jueves, 11 de mayo de 2017

Ransomware: de infecciones aleatorias a epidemia, un nuevo negocio.

Introducción.
Ya hemos definido Ransomware en otros artículos en este blog, pero hoy vamos a cambiarla por "Delito Cibernético", ya que se está convirtiendo en una industria, un modelo de negocio para aquellos que no tienen escrúpulos y ponen en jaque pequeñas y grandes empresas.

Análisis
El año 2017 empezó con todo en cuanto respecta a Ransomware. En los últimos meses ya han surgido más casos que en todo el 2016, y con cierto nivel de complejidad que supera técnicamente las versiones de Ransomware del año pasado.
La pregunta que nos hacen las organizaciones o pequeñas en cuanto a este tipo de epidemia, (ya dejaron ser casos aislados de infección, ya hay una ocurrencia con cierta referencia y programada), "¿Qué pueden hacer las organizaciones y que pueden esperar en el futuro de estas amenazas?".
Analizando desde hace un año las diferentes versiones de estos malware, el comportamiento de los mismos, las acciones de prevencion de detección, el ascenso del valor del bitcoin (pensar que en agosto del año pasado rondaba los U$S 590)  y los intentos de intrusión deliverados, podemos decir que esta epidemia recién empieza y el que no esté preparado va a terminar siendo una víctima de infección.

La pregunta que nos hacemos los Analistas de Seguridad, ¿Que ha causado que programadores con tanto conocimiento o talento se dediquen a esta actividad delictiva?.  Ante el desconocimiento de las organizaciones de como actuar ante esta amenaza y la manera rápida, anónima y fácil de ganar dinero, observamos que esto hoy se ha convertido en un modelo de negocio, una nueva plataforma ha surgido, "Crimen-As-Services".

Haciendo seguimiento de una billetera virtual la semana pasada,  un intruso en un día recolectó por pagos de extorsiones 719 bitcoins. Un negocio redondo en donde no se paga impuestos, el anonimato está asegurado y se aseguran un gran porcentaje de pago de las extorsiones por que las organizaciones siguen administrando aún las plataformas de tecnología como lo venían haciendo hace 10 años.

Extorsión digital
El Ransomware se ha convertido en un cambio de paradigma dentro de los delitos, siendo un secuestro virtual, en donde la víctima es la información de las organizaciones.
Al principio era por medio de envío de mails "phishing" con el fin de engañar e infectar a usuarios de una red, pero eso provocaba que el intruso debiera esperar que el atacado mordiera el anzuelo. La ansiedad y la voracidad de los atacantes por tener cada vez más bitcoins, ha provocado ya ataques direcionados, en busqueda de servidores publicados a Internet con vulnerabilidades expuestas y que sean aprovechadas con el fin de introducir de alguna manera un Ransomware en el servidor. Hemos detectado muchos ataques de fuerza bruta a puertos publicados de RDP (Terminal Server de Microsoft) y ataques a IIS (Internet Information Services) , en donde explotando una vulnerabilidad lograron inyectar un keylogger para hacerse de cuentas válidas y luego ingresar el malware.

Información en jaque?
Una de las cosas que observamos es que la mayoría de las compañias no saben que activos informáticos pertenecen a los procesos críticos de negocio, por ende si un activo es comprometido, lo será tambien la organización. ¿Cuánto va a invertir en seguridad si no saben que proteger? ¿La Organización no sabe que proteger, es bueno o malo? Hoy las organizaciones no saben o no tienen cuantificado cuanto vale la información, solo se darán cuenta cuando la información este cifrada y el usuario no tenga acceso.
Entonces, surge la pregunta del rigor :¿Por que la empresa debería pagar un rescate por su propia información?. Si hacen bien la tarea, NO se debería pagar a los extorsionadores de la información digital.

Ser una víctima: si o no
En estos dos años de análisis de casos de Ransomware, observamos que las empresas invierten lo justo en Seguridad Informática. La balanza está entre la prevención e invertir tiempo y alguna solución de protección de seguridad versus el pago del rescate. Hoy cualquiera puede ser una víctima de Ransomware, el tema radica en donde queremos estar, si viendo como estamos protegidos o bien, analizando de donde vamos a sacar 2,5 bitcoins para pagar un rescate (valor promedio de una infección tipica de Ransomware).

Las Organizaciones deben trabajar en prevención, he aquí algunas recomendaciones:

1) Capacitar al personal: generar campañas de concientización en las personas que trabajan en la compañia, pensando en como pueden protegerse en sus cuentas personales para que generen un hábito para todo lo que apliquen luego. No fuerce y baje directivas que impongan una forma de trabajo, esto no siempre resulta.

2) Antimalware: contar con una plataforma antimalware con análisis de comportamiento es una buena ayuda a la prevención.

3) Contraseñas fuertes: utilizar contraseñas complejas.

4) Servicios a Internet: restringir los servicios que se publican a Internet. Utilizar accesos seguros mediante el uso de VPN utilizando SSL.

5) Monitorear: un intruso persevera y triunfa por que nadie lo bloquea o deniega el acceso. Monitore los accesos a la plataforma, sobre todos los externos.

6) Oculte la información del negocio: no deje de fácil acceso la información que es fundamental para los procesos de negocio.

7) Resguardos / backups: Pregunte al negocio cuanto tiempo puede estar sin acceso a la información. Esto le va a indicar cada cuanto debe hacer backups. Un backup a la semana o una vez al día ya no es negociable, piense en resguardos con más periodicidad, piense en lo que necesita su Organización.

8) Actualizaciones: mantenga las plataformas actualizadas, una vulnerabilidad que ha sido publicada por algún boletín, permite que algun intruso en algún momento la explote.

9) NO pague Rescate.

Si no posee un listado de sus Procesos de Negocio y de los Activos que forman parte de ella, no sabrá el valor de los activos y esto puede dar lugar a que termine en una situación en donde deba pagar rescate de una información que a lo mejor no lo vale.

Ser precavido es la mejor defensa.

Hasta la proxima....

Nota: mientras terminabamos esta redacción, Telefónica de España y algunos Hospitales de Reino Unido, están siendo atacado de manera masiva con un Ransomware.

Alertas:

 - Wanna Decryptor: http://www.iosmovil.com/wanna-decryptor-asi-funciona-el-supuesto-ransomware-que-se-ha-usado-en-el-ciberataque-a-telefonica/

- Ataque masivo de ransomware: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html.

No hay comentarios.: