El ransomware no para por vacaciones


El ransomware no para por vacaciones, y sino que se lo digan a tantos sysadmin que este mes de Agosto van a tener que pausar su periodo de descanso tras el típico aviso de un compañero... "José, ¡nos han cifrado la empresa!".

No hablamos por hablar, este último trimestre hemos atendido un volumen muy alto de infecciones por ransomware desde nuestro equipo de respuesta a incidentes, y todos bajo un patrón muy similar. En todos ellos, unas credenciales por defecto o muy sencillas de adivinar en un servicio del tipo  VPN/TeamViewer/RDP/etc. eran suficientes para que un delincuente se conectase a un equipo interno y comenzase a pulular por la red, desplegando mutaciones de ransomwares que no eran detectados por los motores antivirus. 

Por suerte, a las pocas horas, o al día siguiente, las firmas ya estaban extendidas, y el problema se cortaba de raíz. Pero durante esas primeras horas podría dar tiempo a los delincuentes a cifrar todos los archivos de carpetas compartidas y de los puestos de trabajo y servidores a los que han tenido acceso. Y es más, sino eran modificadas las credenciales comprometidas, esto podía seguir sucediendo una y otra vez. ¿Os suena verdad?

Un modus operandi simple y funcional, que no requiere de unos conocimientos muy avanzados por parte de los atacantes, ni de exploits, ni 0-days. Un simple kit para compilar ransomware, que puede ser adquirido en cualquier foro de la red Tor por un puñado de criptomonedas, y un script buscando credenciales por defecto, son suficientes para poner en jaque a una empresa.

Crysis, Rapid... son muchos los ransom que últimamente están siendo utilizados contra empresas españolas. Y en todas ellas buscan el mismo patrón, servicios expuestos y credenciales débiles. 

Reducir el perímetro de exposición y hacer uso de credenciales robustas, que sean rotadas cada pocos meses, son dos pasos simples y obligatorios para tener una capa básica de seguridad. Por supuesto las actualizaciones, soluciones de seguridad perimetral, etc. son elementos más que necesarios, que irán sumando poco a poco diferentes capas de protección a nuestros sistemas expuestos a Internet.

Por suerte, todos los casos que hemos atendido estos meses han tenido final feliz, y hemos podido frenar la intrusión, recuperar la información secuestrada y solventar los problemas de seguridad para que no vuelvan a ocurrir.

Fuente imagen: Smashicons

No hay comentarios:

Publicar un comentario