Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1. Introducción1.1 ¿Qué es QK14?
1.2 Licencia
1.3 Objetivo de la guía
1.4 Qué es un ransomware
1.5 Forma de infección o intrusión del ransomware
2. ¿Qué medidas debe implementar una empresa?2.1 Medidas informáticas
2.1.1 Copias de seguridad
2.2.2 Antivirus y Honeypots
2.1.2.2 Bitdefender Anti-Ransomware 21
2.1.2.3 Cryptoprevent 24
2.1.2.4 Ransomfree 26 2.1.2.5 Antiransomware 27
ÍNDÍCE
6789
1214151621
2.1.3 Configuraciones ESET Anti-Ransomware 29
2.1.4 Vtzilla Addons para Mozilla 30
2.1.5 Latch ARW 31
2.2 Medidas humanas2.2.1 Formación
2.2.2 Phishing controlado
3. Ya soy víctima de ransomware 353.1 ¿Qué puedo hacer? 36
3.2 ¿A quién puedo pedir ayuda? 37
4. Conclusiones 38
ÍNDÍCE
3234
Una persona o varias un día crearon los virus informáticos que bloqueaban el acceso al ordenador y/o engañaban al usuario para que pagara un dinero para su desbloqueo. ¿Recuerdas el virus de la policía?
Actualmente cifran los archivos para pedir su rescate. Quizás sea una de las estafas más rentables del mundo. ¿Cuanto pagarías por la información de tu ordenador? ¿Y una empresa?
1. INTRODUCCIÓN
Autor: “un ransomware es un secreto a voces, por el que te estafan con su silencio.”
Es una empresa localizada en Sevilla que nacio en 2013 con el objetivo de prestar un servicio técnico y jurídico.
Actualmente dispone de un equipo multidisciplinar que realiza trabajos de peritaje informáticos, auditoría de seguridad, big data y desarrollo de aplicaciones y dispositivos de seguridad informática.
1.1 ¿Qué es QuantiKa14?
Desde el principio hemos ayudado a empresas víctimas de ransomware en la medida de lo posible, proporcionando soluciones preventivas y de recuperación en el caso de ser posible. Más de 200 empresas han contactado con nosotros desde 2014 pidiendo ayuda contra esta gran amenaza.
1.2 Licencia de la guía
Es muy difícil crear un guía para que cualquier usuario independientemente de sus conocimientos técnicos pueda comprender todo al 100%. Por ello, hemos decidido realizar un documento mixto para que tanto administradores de sistemas, como gerentes , o cualquier cargo de responsabilidad de una empresa pueda saber cómo prevenir contra esta amenaza.
Los puntos que queremos que el lector aprenda son:
1. Cómo los ciberdelincuentes llegan a infectar y por qué
2. Qué medidas técnicas y humanas existen
3. Qué aplicaciones existen para llevar acabo tales medidas
1.3 OBJETIVO DE LA GUÍA
El ransomware (también conocido como rogueware o scareware) restringe el acceso a su sistema y exige el pago de un rescate para eliminar la restricción.
1.4 ¿QUÉ ES UN RANSOMWARE?
De dónde procede el ransomware
El ransomware lo crean estafadores con un gran conocimiento en programación informática. Puede entrar en su PC mediante un adjunto de correo electrónico o a través de su navegador si visita una página web infectada con este tipo de malware. También puede acceder a su PC a través de su red o ataques "directos" por alguna vulnerabilidad o fuerza bruta.
Cómo reconocer el ransomware
Es obvio cuando su dispositivo ha sido infectado con ransomware, ya que probablemente no podrá acceder a su equipo. También es muy frecuente encontrar un archivo de texto con los datos y pasos a seguir para "recuperar los archivos" secuestrados.
¿Qué sistemas operativos afectan?
Existen para casi todos los sistemas operativos tanto para ordenadores y smartphone. Sin embargo los más conocidos son para Windows y Android. También es importante recordar que se han detectado en CMS como WordPress. No solo usadas para chantajear al dueño si no para distribuir el virus.
1.4 ¿QUÉ ES UN RANSOMWARE?
Entre 2015 y 2016 fueron cuatro los troyanos más activos: TeslaCrypt (casi la mitad del total de los ataques, pero, por suerte, tenemos un descifrador para él), CTB-Locker, Scatter y Cryakl (también desciframos Cryakl). Estas cuatro familias comparten una “cuota de mercado” del 80 %.
Fuente: https://blog.kaspersky.es/ransomware-blocker-to-cryptor/8526/
1.4 ¿QUÉ ES UN RANSOMWARE?
Uno de los primeros casos con los que trabajamos fueron los llamados "Iloveserver" y "Serverlock" por el email que dejaban de contacto los intrusos, en el texto que usaban para la extorsión. Hablaremos de intrusión porque el modus operandi que usaban era:
1. Realizar de forma automatizada ataques de fuerza bruta a Windows Server 2013 que dispongan de control remoto (RDP) activado.
2. Cuando disponían del acceso al servidor de la presente víctima subían un archivo rar con todas las herramientas necesarias para cifrar, detectar disco duros externos, escanear la red, etc.
3. Cifraban todos los archivos en un volumen con una clave usando TrueCrypt.
4. Dejaban una nota en formato TXT en el cual dejaban las instrucciones para recuperar los archivos.
1.5 FORMA DE INFECCIÓN O INTRUSIÓN DEL RANSOMWARE
Sin embargo actualmente el modo de operar más frecuentes de los delincuentes es el envió del ransomware por email, suplantando la identidad de alguna entidad como: bancos, Endesa, hacienda, policía, etc.
1.5 FORMA DE INFECCIÓN O INTRUSIÓN DEL RANSOMWARE
Es importante destacar que el 13 de diciembre de 2016 INCIBE pone a disposición de los usuarios el nuevo Servicio Antiransomware con el que cualquier víctima de este tipo de malware podrá contactar con expertos que intentarán solucionar su problema.
Servicio Antiransomware
2. ¿QUÉ MEDIDAS DEBE IMPLEMENTAR UNA EMPRESA?
Todas las medidas que se exponen ahora se han filtrado por el criterio de herramientas gratuitas y sin coste para Windows.
Es importante saber que muchas tendrán funcionalidades limitadas en su versión gratuita o existen otras de pago. Además se añade enlace de descarga y análisis en Virus Total para su comprobación en los casos que se comparta enlace de descarga directa.
2.1 MEDIDAS INFORMÁTICAS
Realizar una copia de seguridad es el punto más importante. Puede causar un antes y un después en la empresa en el caso de hacerlo de forma inadecuada.
Algo muy común y que es una mala práctica es hacer una copia de seguridad diaria y machacar el del día anterior. No es recomendable debido a que si el ransomware cifra la copia de seguridad no habrá servido nada para nada.
Recomendamos una copia en un dispositivo de almacenamiento externo pero que solo esté conectado en el momento de la copia. Otra mala práctica es dejar por ejemplo un disco duro externo 24 horas 7 días a la semana conectado al ordenador.
2.1.1 COPIAS DE SEGURIDAD
PREGUNTAS FRECUENTES:● ¿Cuantas copias de seguridad debo hacer?
2 como mínimo.
● ¿Donde debo hacerlas?
Recomendamos usar un disco duro externo o en la nube(cuidado), aparte de otra en local.
● ¿Cuanto tiempo debo almacenarlo?
En el caso de que no sepas cuanto tiempo debes almacenar la información según la LOPD te recomendamos que llames a la Agencia de protección de datos Española(AGDP) o nosotros podemos asesorarte a través del tlfn → 605 93 89 08
2.1.1 COPIAS DE SEGURIDAD
En Windows disponemos de la aplicación gratuita BackUpTime que permite programar las copias de seguridad, y elegir cuales son las carpetas de las cuales se quiere hacer la copia y en donde se quiere guardar.
Podemos descargarla en el siguiente enlace: http://www.cezeo.com/products/backuptime/
2.1.1 COPIAS DE SEGURIDAD
No os alarméis porque es muy probable que sea un falso positivo.
2.1.1 COPIAS DE SEGURIDAD
Otra aplicación es Comodo Backup que nos permite hacer dos tipos de copia de seguridad: local y online. En el primer caso, puedes programar o realizar manualmente una copia en otra unidad de disco, externa o interna. En cuanto a la copia online, de forma gratuita tienes hasta 5 GB, ampliable mediante pago. Además de comprimir y cifrar los datos copiados, con Comodo Backup tienes la posibilidad de programar la copia en el momento más oportuno.
2.1.1 COPIAS DE SEGURIDAD
BD Anti-Ransomware es una herramienta gratuita desarrollada y proporcionada por Bitdefender para proteger nuestro PC de Ransomware. Este Anti-Ransomware ofrece una protección contra virus como TeslaCrypt o CTB-Locker, entre muchos otros.
Esta herramienta es muy curiosa, ya que tiene un comportamiento muy diferente al resto. El motivo es que este programa actúa de manera similar a como lo hace una vacuna. Para ello, simula que el ordenador ya se encuentra infectado por el virus que está atacando el sistema.
Podéis descargar desde aquí: http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.2. BITDEFENDER ANTI-RANSOMWARE
CryptoPrevent es una herramienta que fue diseñada originalmente para prevenir los ataques de CryptoLocker, es por ese motivo que se llama así. Con el tiempo ha mejorado, ampliando su rango de protección contra Ransomware hasta convertirse en una opción más que recomendada.
Esta herramienta no tiene ninguna incompatibilidad con los principales antivirus del mercado y es compatible con Windows XP, Vista, 8. 8.1 y 10, por lo que difícilmente tendremos problemas a la hora de instalarla.
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.3 CRYPTOPREVENT
Cuenta con varias versiones de pago que añaden funcionalidades y una gratuita.
https://www.foolishit.com/cryptoprevent-malware-prevention/
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.3 CRYPTOPREVENT
Esta herramienta de seguridad posee un funcionamiento similar a la primera que nos ha ocupado. Se puede descargar de forma gratuita y su presencia en el equipo resulta similar a la de un antivirus convencional. Una vez instalada, se ejecuta en segundo plano comprobando todos los procesos que se encuentran en funcionamiento en el sistema. Si se detecta algo sospechoso la herramienta llevará a cabo el bloqueo del proceso y preguntará al usuario si quiere eliminarlo o continuar con la ejecución.
Al ser similar a un antivirus, es deducible que necesitará de una base de ransomwares para llevar a cabo las detecciones de forma óptima.
Puede descargarlo aquí: https://ransomfree.cybereason.com/
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.4 RANSOMFREE
Unas de las herramientas que mejor funcionan es el Anti-ransomware de Yago Jesus. Actualmente en la versión 3.0 es de las aplicaciones que no pueden faltar para prevenir contra el ransomware.
Su funcionamiento es crear muchos archivos de todo tipo de formatos para hacer de anzuelo. Cuando pica mata el proceso del ransomware.
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.5 ANTIRANSOMWARE
http://www.securitybydefault.com/2016/06/anti-ransom-v3.html
Es fundamental crear un sistema de seguridad que pare y filtre el spam. Además de cortafuegos que impidan que la amenaza pueda seguir infectando por la red.
Para ello recomiendo el dossier que nos trae de la mano de la casa de Antivirus ESET.
Antispam de los correos de la empresa para impedir descargas infecciosas, reglas del cortafuegos para Endpoint Security y reglas HIPS para Endpoint Security y Endpoint Antivirus.
2.1.3 CONFIGURACIONES ESET ANTI-RANSOMWARE
http://descargas.eset.es/templates/fichas_productos/configuracion-ESET-anti-ransomware.pdf
Es fundamental que los empleados de la empresa tengan acceso a herramientas que les permita identificar si un enlace o un archivo es malicioso.
Desde que empezamos aconsejar esta herramienta a los clientes de QuantiKa14, el nivel de infección a bajado de forma considerable.
Es una herramienta muy útil para los empleados que podemos instalar en el navegador Mozilla.
2.1.4 VTZILLA ADDONS PARA MOZILLA
https://addons.mozilla.org/es/firefox/addon/vtzilla/
Se trata de un concepto diferente al descrito con anterioridad. Esta herramienta centra sus esfuerzos en proteger las carpetas que indiquemos de cifrados no autorizados. Tal vez requiere un poco más de proactividad por parte del usuario. Podría decirse que los que se crea es una capa de seguridad adicional sobre las carpetas seleccionadas y sus archivos. Con esto, lo que queremos decir es que se crea un flag que no permitirá la modificación ni eliminación de los archivos existentes.
Enlace a vídeo en Youtube:
https://www.youtube.com/watch?v=djOA2tT7EYI
2.1.5 LATCH ARW
2.2 MEDIDAS HUMANAS
El eslabón más débil son las personas, esto significa que es fundamental implementar medidas “humanas”, entendiéndose como medidas que tengan el objetivo de concienciar y mejorar el conocimiento de todos los trabajadores de una empresa.
2.2.1 FORMACION
En muchas empresas los trabajadores se llevan el ordenador a casa o su dispositivo móvil se conecta a la red WIFI. Esto conlleva que la formación no solo debe ser para el ámbito de trabajo si no también fuera.
La formación para prevenir el ransomware en las empresas dependen de el número de trabajadores, ordenadores y ámbito profesional. No obstante recomendamos formación a todos los trabajadores que dispongan acceso algún ordenador o tengan acceso a la red 1 vez al año.
2.2.2 Phishing controlado
En este caso no serán ciberdelincuentes los que realizarán el phishing si no una empresa que registrará que puestos de trabajos han pinchado en algún enlace.
Realizando un informe final de concienciación contra la prevención de aplicaciones maliciosas o intrusiones a través del correo electrónico.
En caso de estar interesados pueden contactar con QuantiKa14 para este [email protected] | 605 93 89 08
3. YA SOY VÍCTIMA DE RANSOMWARE
3.1 ¿Qué puedo hacer?
Si eres víctima estos son los pasos que debes hacer:
1. Desconectar el ordenador infectado de la red (tanto cable, como por WIFI)2. Si el ransomware ha cifrado gran parte y valoras que ya poco queda, puedes realizar un volcado de la memoria RAM (cómo hacerlo aquí
https://www.fwhibbit.es/volcado-de-memoria-ram-en-windows-osforensics). En caso contrario apaga el ordenador.3. Procede a comprobar que no existe ningún ordenador más infectado.4. Identifica que ransomware te ha infectado en la siguiente página
https://www.nomoreransom.org/crypto-sheriff.php5. Denuncia en la guardia civil o policía nacional
Datos de agosto de 2016
por el CCN-CERT
Algunas ransomware ya tienen solución y en la siguiente tabla se exponen.
https://www.ccn-cert.cni.es/gl/informes/informes-ccn-cert-publicos/1384-ccn-cert-ia-01-16-medidas-de-seguridad-contra-ransomware/file.html
3.2 ¿A quién puedo pedir ayuda?
Como comentamos en el punto 2 de esta guía el 13 de diciembre de 2016 INCIBE pone a disposición de los usuarios el nuevo Servicio Antiransomware.
También puede contactar con QuantiKa14 para contratar los servicios que aparecen en esta guía y otros que se adapten a las necesidades de la empresa.
● Aunque el escenario en estos últimos 4 años ha cambiado mucho, las empresas sobre de tamaño pequeño y mediano son las que más sufren estas amenaza.
● Encontramos que en ciudades distintas a Madrid y Barcelona disponen de un mayor desamparo/soluciones por falta de sociedades que puedan ayudar, recursos económicos y falta de interés por ayuntamientos, delegaciones y entidades públicas para luchar y prevenir contra la amenaza del ransoware.
● El ransomware aprovecha las diferentes legislaciones de cada país para su beneficio.
● Es uno de los negocios ilegales más rentables.● La falta de implicación política española en este asunto beneficia su propagación y uso por los ciberdelincuentes.
4. Conclusiones del autor
Related Documents
