24 de octubre de 2016

El Ransomware no perdona ni a tu abuelita


Ya se, ya se... lo primero que pensaron muchos al leer el titulo fue "El que??". El "ransomware" es el nuevo malware de moda. Para que entiendan un poco mas ( y no tener que escribir tanto ) les transcribo aqui debajo una pequeña definición de Wikipedia:

Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.1 Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250 000 tipos de ransomware únicos.
Normalmente un ransomware se transmite tanto como un troyano como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

En resumen. Por medio de un troyano, generalmente, que puede llegar a nuestro sistema por un archivo adjunto o algún programa instalado, el atacante encripta (oculta la información de modo que no podemos acceder a ella) nuestros archivos y luego nos deja un mensaje (generalmente en un archivo de texto o html dentro de las carpetas donde quedaron nuestros archivos encriptados) con los pasos que debemos tomar para recuperar nuestra información. Basicamente, comprar bitcoins y transferirlos a una cuenta. A cambio prometen enviarnos un programa para desencriptar la información y recuperarla.

Las dos primeras dudas que a cualquier persona con al menos dos neuronas vivas y 3 mg. de sentido comun le surgen son

  • Primero, ¿quien me garantiza que luego de hacer el pago (que varia entre los 500 y los 1000 dolares) me van a enviar el desencriptador?
  • Y segundo, ¿quien me garantiza que no van a volver a secuestrar mis datos?

Y lo peor de todo esto, es que uno pensaría que este tipo de ataques solo ocurre en bancos, grandes corporaciones, la NASA, la CIA, Facebook, etc, etc... pero no... y como lo se? Porque le paso a una computadora de un cliente mio, la cual sabíamos que no tenia ni siquiera las medidas mínimas de seguridad, pero que nunca pensamos que podía ser objeto de un ataque de este tipo... y que sucedió? Bueno, lo peor. Y ni siquiera se hacían backups off-site de esa información. 

Asi que de esta experiencia aprendí varias cosas, que justamente unos días mas tarde aparecieron descritas en una infografia publicada por Malwarebytes (tenia razón ese que dijo que la experiencia es el peine que la vida te da cuando ya no tenes cabello).

En esta infografia hay varias piezas de información bien interesantes.

Primero: ¿como saber si soy vulnerable al ataque de un ransomware?



Los 5 puntos a tener en cuenta:

  1. Si usas software "legacy" (software antiguo que aunque sigue funcionando en sistemas modernos no cumple con los requerimientos mínimos de seguridad)
  2. Tu sistema operativo y navegadores de internet no poseen parches de seguridad: podria ocurrir si utilizamos software legacy. En mi caso, el equipo atacado utilizaba Windows XP SP3. (Si, ya se... soy un inconciente. Hay razones validas por las que se seguía manteniendo ese equipo, pero a la luz de lo que paso, ninguna razón valía la pérdida)
  3. Tus equipos estan desactualizados: equipos desactualizados (para que voy a comprar una compu nueva si esta lleva diez años funcionando bien?) hacen que no podamos pensar en actualizar sistemas operativos. Los sistemas operativos (Windows principalmente) requieren un mínimo de características. Cada versión eleva ese mínimo, haciendo que los equipos antiguos queden obsoletos. Asi que si no actualizamos el equipamiento, no podemos actualizar los sistemas operativos, volviendo al punto 1 y 2
  4. No hay un plan de backup bien implementado: ¿que es un backup "bien implementado"? Es un backup que se realiza periódicamente en una unidad externa, y que se desconecta una vez terminada la copia, y se lleva a un lugar fisico diferente al lugar donde se encuentra la informacion (Si dejo mi disco externo en el escritorio y ocurre un incendio, voy a perder la info del computador y el backup tambien), o bien un backup "en la nube" (existen varios servicios para esto).. La idea es que el backup NO QUEDE en la computadora, o en un disco externo que se mantiene conectado. Este tipo de ataques puede afectar discos externos, unidades de red, o aun carpetas compartidas en la red que no estan conectadas como unidad de red.
  5. No se posee una estrategia integral de ciberseguridad : Duh!!! En serio? Si no tenes ninguno de los puntos anteriores, es mas que obvio.
Otro punto de la infografia (que pueden ver completa haciendo click aqui) explica como deberíamos tomar pasos para ser proactivos en la protección contra el ransomware


Los pasos preventivos incluyen

  1. Mantener los sistemas con todos los parches de seguridad
  2. Educar a los usuarios: todos los usuarios de la empresa, compañia y hogar deben saber que no se debe abrir cualquier adjunto de cualquier mail que llega diciendo que nos ganamos un crucero al caribe con todo pago. Ni siquiera un gif animado de gatitos simpaticos. TODO email que provenga de un desconocido (y muchas veces aun de conocidos) es sospechoso y potencialmente peligroso, sobre todo si trae archivos adjuntos, y debe ser tratado como tal.
  3. Mantenga un buen plan de backups (off-site, cloud)
  4. Invierta en seguridad en capas (Firewall, Anti-Exploits, Antivirus con monitoreo activo, Antimalware, AntiRansomware)
Por ultimo.. que hacer si fui atacado por Ransomware?? 
  • Nunca pagues!!! No hay garantía de que pueda recuperar la información, y si asi fuera, estas dándole a los atacantes un mensaje claro: este negocio funciona, sigamos secuestrando información y podremos vivir de esto
  • Recupera la información de tus backups... y si no hay backups? Pues, usa la imaginación. Quiza algunos archivos puedan estar en mails, como en mi caso, o en algún pendrive que alguien haya llevado a casa para trabajar horas extras... Y si no... a lamentar la perdida, y a trabajar para ponerse al dia con la info.
  • En algunos casos, para ciertos ransomware ya un poco viejitos, existen programas que pueden desencriptar los archivos. Es cuestión de buscar, y si aun no existe (en nuestro caso nos atacaron con el Cerber 4.0, el mas nuevo, y aun no existen desencriptadores para esa versión) esperar a que algún alma caritativa lo cree y lo publique.

Asi que, en resumen, esto del ransomware no es chiste. En el caso que me toco, tuvimos la suerte de tener casi toda la información adjuntada en email, asi que se pudo recuperar casi todo... Pero no siempre es el caso.

Alguno ya ha tenido un encuentro desagradable con ransomware? Como se las han arreglado?


Related Posts Plugin for WordPress, Blogger...