11 ag. COM PROTEGIR-SE CONTRA EL RANSOMWARE

Des de fa uns anys, el Ransomware s’ha convertit en una de les amenaces més grans per les empreses a nivell de seguretat informàtica però anem a pams.

¿Què és el Ransomware?

Abans que res per si sabeu de què parlem, el Ransomware és un atac delictiu per el qual s’encripten els nostres fitxers mitjançant una contrasenya que la majoria de vegades és impossible de desxifrar i que provoca la pèrdua de tots els fitxers afectats. Generalment els fitxers compartits de la xarxa però pot afectar equips sencers. Llavors s’ens demanarà que paguem un rescat per poder recuperar-los que pot oscil·lar entre els 500 i 9.000 € els qual hauran de ser abonats en bitcoins per no poder fer-ne un seguiment. A més per angoixar-nos encara més ens donaran una hora / data límit per poder fer el pagament o ja no hi haurà possibilitat de recuperar-los pagant.

Hi ha molts testimonis per internet d’empreses que paguen per recuperar els fitxers i no reben resposta, en alguns casos inclús segueixen demanant més diners un cop fet el primer pagament. A més pagant diners a aquesta gent contribuïm a xarxes delictives organitzades sense cap escrúpol per el que financem que puguin continuar les seves activitats delictives.

Típica finestra de Ransomware en la qual ens demanen pagament en bitcoins i a més tenim un comptador que va disminuint, un cop arribi a 0 perdrem els nostres fitxers.

¿Qui fa aquests atacs?

Normalment són xarxes de delinqüents organitzades que operen des de qualsevol lloc del món per el que es fa molt difícil poder detenir-los. També hi ha individus que realitzen aquestes activitats de forma solitària.

¿Com ho fan?

En general aquestes persones per anomenar-les suaument utilitzen phishing (suplantació d’identitat) en el correu electrònic o pàgines web, fent-se passar per una empresa de missatgeria, un banc o un proveïdor. Hem vist casos que fins hi tot intercepten correus de l’empresa i fan servir capçaleres de correus de proveïdors de confiança, adjuntant una suposada factura o albarà per el que és molt fàcil caure en el parany.

Una vegada s’executa aquest fitxer o s’obra la pàgina web indicada el virus Ransomware, començarà de forma silenciosa a infectar tots els fitxers de l’equip i totes les unitats i carpetes que trobi a la xarxa local, el qual provoca un desastre molt gran, ja que en general en una empresa la majoria de bases de dades, fitxers, etc, es troben compartits per tal que diferents persones hi puguin treballar simultàniament.

També en alguns casos utilitzen connexions per RDP (connexió remota) guanyant accés a l’equip per una tècnica anomenada força bruta (introducció de contrasenyes aleatòries de diccionari o habituals).

¿Com protegir-se?

Per el moment no hi ha una solució màgica única, crec que la millor protecció és una sèrie de mesures en paral·lel que facin la tasca més complicada a aquests energúmens. Hem fet una llista per ajudar-vos a protegir-se contra això, ho hem dividit en dues seccions, preventives i post-desastre.

Preventives

TALLAFOCS: Disposar d’un bon tallafocs és imprescindible, un aparell que bloquegi al màxim possible els atacs, amb un sistema incorporat d’anàlisi de paquets per tal que l’amenaça no entri i el bloqueig de tots els ports excepte els absolutament necessaris. Els routers que faciliten les empreses de telefonia disposen d’un tallafocs però el seu ús és tan habitual i el seu cost tan baix que no es pot considerar una mesura de protecció eficient. Són fàcils de piratejar

Tallafocs Sonicwall TZ400

VPN: En cas que necessitem treballar per remot imprescindible que les connexions siguin segures, per experiència sabem que treballar per remot amb un port obert sense un túnel SSL al 2020, és una temeritat.

ANTI-VIRUS: Que els equips tinguin un bon antivirus instal·lat també pot ajudar en alguns casos si bé no en tots, però com diem, es tracta de crear capes de seguretat diferents per fer la feina més difícil als atacants.

VIRTUALITZACIÓ: Tenir màquines virtuals millora molt la protecció ja que en cas de tenir un equip compromès, és més difícil de que l’amenaça surti de l’entorn virtualitzat, especialment a la màquina física i les copies que pugui contenir.

BONES PRÀCTIQUES: Aquesta potser és la més important de totes, sense unes bones pràctiques de seguretat a l’empresa totes les mesures que posem seran ineficaces, per exemple a nivell de contrasenyes, que siguin robustes, amb símbols, majúscules, minúscules i que no siguin una paraula del diccionari, canviar-les de tant en tant, no compartir-les amb tothom, no enviar-les per correu electrònic, no tenir-les apuntades a la vista amb un post-it. Canviar les contrasenyes per defecte dels dispositius de l’empresa. Aplicar polítiques de bloqueig d’usuaris que introdueixin malament la contrassenya més de X cops. Tenir els permisos de carpetes només per els departaments que realment ho necessitin i no compartits per a tothom de base també pot ajudar a millorar la seguretat entre d’altres coses.

Post-desastre

BACKUPS LOCALS: En cas que el mal ja sigui fet, el més important és tenir diverses còpies de seguretat per tal de recuperar els fitxers el més ràpid possible. Cal ser imaginatiu i per exemple utilitzar dispositius NAS que s’apaguin en les hores que no es fa la còpia per evitar el seu accés. Encriptar-les i protegir-les amb una contrasenya única o utilitzar un rang de la xarxa diferent únicament per les còpies locals. Tenir diverses còpies amb sistemes diferents pot ajudar a que no es vegin afectades. Per exemple les còpies de seguretat de Windows Server en cas d’un atac d’aquestes característiques la majoria de vegades són encriptades i no serveixen, els atacants coneixen perfectament les mesures habituals i són les primeres que es veuen compromeses.

BACKUP ONLINE / FORA DE L’EMPRESA: La còpia dels de fitxers fora de l’empresa és imprescindible, ja sigui mitjançant un servei de backup en línia o bé amb el sistema tradicional de copia en un dispositiu de forma manual (disc dur o pen drive) però cal ser regular en aquest cas i protegir el dispositiu amb una mesura eficient de seguretat per el cas que si perdem el dispositiu no es pugui accedir a les dades. En aquest cas fer servir els dos sistemes també és una opció recomanable, tenir més còpies sempre suma.

Moltes empreses són atacades per Ransomware diàriament, és una amenaça a tenir molt en compte i que provoca una disrupció en l’operativa de l’empresa que pot variar de hores a dies segons el cas per el que tota precaució és poca.

Esperem que aquest article us pugui ajudar a protegir millor la vostra empresa, si voleu que us ajudem a fer-ho estarem encantats de donar-vos suport al respecte.