La vacuna más efectiva contra el Ransomware

Iniciado por el-brujo, 12 Mayo 2021, 12:17 PM

0 Miembros y 1 Visitante están viendo este tema.

el-brujo

¿Cuál es la manera más efectiva de proteger tu empresa contra un ataque de Ransomware?

Las lista de empresas afectadas cada día es más importante y grande:

El Sepe (Servicio de Empleo Publico Estatal de España , Adif, Acer,  Finsa, The Phone House, los Houston Rockets , Kia Motors, Whirlpool, Ayuntamientos, Ciudades, Departamentos de Policía. Hospitales, SegurCaixa Adeslas, Mapfre, Canon, Garmin, Orange, LG, Cadena Ser, Everis, Boeing,

Consejo profesional ¿cómo nos protegemos del ransomware?

- Instalar el teclado ruso en Windows en Windows (agregar) (No tienes que usarlo)
- Muchos ransomware no se iniciarán en sistemas en los que estén instalados ciertos teclados cirílicos
- Probablemente se la solución más simple pero efectiva de todas.

Añadir teclado Ruso vía registro:
https://github.com/Unit221B/Russian

https://twitter.com/elhackernet/status/1392229408992268292

No es una idea precisamente nueva:

Por ejemplo dicen que es exactamente lo primero que hace MinervaLabs para prevenir ataques de Ransomware

https://twitter.com/bry_campbell/status/1228288875799498753

https://twitter.com/briankrebs/status/1392163072970829830

Rusia y su relación con el ransomware
https://blog.elhacker.net/2021/04/rusia-y-su-relacion-conexion-el-ransomware.html

Otra idea igual de tonta, simple pero efectiva es hacer ver que tu sistema es una máquina virtual. Muchos ransomware hacen comprobaciones para ver que no estén siendo analizados de manera que si detecta que es una máquina virtual detiene el proceso.

https://github.com/d4rksystem/VMwareCloak

Lógicamente si la medida se hace popular, pues los autores de ransomware harán otro tipo de comprobaciones y no servirá de nada.

La manera más "lógica" a priori de saber si un dispositivo pertenece a Rusia es mirar la dirección IP, pero es mucho más fiable el teclado. Todos los trabajadores rusos que usen una VPN con una IP de otro país no serían detectados.

Consejos tradicionales

- Securizar RDP - Remote Desktop Protocol
- Segmentar la red - Segmentación de la red
- Cómo protegerse Ransomware de forma gratuita con Windows 10 con Windows Defender
- Herramientas específicas de protección (Anti-Ransom) Raccine
- Desactivar Windows Script Host
- Desactivar macros Microsoft Office
- Deshabilitar Powershell


Fuente:
Medidas prevención para evitar que un ransomware secuestre tu empresa
https://blog.elhacker.net/2021/03/medidas-prevencion-para-evitar-que-un-ransomware-cifre-tu-empresa.html

Medidas prevención ataques de ransomware

1- Segmentar la red
2- Control tráfico entrada-salida
3- Actualizar
4-  Copias de seguridad
5- Acceso remoto limitado
6- Contraseñas texto plano
7-  Cifrado
8- Wifi invitados
9- IDS/IPS
10- Denunciar
11- Bloquear macros Office

Fuente:
https://glider.es/las-10-claves-del-exito/

Saberuneko

Ya que compartí la info por Twitter, aprovecho para ponerla también por aquí.

Cómo instalar otros idiomas de teclado en Win 10:

1.- Abrir Inicio
2.- Botón de Settings


3.- Hora e Idioma


4.- Idioma, en el panel izquierdo
5.- Agregar un idioma


6.- Tiramos de buscador si hace falta
7.- Clicamos en el idioma
8.- Pulsamos Siguiente


En el paso final preguntará qué características instalar, no hace falta instalar texto a voz, reconocimiento de voz ni escritura a mano. Con el paquete de Idioma basta para instalar el teclado.

Danielㅤ

#2
Hola, muy buenos consejos!

Amigo brujo sumado a lo que recomiendas, también hay que tener todos los softwares actualizados, en especial los que son de seguridad, no tan sólo el software sinó también las bases de datos de firmas.

También es muy importante y necesario tener instalado Malwarebytes para Empresas:
https://es.malwarebytes.com/business/

También un buen firewall como Comodo Business Firewall Software:
https://personalfirewall.comodo.com/best-small-business-firewall.php






Antiransomware, la solución de seguridad para proteger tus datos


AppCheck Anti-Ransomware

AppCheck Anti-Ransomware es otra aplicación gratuita y antiransomware que ha sido desarrollada para permitir a los usuarios detectar y bloquear cualquier ransomware que pueda poner en peligro todos nuestros datos.



https://www.checkmal.com/product/appcheck/


Trend Micro RansomBuster

Una de las principales características de Ransombuster es la detección basada en el comportamiento, protección de carpetas y restauración de archivos. Ante el primer signo de actividad sospechosa, esta herramienta realiza una copia de seguridad de cualquier archivo que el malware atacante esté intentando bloquear o cifrar. También cuenta con otras funciones interesantes como la protección de determinadas carpetas y otras muchas que tiene que ver con la restauración de archivos.



https://www.ransombuster.trendmicro.com/


Avira Ransomware Protection

Otro de los antiransomware de referencia es el que nos ofrece la famosa firma de seguridad Avira. Una herramienta que podemos conseguir de forma gratuita y que ha sigo galardonado como uno de los mejore antivrus gratuitos que cuenta con protección frente el ransomware. Es capaz de detectar pautas de comportamiento propio de este tipo de amenazas para poder ser detectadas antes de que se hagan con el control de nuestros datos.



https://www.avira.com/es/ransomware-protection


Kaspersky Anti-Ransomware

La famosa compañía de seguridad de origen ruso también cuenta con su propia herramienta antiransomware gratuita que proporciona protección comprobada contra algunos ransomware tan populares como WannaCry, Petya, Bad Rabbit, Locky, TeslaCrypt, etc. Además, se trata de un software compatible con otras herramientas de seguridad o antivirus. Cuenta con funciones muy interesantes como la protección de carpetas compartidas o la detección de criptomineros.



https://www.kaspersky.com/anti-ransomware-tool


Malwarebytes Antiransomware

Esta solución utiliza tecnología proactiva avanzada que es capaz de controlar cualquier actividad sospechosa de un ransomware para detectarlo antes de que pueda cifrar o bloquear el acceso a nuestros archivos. Ofrece protección contra todo tipo de ransomware, incluidos los más potentes como Cryptlocker, Cryptowall o CTBLocker, entre otros.



https://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware/


GrindSoft Anti-Ransomware

Otra herramienta para protegernos del ransomware es la que ofrece GrindSoft. En esta ocasión, se comporta como una vacuna para nuestro ordenador, un simple clic activa la protección y evitaremos que cualquier ransomware pueda cifrar nuestros archivos.



https://anti-ransomware.gridinsoft.com/


RansomFree de Cybereason

Este software es capaz de detectar y bloquear todo el ransomware de forma automática. Para conseguir esta precisión de detección el sistema identifica el comportamiento de ransomware basándose en el análisis a lo largo del tiempo de miles de variantes de ransomware y sus patrones de comportamiento.

Este software coloca archivos de cebo en el ordenador y se ejecuta en segundo plano. De este modo es capaz de monitorizar el comportamiento de cualquier posible ataque de ransomware.



https://www.cybereason.com/ransomware-resources


Bitdefender Anti-Ransomware

Esta herramienta contra el ransomware de Bitdefender monitoriza el sistema y permite detectar algunas familias de ransomware como CTB-Locker, Locky, Petya y TeslaCrypt.



https://www.bitdefender.com/solutions/


Fuente https://www.adslzone.net/reportajes/antivirus/anti-ransomware/
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

fzp

Cita de: el-brujo en 12 Mayo 2021, 12:17 PM
Medidas prevención para evitar que un ransomware secuestre tu empresa
...
4-  Copias de seguridad
...

Que bien le habría venido al SEPE esa recomendación.
Recomendación complementaria a esa: y disponer de DVD, USB o algún sistema externo de inicio, restauración y/o reparación del S.O. Parece tonto pero hay mucha gente que no lo tiene y luego se tira de los pelos no ya por un ataque de ransonware sino por problemas corrientes.

Trollwer

Para evitar la metástasis del Ransomware, es buena opción apagar de golpe el equipo si sabes que te acabas de infectar de un ransomware? de esta forma, no se podría propagar, y podrías hacer copias de seguridad de los archivos restantes, además de cortarles las alas al ransomware atreves de abrir tu dispositivo de almacenamiento donde está iniciado su SO, como un dispositivo de almacenamiento externo y manipular los archivos infectados y eliminar el propio ransomware :rolleyes:
¿Qué opináis?
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

el-brujo

Citar, es buena opción apagar de golpe el equipo si sabes que te acabas de infectar de un ransomware?

En absoluto es un mala idea, de hecho se recomienda desconectar el cable de red para evitar la propagación (básicamente que cifre unidades de red y demás) y poder aislar el equipo afectado.

De hecho es un consejo que ya ha dado por ejemplo el INCIBE (Instituto Nacional de Ciberseguridad) en algunos de sus manuales.

Gestión de incidentes de ransomware - CCN-CERT - CNI
https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/5864-ccn-cert-bp-21-gestion-de-incidentes-de-ransomware/file.html



Pero normalmente cuando te das cuenta, ya es demasiado tarde. El cifrado suele ser bastante rápido, y la nota de rescate aparece lo último (cuando ya está todo cifrado).

Incluso muchos ransomware se activan en fin de semana ,cuando hay menos gente en la oficina, para hacer más daño y no ser detectados.



Danielㅤ

#6
Cita de: Trollwer en 14 Mayo 2021, 13:36 PM
Para evitar la metástasis del Ransomware, es buena opción apagar de golpe el equipo si sabes que te acabas de infectar de un ransomware? de esta forma, no se podría propagar, y podrías hacer copias de seguridad de los archivos restantes, además de cortarles las alas al ransomware atreves de abrir tu dispositivo de almacenamiento donde está iniciado su SO, como un dispositivo de almacenamiento externo y manipular los archivos infectados y eliminar el propio ransomware :rolleyes:
¿Qué opináis?

No eso no es así.... primero las empresas tienen un sistema de UPS o grupo electrógeno que si cortas la corriente, lo mismo van a seguir funcionando las máquinas.

Por otro lado hacer eso que recomiendas puede causar más problemas ya que estarías apagando equipos de una forma brusca y forzada que puede causar daños con los archivos y programas de trabajo e incluso hasta daños físicos por ejemplo en los discos SSD.

Eso que recomiendas no va a funcionar, es más los Ransomware están tan programados y automatizados para cumplir su objetivo, que aunque las máquinas se apaguen de golpe y se vuelvan a encender, va a seguir cifrando porque seguro va a detectar que el proceso de cifrado fue detenido de forma forzada, estos tipos de malware son bastante inteligentes por decirlo de alguna manera y tienen todo preparado por si "algo sale mal".


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

MinusFour

Cita de: Trollwer en 14 Mayo 2021, 13:36 PM
Para evitar la metástasis del Ransomware, es buena opción apagar de golpe el equipo si sabes que te acabas de infectar de un ransomware? de esta forma, no se podría propagar, y podrías hacer copias de seguridad de los archivos restantes, además de cortarles las alas al ransomware atreves de abrir tu dispositivo de almacenamiento donde está iniciado su SO, como un dispositivo de almacenamiento externo y manipular los archivos infectados y eliminar el propio ransomware :rolleyes:
¿Qué opináis?

¿Si acabas de abrir un archivo que sabes que tenia un ransomware? Pues yo diría que si. Pero literalmente dos segundos o así. La mayoría no se da cuenta que se ha infectado de ransomware hasta que es muy tarde. Hay ransomware que deja la llave en memoria y a veces es posible rescatarla, por eso no se recomienda apagar el equipo una vez infectado.

Lo seguro es desconectar la red como dice el-brujo, para evitar que intente cifrar documentos compartidos o que se intente propagar a otros equipos (como por RDP últimamente).

WHK

#8
CitarPara evitar la metástasis del Ransomware, es buena opción apagar de golpe el equipo

Eso es lo peor que puedes hacer, de hecho si estás en una empresa probablemente te despidan si haces eso porque perderás toda la información del servidor que aun está en memoria como bases de datos, registros importantes y cosas similares, cuando enciendas el equipo no podrás recuperar los datos y hasta puede que actives otras funcionalidades del mismo ransomware para ser mas agresivo aun, ya que no es normal que apagues un servidor.

Lo primero que se debe hacer es aislar la red y comenzar a hacer forense para evitar que se siga propagando y crear una red limpia para comenzar a migrar los servicios que aun no estan infectados. Hay que pensar que si ya estás infectado es porque tu antivirus fue incapaz de detectar y detener la amenaza, asi que en esa situación ya estás en el plan B que consiste en intentar detener la propagación y comenzar a migrar servicios para mantener la continuidad operativa.

CitarOtra idea igual de tonta, simple pero efectiva es hacer ver que tu sistema es una máquina virtual

He visto empresas con sus sistemas virtuales cifrados, no creo que sea una buena idea modificar el sistema para hacer creer a un software que está en un ambiente virtualizado porque de eso dependen otros softwares corporativos mas grandes y puede provocar que no funcionen bien.


Personalmente creo que hay tres puntos clave para evitar el ransomware:

1. Capacitar a las personas que usan la red que se pudiera infectar. Esto evita que un ransomware entre por phishing (como sucede en la mayoría de las veces).
2. Evitar utilizar sistemas susceptibles a ransomware, que tengan una curva de corrección de vulnerabilidades muy lenta o que no tenga un soporte a la altura de los tiermpos modernos. En otras palabras, evitaría utilizar Windows en servidores y servicios de correos.
3. Contar con personal técnico que tenga conciencia y le tome el peso a lo que significa la seguridad informática, mas allá de sus conocimientos técnicos en la materia.

Generalmente cuando una compañía cae en un ransomware es porque omitió alguno de estos tres puntos.

La protección por software automatizado como un ids o un ips son solo agentes mitigantes, no buscan dar una solución a un agujero de seguridad sino a mitigarlos mientras que tienes el tiempo suficiente para dar una solución final, ningún sistema es 100% infalible y cuando pretendes delegar la seguridad completamente a productos y softwares terminas tarde o temprano con incidencias de alto impacto, por eso es que siempre debe haber un mix balanceado entre la capacidad humana y el uso de software automatizado. Los sistemas de protección son agentes mitigantes pero el problema de raiz está en los usuarios de la red, el sistema con la vulnerabildad o en tu área informática que prefiere cerrar los ojos y hacer que la palabra ransomware no existe, si solucionas esos tres problemas solucionas la entrada de un ransomware y los sistemas de mitigación quedan en un segundo plano protegiendo al perímetro y a los aplicativos en caso de alguna detección.

Saludos.

Serapis

CitarPara evitar la metástasis del Ransomware, es buena opción apagar de golpe el equipo
No es tan mala idea, pero ciñéndose exclusivamente a un equipo personal, doméstico, no en un entorno empresarial. ...donde no hay problemas de propagación a otros equipos ni nadie por encima de ti para decirte que debes hacer o no.

Ahora no está exento de riesgos. Los cortes repentinos con el suministro de corriente pueden impedir el arranque del S.O. porque se pueden dañar ficheros precisos para el arranque. Aunque (en este caso concreto) uno debe valorar, si la necesitad de un supuesto formateo, previo rescate del contenido personal (documentos, imágenes, que no hay copia en parte alguna), compensa frente al secuestro de ese mismo contenido.

En un caso así, si es probable que uno esté frente al equipo de casa, cuando el ransomware pudiera empezar a cifrar... aunque un programa bien diseñado, es de suponer que espere hasta que detecte que ha pasado cierto tiempo de inactividad por parte del usuario... precisamente para reducir todo lo posible la capacidad de  maniobra del usuario.