayor vector de amenaza, y equivale a cerca del 85 % de todo el ransomware que hemos detectado.

Esos mensajes se ven como que fueran legítimos y pueden engañar a los empleados desprevenidos. A menudo, los mensajes de correo electrónico se disfrazan a modo de actualizaciones de software oficiales, facturas no pagadas o hasta una nota que procede de un jefe y está dirigida a un subordinado directo.

8 Chris Francescani (NBC News). “Ransomware Hackers Blackmail U.S. Police Departments” [Piratas de ransomware extorsionan a departamentos de policía de EE. UU.], abril de 2016. David Fitzpatrick y Drew Griffin (CNN Money). “Cyber-extortion Losses Skyrocket, says FBI” [Las pérdidas por ciberextorsiones aumentan rápidamente], abril de 2016.

9 “Dridex Actors Get In the Ransomware Game With ‘Locky’” [Los actores de Dridex ingresan en el juego del ransomware con ‘Locky’], febrero de 2016.

La mayoría del ransomware se propaga mediante mensajes de correo electrónico como este.


POR QUÉ ESTÁ EN AUMENTOEl ransomware es un atraco que empezó décadas atrás. Sin embargo, ha hecho erupción en años recientes debido a cuatro factores importantes::

Más canales de distribución Los cibercriminales pueden atacar a miles de entidades de manera simultánea empleando una variedad de vehículos de ataque. Eso significa que las explotaciones de ransomware están teniendo más éxito con mayor frecuencia.

Las puertas de enlace de correo electrónico tradicionales se ven abrumadas con amenazas por todos los flancos:

• Campañas masivas de correo electrónico basadas en botnet

• Malware polimórfico que supera la capacidad de los proveedores de seguridad para crear nuevas firmas

• Direcciones URL y publicidades malintencionadas que no contienen archivos adjuntos

En conjunto, todos estos factores brindan al ransomware mayores probabilidades de que triunfe.

Su elaboración es más barata Como en cualquier sector, el éxito genera éxito. Los autores de ransomware han perfeccionado su arte. Las herramientas sofisticadas que hubieran sido factibles solamente para una élite de cibercriminales unos años atrás, ahora están a disposición de todos. Como resultado, el índice de éxito es mayor y a la larga, se ha convertido en una economía de escala.

Si se envían 4.000 ataques en un solo día y solamente el 1 % de los destinatarios paga una recompensa de 400 dólares, el

ingreso en un día de trabajo es de 16.000 dólares. A lo largo de un año, las ganancias pueden llegar a ser de millones.

Objetivos más lucrativos En lugar de dirigirse a personas individuales, los cibercriminales cada vez más están dirigiendo la mirada hacia organizaciones con datos delicados, con departamentos de TI bajo excesiva presión y con una gran motivación para llegar a un acuerdo rápido. Lo que agrega más leña al fuego son las deficientes configuraciones de red comunes en hospitales, departamentos de policía, instituciones académicas y otros organismos estatales y locales.

En esas organizaciones, la inactividad de la red no es una opción. No es de sorprender que muchas empresas hagan un rápido cálculo para darse cuenta de que pagar el rescate es la mejor opción.

El bitcoin y otras monedas digitales Desde su debut en 2009, el bitcoin se ha convertido en aliado tanto de libertarios civiles como de cibercriminales. No hay manera de seguirle la pista a los pagos hasta el remitente y el destinatario, lo cual brinda una manera anónima y libre de fricciones para realizar transacciones en el comercio privado.

Al exigir el pago en bitcoin, los cibercriminales logran el anonimato, el cual facilita aún más que nunca el cobro del rescate. Las primeras versiones de ransomware podrían requerir el uso de una tarjeta de débito prepagada. Aunque este método puede eludir las medidas antifraude de los bancos, es mucho más incómodo en ambos lados de la transacción.

Todas las principales variantes de ransomware requieren el pago en bitcoin. (Véase la barra lateral en la página 9).

Dridex Locky Pony Vawtrak CryptoWall

Principales cargas dañinas de malware según el volumen de mensajesCampañas con archivos adjuntos de enero a marzo de 2016

Fuente: Proofpoint, Inc.


Crecimiento de las variantes de ransomware desde diciembre de 2015Fuente: Proofpoint, Inc.

Nue

vo r

aso

mw

are

cum

ulat

ivo

El rastro del dinero en bitcoinEn el secuestro tradicional con rescate, el mayor desafío siempre ha sido recaudar el rescate y eludir las consecuencias. Lamentablemente, los cibercriminales de ransomware tienen una senda mucho más fácil.

La forma más popular de pago implica criptomonedas a las que no se les puede seguir la pista, siendo la más conocida el bitcoin. El bitcoin permite el pago de persona a persona por medio de internet y no involucra a ningún banco o gobierno. Hay 21 millones de bitcoins en el mundo. Desde su debut en 2008, esa moneda ha experimentado tempestuosas fluctuaciones. Al tiempo de esta publicación, un bitcoin equivale a casi 600 USD.

Una manera fácil de visualizar las criptomonedas consiste en compararlas con las fichas de casino. Las fichas no tienen ningún valor intrínseco, pero los usuarios pueden comprarlas con su moneda local y utilizarlas en ese lugar, en este caso la internet, para luego intercambiarlas por divisas al salir.

De manera similar, las criptomonedas se pueden comprar en línea con una tarjeta de crédito o una cuenta bancaria, por medio de fuentes legítimas. En los casos de ransomware, las víctimas convierten su moneda local en “tres bitcoins”, por ejemplo, y luego envían los bitcoins mediante una billetera de bitcoins haciendo uso de la dirección de bitcoin anónima proporcionada por el atacante.

Las monedas no siempre van directamente al atacante. Generalmente, las fichas llegan a un “mezclador”, el cual es un servicio electrónico que mezcla los bitcoins entre ellos y después los dispensa al atacante (con una numeración distinta, pero con el mismo valor, menos una comisión).

Al igual que el lavado de dinero en el mundo físico, los atacantes pueden terminar recibiendo un pago que no se puede rastrear. A continuación, ese pago se vuelve a convertir a la moneda local mediante el intercambio de los bitcoins (las fichas) con dinero en efectivo.

Observe que a diferencia de las monedas con respaldo gubernamental, las criptomonedas no se reconocen ampliamente a modo de dinero. En su lugar, se consideran como equivalentes a fichas de póker o de juego. Por lo tanto, no se regulan ni el sistema de transmisión ni los mezcladores, ni tampoco se considera lavado de dinero, aunque el efecto sea dudosamente el mismo.

El atractivo del bitcoin es obvio. Brinda a los atacantes una cibermoneda disponible en todo el mundo y difícil de rastrear que se convierte directamente a la moneda local, en otras palabras, son “billetes sin marcar”.

Es un método que ofrece ventajas clave por encima del uso de tarjetas de crédito robadas, cuyo valor se desploma cada día, debido a que las instituciones financieras se han vuelto cada vez más diestras en desactivar rápidamente las cuentas de las víctimas.

7/12/15 6/1/16 5/2/16 6/3/16


RANSOMWARE MÓVILImagine que toma su teléfono y que en lugar de ver la pantalla de inicio, se muestra una advertencia, supuestamente del FBI, en la que se le acusa de ver imágenes ilícitas. Su teléfono ha sido cifrado y alguien le amenaza con comunicarse con las autoridades, a menos que le entregue 300 dólares a cambio de hacer desaparecer el problema.

Para innumerables cantidades de usuarios móviles, esta situación es demasiado real y es solo un ejemplo de cienes de versiones de ransomware. Cerca del 98 % de ellas se dirigen al sistema operativo Android.

Hemos detectado tres vectores principales de ataque en el ransomware móvil.

Android Nos hemos dado cuenta de que el ransomware dirigido a Android se deriva de la misma familia general que la variante de ransomware Cryptolocker. Se podría disfrazar como una actualización de Adobe Flash Player que requiere permiso. O bien, podría acompañar un juego popular o una aplicación “gratuita” de una tienda de aplicaciones corrupta. (Una gran mayoría del ransomware de Android procede de tiendas de aplicaciones de terceros y no de la Google Play Store oficial).

Una vez iniciado, el ransomware cifra el dispositivo móvil y exige un pago con un plazo, generalmente en bitcoin.

Aplicaciones distribuidas por SMS Por lo general, son aplicaciones pornográficas que se apoderan de la pantalla del dispositivo, a menudo con

imágenes censurables, y que exigen pago para hacerlas desaparecer. Por lo general, se propagan mediante mensajes de texto, pero también se encuentran en las redes sociales, a menudo en mensajes directos de Twitter o Instagram.

A diferencia de la mayor parte del ransomware, generalmente los datos no se cifran. Sin embargo, para los usuarios el efecto es el mismo, ya que los dispositivos se bloquean. Es posible eludir este tipo de amenaza, pero también es bastante complicado. Muchos usuarios optan por simplemente pagar el rescate.

Exploradores iOS El ransomware que se dirige a dispositivos iOS normalmente se basa en internet. A menudo advierte a la víctima que ha descargado imágenes ilegales o afirma que el dispositivo se ha infectado. Para desbloquear o “corregir” el dispositivo, se dirige a la víctima a un sitio de pago mediante bitcoin o una tarjeta de débito prepagada.

Esos sitios de ransomware fraudulentos se propagan principalmente por medio de anuncios malintencionados de sitios web para adultos. La tasa de conversión de pago por parte de las víctimas en esos sitios es baja. Sin embargo, si cientos de miles o millones de víctimas se infectan cada semana, la estafa rinde frutos.

Al momento de publicar este documento, no hemos observado el cifrado amplio de dispositivos iOS. La mayoría de esas estafas solamente bloquean a las víctimas de modo que no pueden utilizar su explorador.

Incidentes o problemas más seriosFuente: Ponemon

71 %Ataques de

día cero

68 %DDoS

53 %Explotación de

vulnerabilidades de software existentes

(de más de 3 meses)

51 %Ransomware

47 %Ataques de

malware en web


Cómo evitar el ransomwareLa mejor estrategia de seguridad consiste en evitar la extorsión del todo. Eso está dentro del

alcance de la mayoría de las empresas, pero requiere de planificación y esfuerzo, antes de que

la crisis llegue.

Antes del ataque


Cree copias de seguridad y restaure La parte más importante de cualquier estrategia de seguridad contra el ransomware consiste en copias de seguridad regulares. La mayoría de las empresas lo hacen, pero de manera sorprendente muy pocas ejecutan copias de seguridad y simulacros de restauración. Ambas partes son importantes; los simulacros de restauración son la única manera de saber con anticipación si el plan de copias de seguridad está funcionando.

Quizá tenga que hacer algunas modificaciones antes de que llegue una crisis. Si las pruebas de copia de seguridad y restauración se realizan de forma regular, las infecciones de ransomware no tendrán un impacto devastador, ya que usted contará con un punto de recuperación seguro y reciente.

Reiteramos: la mayoría de las empresas y personas realizan copias de seguridad. Sin embargo, las pruebas regulares de una restauración total son igualmente cruciales.

Actualice y aplique parches Asegúrese de que los sistemas operativos, el software de seguridad y los parches estén al corriente en todos los dispositivos. Suena bastante básico, pero según una encuesta reciente, cerca de la mitad de los profesionales de TI reconocen que se les dificulta mantenerse al corriente con la gran cantidad de parches que se lanzan cada mes. Los encuestados señalaron que las actualizaciones varían ampliamente en términos de complejidad y calendario de lanzamiento.

Los grupos también tienen que hacer frente al hecho de que al actualizar ciertas aplicaciones, como Adobe Flash, se podría afectar otra funcionalidad interna que dependa del software. Los piratas comprenden que esos y otros factores conducen a la “fatiga por exceso de parches” y desarrollan sus explotaciones en torno a ello9.

Capacite e instruya, tenga cuidado con las macros La mayoría del ransomware comienza con un empleado con buenas intenciones que abre lo que parece ser un mensaje de correo electrónico relacionado con el trabajo.

Es por eso que la capacitación y la concientización de los empleados son cruciales. Sus empleados necesitan saber qué hacer, qué no hacer, cómo evitar el ransomware y cómo informarlo. Si alguien recibe una exigencia de rescate de ransomware, necesita saber que debe informar al respecto al grupo de seguridad y que nunca debe tratar de pagar por su cuenta. (El pago puede ocasionar graves ramificaciones de reputación de marca y de seguridad).

Según nuestro informe, los cibercriminales explotan de forma activa los errores y la curiosidad de los humanos. El aumento reciente en la cantidad de mensajes de correo electrónico de ransomware forma parte de una tendencia

mayor de crimen cibernético, en el cual se engaña a los humanos para que se conviertan en cómplices con el objetivo de bloquear la información y exigir pago10.

Esos ataques se aprovechan de la falta de concientización de los usuarios y por lo general les requieren que abran archivos adjuntos de Word o de JavaScript, y que habiliten las macros. Una vez que los usuarios hacen clic en el botón “Habilitar contenido”, la macro malintencionada descarga el ransomware e inicia el proceso de ataque. Una opción consiste en deshabilitar las secuencias de comandos de las macros en los archivos de oficina transmitidos por correo electrónico. Sin embargo, algunas macros son de utilidad y al deshabilitarlas se podría perjudicar la productividad.

Invierta en soluciones de seguridad de correo electrónico, dispositivos móviles y redes sociales que sean robustas Hasta la mejor capacitación de los usuarios no detendrá todo el ransomware. El correo electrónico de phishing de hoy es sofisticado y busca objetivos muy específicos. Los ataques investigan detenidamente a sus blancos a fin de crear mensajes que se vean legítimos y se alimentan de la naturaleza humana a fin de convencer a los usuarios para que hagan clic.

Debido a que la mayoría del ransomware se transmite por medio de correo electrónico, dispositivos móviles y redes sociales, usted necesita soluciones avanzadas que puedan detener esas amenazas en tiempo real. Según nuestra investigación, el volumen general de mensajes de correo electrónico malintencionado aumentó vertiginosamente en el primer trimestre de 2015; en un 66 % por encima del cuarto trimestre de 2015 y en más del 800 % por arriba del mismo período de tiempo en 201511.

Las puertas de enlace de correo electrónico, los filtros web y el software antivirus tradicionales deben actualizarse y ejecutarse en todas las redes. Sin embargo, no pueden contrarrestar las amenazas de ransomware por ellos mismos. Las soluciones de seguridad del correo electrónico eficaces deben ir más a fondo. Eso significa que deben analizar las direcciones URL incorporadas y los archivos adjuntos para asegurarse de que no haya contenido que afecte el sistema. Los ciberladrones siempre están un paso adelante y las configuraciones de seguridad del correo electrónico habituales dependen demasiado de firmas obsoletas.

Las soluciones de seguridad del correo electrónico avanzadas protegen en contra de los archivos adjuntos, los documentos y las direcciones de URL malévolos que se encuentran en los mensajes que conducen al ransomware. Al mismo tiempo, invierta en productos de protección contra ataques móviles a fin de detener las aplicaciones móviles malintencionadas para que no pongan en peligro su entorno.

9 Tripwire, Inc. “Tripwire 2016 Patch Management Study” [Estudio de administración de parches de Tripwire 2016], marzo de 2016. 10 Proofpoint. “The Human Factor 2016” [El factor humano 2016], febrero de 2016.11 Proofpoint. “The Human Factor 2016” [El factor humano 2016], febrero de 2016.


IMPACTO DEL RANSOMWARE EN EL MUNDO REAL: Centro Médico Presbiteriano de Hollywood El incidente que podría ser el incidente de ransomware más conocido y con mayor cobertura sucedió en el Centro Médico Presbiteriano de Hollywood. El 5 de febrero de 2016, trabajadores del hospital descubrieron que no podían acceder a sus computadoras o a la red.

Los atacantes habían tomado el control haciendo uso del ransomware Locky mediante un mensaje de correo electrónico infectado. Al igual que la mayoría de las infecciones de Locky, el mensaje aparentaba ser una factura sin pagar. Desgraciadamente, el destinatario hizo clic en “habilitar macros” cuando se le indicó, lo cual descargó y ejecutó el malware. A aquellos que intentaron acceder a la red se les informó en cuanto a la exigencia de rescate y se les dirigió al sitio de pago.

Los piratas exigían 40 bitcoins, o un equivalente a 17.000 dólares en ese momento. Las computadoras estuvieron desconectadas durante más de una semana, mientras los oficiales del hospital se esforzaban por encontrar una solución. Se llamó al 9-1-1 en el caso de algunos pacientes y otros de ellos fueron enviados a otros hospitales de la localidad. Al final, los ejecutivos del hospital determinaron que la única salida era pagar el rescate, lo cual hicieron. Recibieron el descifrador de Locky y pusieron la red nuevamente en funcionamiento.

Centro Médico Presbiteriano de Hollywood, Los Ángeles, California.


Volver a lo básicoHa sido afectado por ransomware. ¿Qué debe hacer ahora?

Aunque la mejor estrategia contra el ransomware consiste en evitarlo por completo, este consejo no

sirve de nada si se acaba de infectar. Tiene que resolver un problema a corto plazo, tal como volver

a poner en marcha computadoras, teléfonos y redes, y hacer frente a las exigencias de rescate.

Sin embargo, una respuesta con pánico no ayudará y podría empeorar las cosas.

Durante el ataque


Llame al FBI El ransomware es un crimen que implica el robo y la extorsión. Nadie tiene derecho a apoderarse de dispositivos, redes o datos, y mucho menos a exigir una recompensa a cambio de ello. La notificación a las autoridades adecuadas es un primer paso necesario.

Visite la oficina de campo más cercana a usted. No tenga miedo de tomar el teléfono y llamar a las autoridades. Su labor consiste en ayudarle.

Desconéctese de la red En el momento en que los empleados vean una exigencia de ransomware u observen algo raro, tal como la pérdida repentina del acceso a sus propios archivos, se deben desconectar de la red y llevar la máquina infectada al departamento de TI.

No es recomendable que los empleados reinicien el sistema. Solamente el grupo de seguridad de TI deben intentar el reinicio y eso solo funcionará si se trata de scareware falso o de malware móvil rudimentario.

En esos casos, lo que parece ser ransomware se describe mejor como “scareware”. Podría bloquear la pantalla del usuario con una exigencia de rescate e instrucciones de pago, pero los datos realmente no se cifran. En esos casos, con solamente pulsar las teclas CTRL+ALT+SUPR, abrir el “Administrador de tareas” de Windows y cerrar el explorador se solucionará el problema.

Determine el ámbito del problema mediante el uso de inteligencia sobre amenazas Aunque todo el ransomware es perjudicial, algunos ataques son peores que otros. Su respuesta, incluyendo el hecho de que pague el rescate, depende de varios factores.

Haga estas preguntas:

• ¿De qué tipo de ataque se trata? El ransomware deja tarjetas de visita y su respuesta podría depender de quién ha realizado el ataque y de las herramientas utilizadas.

• ¿Quién se ha visto afectado en la red?

• ¿Con qué permisos de red cuentan las cuentas afectadas?

Sus respuestas deben ayudar a los administradores de red a medir el problema, a concebir un plan de acción y a posiblemente detener la propagación.

Organice una respuesta Dependiendo de la configuración de la red, podría ser posible confinar la propagación en una sola estación de trabajo.

En el mejor de los casos: una nueva computadora reemplaza la máquina infectada y se realiza una restauración a partir de la copia de seguridad. En el peor de los casos: se infectan todas las máquinas de la red. Eso requerirá un rápido cálculo de costo-beneficio que sopese las horas de trabajo necesarias para resolver el problema frente a sencillamente pagar el rescate.

Una gran parte de su respuesta consiste en decidir si pagará el rescate. La respuesta es complicada y podría requerir que consulte con las autoridades policiacas y con su asesor jurídico. Para muchas víctimas, el pago podría ser inevitable (véase la página 16).

No dé por sentado que las herramientas de descifrado de ransomware funcionarán Algunos proveedores de seguridad ofrecen programas de descifrado de ransomware gratuitos. En algunos casos, pueden ayudarle a recuperar sus datos sin pagar el rescate.

No obstante, la mayoría de ellas solamente funciona con una variedad de ransomware o con una sola campaña de ataque. A medida que los atacantes actualizan el ransomware, las herramientas se vuelven obsoletas ante él.

Podría tener suerte con una herramienta de descifrado gratis, pero no la considere parte de su plan de respuesta a incidentes.

Restaure a partir de las copias de seguridad La única manera de recuperarse totalmente de una infección de ransomware consiste en restaurar todo a partir de la copia de seguridad, la cual se debe realizar cada día. Esto debería ser el último paso a tomar después de la infección, pero debe hacerse a modo de prevención.

Aún con copias de seguridad recientes, el pago del rescate podría ser más favorable desde el punto de vista económico y operativo. La restauración de las copias de seguridad toma tiempo y esfuerzo. Es probable que algunas empresas no puedan darse el lujo de tener tiempo de inactividad.


Pagar o no pagar: el dilema moral del ransomwareEl ransomware es por sí solo un problema. No obstante, uno de sus aspectos más despreciables es que fuerza a la víctima a hacer frente a un ultimátum y a un dilema moral. Al encontrarse bajo la presión de una amenaza de ransomware, no siempre se cuenta con el tiempo para sopesar detenidamente el aspecto moral de pagar el rescate. El ataque está aquí, en este momento.

Hasta ahora, las explotaciones de malware han requerido principalmente de procedimientos directos: detección del fraude, presentación de informes y resolución. El ransomware ahora introduce el factor moral en la ecuación.

El pago no es solamente repugnante, sino que es un mal necesario. Brinda dinero de manera activa al atacante que ha irrumpido en su red y ha robado sus datos. Le marca a usted como alguien con una red vulnerable y la motivación para pagar. Permite que el cibercriminal tenga fondos para perpetrar ataques en el futuro.

Sin embargo, el ataque recientemente sufrido por el Centro Médico Presbiteriano de Hollywood (en la página 13) destaca una desagradable realidad: no siempre hay una clara respuesta correcta o incorrecta respecto al pago.

Ninguna organización desea que se le extorsione y mucho menos financiar las redes criminales. Volviendo al caso, ¿qué opciones tenía el hospital? De alguna manera, es el precio que se paga por contar con departamentos de TI subfinanciados que ejecutan software al que no se le aplican revisiones ni actualizaciones. En los Estados Unidos, todavía hay hospitales que ejecutan Windows XP. Además, 17.000 dólares es un precio relativamente módico que pagar cuando hay vidas en peligro.

El mismo FBI ha aconsejado a las víctimas que “paguen el rescate”, según lo indica Joseph Bonavolonta, agente asistente especial a cargo del programa cibernético y de contrainteligencia de la oficina del FBI en Boston12. Sin embargo, la agencia de manera oficial desaconseja el pago. Señala que aunque se pague, existe la posibilidad de que no se recuperen los datos13.

Las organizaciones deben considerar los factores en conflicto al decidir la mejor forma de proceder. Dichos factores podrían incluir:

• El lapso de tiempo y las horas de trabajo que tomará para volver a ponerse en marcha

• Las responsabilidades ante los accionistas de mantener a la empresa en funcionamiento

• La seguridad de los clientes y los empleados

• Las actividades criminales que el pago podría financiar.

Como sucede con las preguntas complejas, no habrá dos organizaciones que respondan del mismo modo.

12 Tess Danielson (Business Insider). “The FBI says you may need to pay up if hackers infect your computer with ransomware” [El FBI señala que quizá sea necesario pagar si los piratas han infectado su computadora con ransomware], octubre de 2015.

13 FBI. “Ransomware”, abril de 2016.

El pago no es solamente repugnante, sino que es un mal necesario. Brinda dinero de manera activa al atacante que ha irrumpido en su red y ha robado sus datos.


Analice y fortalezcaIndependientemente del daño ocasionado por el ransomware, el ataque revela que una falla en la

seguridad causó que se afectará un dispositivo o una red. Ahora que todo ha vuelto a la normalidad,

usted tiene la oportunidad de aprender de la brecha de seguridad y de evitar ataques en el futuro.

Es recomendable que realice una evaluación de la seguridad de principio a fin, la cual quizá

realice una firma de servicios externa, a fin de detectar cualquier amenaza que aún permanezca en

su entorno. Ahora también es hora de examinar detenidamente sus herramientas y procedimientos

de seguridad, y de ver dónde se quedan cortas.

Después del ataque


Limpieza Algunas variedades de ransomware contienen otras amenazas o troyanos de puerta trasera que pueden conducir a ataques en el futuro. Es por eso que es imperativo que cada uno de los dispositivos se limpie y se restaure a partir de una copia de seguridad limpia. Busque detenidamente cualquier ataque oculto que se le haya pasado por alto durante el caos.

Análisis post mortem Analice su nivel de preparación y respuesta ante amenazas. ¿Cómo se ejecutó el plan de crisis? ¿Podemos mejorar las configuraciones de red a fin de abordar ataques en el futuro? ¿Podemos implementar una solución de seguridad de correo electrónico más robusta?

Realice una auditoría de las medidas de seguridad actuales y pregúntese si son suficientes para combatir las amenazas de hoy. Aprenda de esta experiencia, porque podría volver a suceder. Si no averigua la forma en que se perpetró el ataque, no tendrá modo de detener el siguiente.

Evalúe el nivel de concientización de los usuarios La mayoría de las variedades de ransomware dependen de la interacción con seres humanos para implementar sus cargas dañinas. Si las medidas de seguridad actuales fallan y una “factura sin pagar” infectada llega hasta el servidor de correo, el empleado bien informado es la última línea de defensa a fin de que una empresa, un hospital o una institución académica se mantenga en línea o se convierta en otra estadística de ransomware. Asegúrese de que los empleados, el personal o los docentes estén preparados.

También podría valer la pena invertir en empresas de pruebas de penetración, cuyo objetivo consiste en aumentar la concientización de los empleados y en mejorar la seguridad de las compañías. Al replicar los ataques del mundo real mediante phishing, ingeniería social y explotaciones en redes sociales, los “evaluadores de penetración” pueden analizar e identificar las vulnerabilidades de seguridad antes de que se produzcan ataques reales.

Instrucción y capacitación Después de analizar el nivel de concientización de los empleados, desarrolle un plan de estudios con el fin de abordar la vulnerabilidad de estos ante los ataques cibernéticos, incluyendo las lecciones aprendidas a partir de

los incidentes anteriores. Elabore un plan de comunicación durante crisis en caso de un ataque en el futuro y haga seguimiento con simulacros y pruebas de penetración, tal como se ha descrito.

Invierta en defensas modernas Los piratas y otros cibercriminales han estado de manera histórica un paso adelante de las medidas de seguridad de extremos y de los profesionales de imposición de la ley.

Aunque la mayoría de las redes tienen capacidad para bloquear las amenazas conocidas, el panorama de amenazas de acelerado cambio de hoy requiere de soluciones de seguridad que puedan analizar, identificar y bloquear en tiempo real las direcciones URL y los archivos adjuntos malintencionados que sirvan como vehículo para los principales ataques de ransomware.

Busque soluciones de seguridad que se puedan adaptar a las amenazas nuevas y emergentes, y que le ayuden a responder a ellas con mayor rapidez.

CONCLUSIÓNEl ransomware ha resurgido de manera impactante y lucrativa. Estas pautas le ayudarán a comenzar para que pueda hacer frente al ransomware antes, durante y después de un ataque real.

Por supuesto, la manera más fácil de combatir el ransomware consiste en detenerlo en las puertas. Eso requiere de una solución de amenazas avanzada que pueda detectar el ransomware que se entrega mediante correo electrónico, dispositivos móviles y redes sociales.

La ciberseguridad robusta identifica y aniquila el ransomware antes de que ingrese en su entorno. Eso incluye la capacidad para analizar los archivos adjuntos y los vínculos de correo electrónico en tiempo real, desarmar las amenazas en un entorno virtual y actualizar las políticas en la marcha. De esa forma se reduce el factor humano, el cual es el eslabón más débil en la mayoría de las estructuras.

Para averiguar más en cuanto a cómo detener los ataques de ransomware, visite www.proofpoint.com/targeted-attack-protection.


LISTA DE CONTROL DE SUPERVIVENCIA PARA CASOS DE RANSOMWAREEsta lista de control rápida le ayudará a evaluar cuán preparado está para evitar y manejar amenazas de ransomware.

Antes: Cómo evitar el ransomware

Cree copias de seguridad y restaure

Actualice y aplique parches

Capacite e instruya a los usuarios

Invierta en soluciones de seguridad de correo electrónico, dispositivos móviles y redes sociales que sean robustas

Durante: Cómo volver a la normalidad

Llame al FBI

Desconéctese de la red

Determine el ámbito del problema haciendo uso de inteligencia sobre amenazas

Organice una respuesta

No dé por sentado que las herramientas de descifrado de ransomware funcionarán

Restaure a partir de las copias de seguridad

Después: Analice y fortalezca

Limpieza

Análisis post mortem

Evalúe el nivel de concientización de los usuarios

Instrucción y capacitación

Invierta en defensas modernas

ACERCA DE PROOFPOINTProofpoint, Inc. (NASDAQ:PFPT) es una empresa de ciberseguridad de siguiente generación que permite que las organizaciones protejan la manera en que la gente trabaja en la actualidad de las amenazas avanzadas y los riesgos de cumplimiento. Proofpoint ayuda a los profesionales de ciberseguridad a proteger a sus usuarios de los ataques avanzados que se dirigen a ellos (por medio de correo electrónico, aplicaciones móviles y redes sociales), a proteger la información crítica que la gente crea y a equipar a sus grupos con la inteligencia y las herramientas adecuadas para que respondan rápidamente cuando algo vaya mal. Las organizaciones líderes de todos los tamaños, incluyendo más del 50 por ciento de las empresas Fortune 100, confían en las soluciones de Proofpoint, las cuales se han diseñado para los entornos de TI móviles y habilitados para las redes sociales de hoy, y aprovechan tanto la potencia de la nube como una plataforma de análisis centrado en macrodatos para combatir las amenazas avanzadas modernas.

www.proofpoint.com ©Proofpoint, Inc. Proofpoint es una marca comercial de Proofpoint, Inc. en Estados Unidos y otros países. El resto de marcas comerciales mencionadas pertenecen a sus respectivos propietarios.

Guía de supervivencia...Guía de supervivencia para casos de ransomware 3 RESUMEN EJECUTIVO El...

Documents

Transcript of Guía de supervivencia...Guía de supervivencia para casos de ransomware 3 RESUMEN EJECUTIVO El...