Un año después de uno de los mayores ataques de ransomware de la historia nos preguntamos cómo se han protegido las empresas frente a ransomware.
Hace aproximadamente un año, el miedo y la preocupación envolvió a un grupo de empresas que perdieron una gran cantidad de información muy valiosa para su negocio, por un “virus” que secuestraba su información, al que se bautizó como “ransomware”.
La particularidad de este virus es que podía reproducirse en la red interna de la compañía a través de una vulnerabilidad de SMB que Microsoft ya había solventado, pero que afectaba a todos aquellos equipos que no habían sido actualizados.
Esta información había sido publicada en wikileaks sobre herramientas “Vault 7: CIA Hacking Tools”, que podían aprovecharse para crear malware y había sido utilizada incluso en SmartTV, de las que tomaban el control y a través de ellas espiaban a sus dueños.
Si bien todo esto resultó estar relacionado con agencias del gobierno, en este caso especifico el “virus” se encarga de secuestrar información de una empresa o institución para posteriormente solicitar un “rescate” que les permita recuperar esa información cifrada. El virus afectó a empresas de todo tipo, con independencia de su sector o tamaño, desde multinacionales hasta pymes.
En este artículo describiremos y mostraremos una combinación de ataques, de los cuales tú o tus empleados podéis ser víctimas.
¿Está tu empresa preparada para enfrentarse algo así?
Un correo electrónico, un servidor desprotegido, un dispositivo de almacenamiento contaminado o simplemente ¿mala suerte? ¿Cómo es que un “virus” de esta magnitud llega a entrar a nuestra red? ¿Está preparado para afrontar la pérdida de información e identificar de dónde provino la infección?
Si para algo sirvió este ataque fue para concienciar de la importancia de la seguridad en las empresas, ransomware se convirtió un problema real y la seguridad empezó a cobrar un papel más importante en las organizaciones, dejando de ser “una exageración del departamento de TI” como muchos creían hasta entonces.
La vulnerabilidad de la que venimos hablando es conocido como Office Dynamic Data Exchange (DDE) , y consiste en que el atacante, envía un documento (usualmente: Word, Excel) modificado, el cual contiene código malicioso que se ejecuta con el simple hecho de abrir dicho documento, no es necesaria mayor interacción del usuario más que hacer un par de clic’s, con ello es posible infectar un equipo y cifrar toda la información que se encuentre en él.
En el vídeo que mostramos a continuación dejamos una sencilla prueba de concepto (POC), en la que el equipo de ciberseguridad de Cad&Lan montó un laboratorio y toma control de un ordenador con la vulnerabilidad DDE. En él podemos ver como la “víctima” abre un documento que parece ser inofensivo y en realidad descarga programas maliciosos que capturan la información de su equipo.
¿Como nos protegemos?
Los ataques como ramsonware, suponen grandes pérdidas para las organizaciones, no sólo por los rescates que hay que abonar a los ciberdelincuentes, sino por los costes derivados de los tiempos de inactividad. Para evitar esto, existen algunas medidas preventivas que pueden adoptar las empresas:
- Educa tu personal
Asegúrate de que todos los usuarios de tu organización reciben concienciación en materia seguridad de TI, ya sea formación en línea o presencial. Estas capacitaciones buscan concienciar, en materia de seguridad, de todas actividad realizada en la organización, respecto a la seguridad de la información, respondiendo a necesidades de las entidades e incrementando el conocimiento, habilidades o conductas de su personal.
- Gestiona tu seguridad
Realiza un análisis de la situación actual de tu empresa mediante auditorias de seguridad o hacking ético, que te permita diseñar e implementamos planes de seguridad.
- Protégete de la infección
- Implementa una solución de seguridad como un antivirus o end point.
- Obtén la última versión de sus soluciones de software y manténgase actualizado.
- Habilita módulos de soluciones de end point críticos.
- Ajusta la configuración del módulo de seguridad (por ejemplo, habilite la heurística).
- Habilita herramientas de revisión de tráfico de red.
- Revisa las vulnerabilidades del software en su infraestructura regularmente y asegúrese de tener una administración automática de actualizaciones.
Conocimiento, educación y concienciación, combinadas con soluciones de seguridad, son la estrategia más recomendable para lograr que estas amenazas no afecten al funcionamiento diario de tu organización.
