Medidas prevención para evitar que un ransomware secuestre tu empresa

0
142

El ransomware es un tipo de malware que emplea el uso cifrado para secuestrar la información de la empresa víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave privada tras el pago de un rescate. Utilizar un antivirus en estos casos no sirve absolutamente de nada.

Copias de seguridad con la regla 3-2-1 como estrategia general de gestión de datos. La regla 3-2-1 recomienda que haya al menos tres copias de los datos importantes en dos tipos diferentes de medios y al menos una de esas copias desde estar off-site.

Regla del 3,2,1:

3 copias de seguridadde ellas en medios diferentes y 1 en una ubicación física diferente.
Vectores de entrada

  •  Aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.
  • – Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en paralelo.
  • – Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta generalmente en uno o más endpoints comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.

Evitar – prevención del secuestro de tus datos


La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de phishing. Con el paso del tiempo, han ganado en sofisticación, y ahora muchas están específica y meticulosamente diseñadas en el idioma local de las víctimas a las que van dirigidas.

Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

  1. Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
  2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
    • Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.

Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos
Antes: .pdf
Ahora mostrará: .pdf.exe
Ejemplos:

Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento


Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.

¿Cómo evitar o prevenir infección de cualquier Ransomware?

  1. Habilitar el acceso controlado a las carpetas Windows Defender
  2. Herramientas específicas Anti-ransomware
  3. Desactivar Windows Script Host
  4. Desactivar macros Microsoft Office
  5. Evitar que los usuarios ejecuten Powershell a través de GPO

Recuerda deshabilitar potencialmente inseguros como RDP, uno de los vectores de ataque favoritos con credenciales por defecto o fáciles de adivinar. Habilita VPN, NLA 2FA.

1. Cómo protegerse Ransomware de forma gratuita con Windows 10 con Windows Defender

Nueva función del centro de seguridad en Windows 10

Windows Defender (antivirus gratuito por defecto en Windows 10) permite monitorizar los cambios que cualquier aplicación intente realizar en tus carpetas protegidas.

Presiona el botón de inicio, escribe «Centro de seguridad» y elige el primer resultado.
Luego, en la ventana del Centro de Seguridad de Windows Defender haz click en Protección antivirus y contra amenazas, es decir, el icono en forma de escudo a la izquierda.
Lo siguiente es hacer click en la opción Configuración de antivirus y protección contra amenazas.

Haz scroll hasta encontrar la opción Controla el acceso a la carpeta y marca la casilla Activado. Esto mostrará una ventana de confirmación para que des permiso a Windows Defender a cambiar la configuración. Dile que sí y listo.

Protege tus archivos, carpetas y áreas de memoria del dispositivo para impedir cambios no autorizados de aplicaciones malintencionadas

A partir de ahora, si una app intenta cambiar tus archivos protegidos, la app se pondrá en una lista negra y Windows te informará. Por defecto, las carpetas protegidas son: Documentos, Imágenes, Vídeos, Música, Escritorio y Favoritos. También puedes añadir más.

2. Herramientas específicas de protección (Anti-Ransom)

  • Anti-Ransomware de Malwarebytes  (Basado en CryptoMonitor)
  • HitmanPro
  • CryptoPrevent (Básicamente aplica políticas de seguridad con GPO)
  • AppLocker de Microsoft
  • BDAntiRansomware de BitDefender 
  • Interceptor de McAffe es un Anti-Ransomware gratuito
  • Raccine (Detecta cambios vssadmin.exe, Shadow Volume)

Raccine: herramienta código abierto

Raccine es parecido a una vacuna, porque detecta cambios y llamadas al ejecutable vssadmin.exe (y wmic.exe), ya que los ransomware suelen eliminar los Shadow Volume Copies para que no sea posible recuperar versiones anteriores de los ficheros. Es decir eliminan las copias de seguridad de los ficheros creadas por Windows.

Ejemplo de código que suelen utilizar ransomware:

vssadmin delete shadows /all /quiet

Muchas familias de ransomware intentan mediante vssadmin borrar todas las shadow copies del sistema, ya sabéis, las instantáneas que va tomando Windows para poder volver a un punto de restauración en caso necesario. Es decir, intentan que la víctima no pueda tirar de ningún backup.

Funcionamiento

  • Se intercepta la llamada a vssadmin.exe (y wmic.exe) y se pasa a raccine.exe como debugger (vssadmin.exe delete shadows se convierte en raccine.exe vssadmin.exe delete shadows)

Combinaciones maliciosas:

  • delete y shadows (vssadmin, diskshadow)
  •  resize y shadowstorage (vssadmin)
  • delete y shadowstorage (vssadmin)
  • delete y shadowcopy (wmic)
  • delete y catalog y -quiet (wbadmin)
  • win32_shadowcopy o element de una lista de conandos encodeados (powershell)
  • recoveryenabled (bcedit)
  • ignoreallfailures (bcedit)

3. Desactivar Windows Script Host

Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.

Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.
Extensiones de ficheros bloqueadas

  • .hta
  • .jse
  • .js
  • .vbs
  • .vbe
  • .wsf 
  • .wsh


Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.

Se puede editar el registro de Windows para desactivar WSH.

Aquí está la clave (carpeta).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings



Crear un nuevo valor DWORD denominado «Enabled» y establezca los datos de valor a ««.



Y después, si hace clic en un archivo .js, se verá esto:

Acceso Windows Script Host  deshabilitado en este equipo. Póngase en contacto con el administrador para obtener más detalles.


O ejecutar el script nombre.bat

REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0

4. Desactivar macros Microsoft Office

No hagas click en el botón de Habilitar contenido…..

Habilitar Contenido –> NO

 Estos fichero tienen una macro, pequeño programa que puede realizar diferentes acciones de forma automática, si activamos la ejecución de esa macro haciendo clic en «Habilitar contenido» se activa un ransomware que cifrará  los ficheros del equipo afectado.

Una macro está compuesta por una serie de comandos que puede usar para automatizar una tarea repetitiva, y se puede ejecutar cuando haya que realizar la tarea. Este artículo contiene información acerca de los riesgos relacionados con el trabajo con macros, y le permitirá aprender a habilitar o deshabilitar macros en el Centro de confianza.

Presionar MAYÚS al abrir un archivo

Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.

  • Haga clic en la pestaña Archivo.
  • Haga clic en Opciones.
  • Haga clic en Centro de confianza y, después, en Configuración del Centro de confianza. 
  • En Centro de confianza, haga clic en Configuración de macros.
  • Deshabilitar todas las macros sin notificación

5. Evita que los usuarios ejecuten Powershell a través de GPO

El script de PowerShell ya es más complicado de mitigar: por defecto, la política de ejecución de scripts de PowerShell es «RemoteSigned» para servidores, «Restricted» para no servidores y «Unrestricted» para aquellos sistemas operativos que dependan de Active Directory pero no sean Windows, pero al haber definido «scopes» para la ejecución de scripts es posible cambiar las políticas de forma escalonada y obtener permisos suficientes para descargar el software malicioso remotamente sin necesidad de escalar privilegios.

 Mitigarlo sería subir las restricciones de todas las máquinas que tengas en dominio a, por ejemplo, «AllSigned». La buena noticia es que no hay que hacerlo a mano, que se puede hacer mediante política de grupo. 

gpedit.msc

 Navega hasta

Configuración del equipo –> Plantillas administrativas –> Componentes de Windows –> Windows PowerShell

Elige la opción

Activar la ejecución de scripts 

Elige Habilitar y una opción de Directiva de ejecución:

  • Permitir solo scripts firmados
  • Permitir scripts locales y scripts remotos firmados
  • Permitir todos los scripts

O bien si eliges Activar la ejecución de scripts –> «Deshabilitada » –> Si deshabilita esta configuración de directiva, no se permitirá la ejecución de ningún script

La alternativa es restringir completamente el acceso a PowerShell, aunque pierdes la capacidad de automatizar procesos en máquinas del dominio. Para habilitar esta configuración de directiva, ejecute gpedit.msc y navegue a la siguiente configuración:
Configuración de usuario –> Plantillas administrativas –> Sistema
Doble click en:

No ejecutar aplicaciones de Windows especificadas


Hacer click en «Habilitada»

Lista de aplicaciones no permitidas


Mostrar –>  Valor –> powershell.exe


Otra forma es deshabilitar el ejecutable PowerShell.exe, la ruta por defecto es:

C:\Windows\System32\WindowsPowerShell\v1.0.

Haz lo mismo para bitsadmin.exe 

Opciones más avanzadas

Configurar el Firewall de Windows en todos nuestros hosts para bloquear técnicas ampliamente utilizadas como el uso de PowerShell.exe u otros LOLBAS (Living Off The Land Binaries and Scripts). 

Utilice las políticas de Windows Firwall para bloquear el acceso de los binarios al llamado «Alcance Remoto». Estos binarios incluyen powershell.exe, bitsadmin.exe, certutil.exe, regsrv32.exe, mshta.exe, msbuild.exe, hh.exe, makecab.exe, ieexec.exe, extract.exe, expand.exe (consulte los enlaces para detalles)

Bloquear binarios

  • powershell.exe (ATT&CK T1086)
  • regsvr32.exe (ATT&CK T1117)
  • mshta.exe (ATT&CK T1170)
  • bitsadmin.exe (ATT&CK T1197)
  • certutil.exe (ATT&CK T1105)
  • msbuild.exe
  • hh.exe
  • makecab.exe
  • ieexec.exe
  • expand.exe
  • extrac.exe

Deshabilitar SMB v1

Mediante comando PowerShell:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Mediante el registro de Windows Server:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1

REG_DWORD = “0” (Disabled)

Clientes:

HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10

Registry entry: Start

REG_DWORD = “4” (Disabled)

HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registry entry: DependOnService

REG_MULTI_SZ: “Bowser”,“MRxSmb20”,“NSI”

Deshabilitar Windows Remote Management (WinRM) 

Disable-PSRemoting -Force

Stop-Service WinRM -PassThruSet-Service WinRM -StartupType Disabled 

Regla Firewall Windows:

netsh advfirewall firewall set rule group=”Windows Remote Management” new enable=no

Deshabilitar WDigest

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ UseLogonCredential REG_DWORD = “0”

0 0 votes
Article Rating

Deja un comentario

0 Comments
Inline Feedbacks
View all comments