El pasado 12 de Mayo un ciberataque afectó a importantes empresas españolas, se trata de la distribución de un malware del tipo ransomware (cifra los ficheros y pide un rescate de dinero a cambio). Este ransomware fue enviado, mediante correo Spam, con un asunto que invitaba al usuario a abrir el contenido adjunto.
El ransomware establecía una conexión con un servidor de internet (su creador), simplemente cifraba los ficheros y pedía unos 300 € para recuperar la información. Lo novedoso es que, además de la propia infección por ransomware, cada ordenador infectado buscaba otros ordenadores conectados a su propia red, o abiertos en Internet, tratando de explotar la vulnerabilidad MS17-10 de Microsoft publicada el 14 de Mayo.
Con este agujero de seguridad era posible infectar aquellos ordenadores vulnerables, directamente desde la red, enviándose a cada nuevo ordenador, y haciendo que a su vez infecte a otros, por lo que se ha combinado un ataque ransomware con un gusano.
El ransomware ya ha sido firmado por casi todos los fabricantes de antimalware. WatchGuard nos reporta que habrá nuevas modificaciones, nuevas versiones y un nuevo malware, por lo que no podemos bajar la guardia.
Con relación a la vulnerabilidad de Microsoft explotada por el malware, el fabricante ya había publicado parches para eliminarla. Por lo que los sistemas que no hayan sido actualizados en el último mes son vulnerables. Ante la gravedad y el impacto mediático Microsoft ha publicado parches para sus sistemas basados en Windows XP, Windows Vista y Windows Server 2003.
¿En qué consistió el ciberataque?
Este Ciberataque es la combinación de cuatro ataques:
- Envío masivo de SPAM
- Usuarios que abren ficheros desconocidos.
- Un malware del tipo ransomware
- Explotación en forma de gusano de una vulnerabilidad Microsoft
Cad&Lan desde su departamento de consultoría de seguridad perimetral os facilita unas pautas a seguir.
¿Cómo evitar el SPAM?
- Disponer de sistemas AntiSpam (dotada de sandbox, que ejecutara los ficheros antes de que lo haga el usuario, reduciendo notablemente estas amenazas) y antimalware en el perímetro de la red, para minimizar la probabilidad de que este tipo de correos lleguen a los usuarios.
Usuarios que abren ficheros desconocidos
- Formación y concienciación a los usuarios, es muy importante.
- No abrir ficheros extraños ni que no sean para ti.
- En Internet, si algo es gratis, es que el producto eres tú.
Contra el ransomware
- Disponer de un antimalware actualizado
- Tener en vuestras redes un firewall UTM que aporten protecciones específicas contra ransomware, APT o amenazas desconocidas.
- Garantizar una política de copias de seguridad, probada y con periodicidad adecuada. En caso de una infección, bastara con restaurar los ficheros.
- El sistema no debería poder acceder a los ficheros de copia de seguridad, en caso de infección, podrían cifrarse tanto los ficheros originales como sus copias, se recomienda Backup en modo Cloud
Contra la vulnerabilidad de Microsoft
- Activar firewall personal en todos los ordenadores y servidores basados en Windows.
- Desactivar, siempre que no sea imprescindible su uso, ñas opciones de “Uso compartido de archivos e impresoras para redes Microsoft” de tus tarjetas de red. Si compartes impresoras o ficheros, basta con desmarcar esta opción.
- Garantizar que el servidor o el ordenador estén actualizados, y mantener una política de actualización adecuada. Específicamente descargar e instalar los parches de la vulnerabilidad MS17-10. Estos parches existen para Windows XP, Vista, Server 2003, etc.
- Segmentar la red, creando zonas aisladas por los que puedan circular protocolos Microsoft. Se recuerda que estos protocolos viajan sobre los puertos 139 y 445.
