En que consiste el ataque de Wanacry

Transcripción

1 B o l e t í n d e S i s t e m a s B O L E T Í N N O. 1 8 J U N I O D E En que consiste el ataque de Wanacry C O N T E N I D O En que consiste el 1 ataque de Wanacry Prevención de Infecciones por Rasom- 2 ware En caso de infección 3 por Rasomware Quienes Somos 4 El reciente ataque que afectó a empresas de distintos países llamado WannaCry es un software malicioso que combina un tipo de gusano informático especializado en propagarse por la web, con un programa (ransomware), que cifra archivos almacenados en los computadores y exige un rescate por descifrarlos. Este ataque masivo afectó a sistemas Windows cifrando todos sus archivos y los de las unidades de red conectadas, infectando al resto de sistemas Windows que haya en esa misma red. Según el CCN-CERT de España, la vulnerabilidad es de gravedad alta y se originó en un agujero del sistema operativo de Microsoft Windows, donde podría permitir la ejecución remota de código a través de SMB, el cual es un protocolo de red que permite compartir recursos, entre nodos de una red de equipos con sistema operativo Microsoft Windows, dicha vulnerabilidad fue publicada el día 14 de marzo. Los sistemas afectados son: Microsoft Windows Vista SP2 Windows Server 2008 SP2 y R2 SP1 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2012 y R2 Windows 10 Windows Server 2016 Microsoft ya publicó las actualizaciones de seguridad a aplicar en estos sistemas operativos. En el boletín MS se puede encontrar más información. El CCN-CERT propone como medidas de prevención y mitigación lo siguiente: Actualizar los sistemas a su última versión o parchear según informa el fabricante. Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso. Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones. Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.

2 P Á G I N A 2 Prevención de Infecciones por Rasomware Uno de los factores críticos en las infecciones por ransomware son las perso- nas? En la mayoría de los casos, los atacantes utilizan la denominada Ingeniería Social para engañar a sus vícti- mas y llevar a cabo sus ataques. Un buen ejemplo de ello son los casos de Phishing. Es muy importante en la defensa de todos los sistemas frente a infecciones y ataques es que todos los usuarios estén alerta y adecuadamente informados sobre las técni- cas más utilizadas por los cibercriminales y ofrecer un conjunto de pautas para reducir la superficie de ataque de dichas acciones dañi- nas. A continuación presentamos medidas publicadas por el CERT de España, de las cuales se hizo énfasis en las más importantes para prevenir, detectar y/o mitigar parcialmente la acción de un ransomware: 1. Generar copias de seguridad periódicas de todos los datos importantes, mantenerlas aisladas y sin conectividad con otros sistemas. 2. Actualizar los últimos parches de seguridad, tanto para el sistema operativo como para el software instalado. 3. Mantener actualizado el antivirus. 4. Disponer de una configuración de los cortafuegos a nivel de aplicación basado en listas blancas de aplicaciones permitidas. 5. Disponer de sistemas antispam a nivel de correo electrónico y establecer un nivel de filtrado alto. 6. Establecer políticas seguridad en el sistema para impedir la ejecución de archivos desde directorios utilizados por el ransomware (App Data, Local App Data, etc. 7. Bloquear el tráfico relacionado con dominios y servidores mediante un IDS/IPS, evitando así la comunicación entre el código dañino y el servidor de mando y control. 8. No utilizar cuentas con privilegios de administrador, para reducir el impacto de la acción de un ransomware. 9. Mantener listas de control de acceso para las unidades mapeadas en red y restringir los privilegios de escritura en red. 10. Instalar bloqueadores de Javascript para el navegador, por ejemplo "Privacy Manager", que impide la ejecución de todos aquellos scripts que puedan suponer un daño para el equipo. 11. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero. 12. Se pueden utilizar herramientas como "Anti Ransom", que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando honey files). 13. El uso de maquinas virtuales evitará en un alto porcentaje casos de infección por ransomware, debido a las técnicas anti-debug y antivirtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse. 14. Establecer una defensa en profundidad

3 P Á G I N A 3 En caso de infección por Rasomware En los sistemas operativos como Windows XP a Win- dows 7, está disponible una tecnología denominada Sha- dow Copies, que permite al usuario realizar, manualmente o de forma automática, copias de los ficheros almacenados en el equipo incluso aunque estén en uso. A partir de Windows 8, la funcionalidad que permite hacer distintas copias de los ficheros se denomina File History y consiste en el alma- cenamiento de las copias de seguridad en un medio extra- íble Después de detectada la infección puede seguir los siguientes pasos: Desconectar el equipo de la red: Cuya finalidad es evitar que el cifrado alcance contenido almacenado en las unidades de red accesibles desde el equipo infectado y que el código dañino pueda contactar con su servidor de mando y control. Análisis de Procesos en ejecución: Esta actividad es de mayor cuidado pues el rasomware se camufla con el nombre de un proceso legitimo, pero si se llega a identificar el proceso que accede de forma masiva al disco, hay finalizarlo. Si no se ha identificado el proceso se pueden tener en cuenta detalles como: Procesos de aplicaciones que no se están ejecutando realmente, ya que puede ser el proceso dañino el que se está ejecutando. Identificación de procesos repetidos, ya que deben tener un único numero de identificación y pertenecer a un mismo árbol, de no ser así puede ser el proceso dañino. Procesos que abren gran cantidad de archivos y consumen excesivamente la CPU y el disco. Eliminación del código dañino: su eliminación puede ser sencilla por lo que los antivirus ya detectan este tipo infecciones. rasomware a través de unos de los enlaces destinados para tal fin como lo es además puede indicar si es posible descifrar los archivos secuestrados. Las herramientas de recuperación y claves maestras son liberadas por distintas organizaciones como: Kaspersky, Intel Security, McAfee, Panda Security, Sophos, Hit- Man, CERT, NoMoreRansom, bleepingcomputer, entre otros. Para mitigar los efectos de la infección: El CERT recomienda intentar recuperar los archivos, se pueden acudir a opciones como restauración del sistema, por lo que en sistemas operativos Windows se pueden activar las Shadow Copies, que es el servicio responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder realizar una restauración del sistema, es lo que normalmente se conoce como "punto de restauración del sistema". Recuperación de Archivos: Se puede empezar por identificar el tipo de

4 P Á G I N A 4 Puedes proteger tus datos bancarios al realizar compras en línea si: Verificas que la URL del comercio es legítima. Tienes en cuenta la fecha de creación del sitio web; es mas confiable cuando lleva bastante tiempo en el mercado. Las tiendas electrónicas de confianza generalmente actualizan sus plataforma de venta, por lo que se debe evitar ingresar a sitios de poca calidad, o con contenido desactualizado. Elige comercios que no almacenen los datos de tu tarjeta de crédito o débito lo que se puede consultar en las políticas de privacidad del sitio. Puedes preferir tiendas que cuenten con sistemas de pago administrado por terceros de confianza con PSE o PAYU. Puedes proteger la información de tu dispositivo móvil si: Tiene habilitado el uso de contraseñas, estas deben de ser robustas y no se deben de compartir con alguien más. No compartes fotografías, videos, mensajes, con desconocidos, ni almacenar fotografías o videos que informen sobre datos personales. Desactivas el dispositivo bluetooth cuando no se esté utilizando, ya que pueden acceder intrusos. Tienes cuidado al conectar el móvil a redes públicas abiertas, pues es en estas redes ocurren ataques contra la privacidad y la información.

5 QUIENES SOMOS Somos una compañía fundada en diciembre de 1997, que busca escalar posiciones en el mercado y convertirse en una de las empresas de auditoría y consultoría más importantes del país, desarrollando nuestro trabajo con los más altos estándares de calidad. Oficina principal : Carrera 49 No Teléfonos: Bogotá D.C. - Colombia Oficina en Tunja: Calle 20 No oficina 212 B ( C.C Plaza Real) Teléfonos: (8) Tunja, Boyacá. - Colombia sac@saenzauditores.com Debido a esto, nuestra firma alcanzó la certificación de Gestión en Calidad ISO 9001:2008 el 22 de marzo de 2006, en los servicios de REVISO- RÍA FISCAL, AUDITORÍA EXTERNA, AUDITORIA DE SISTEMAS, y AUDITORÍA EXTERNA DE GESTIÓN Y RESULTADOS. El pasado 27 de abril de 2015 la compañía alcanzo la re certificación de sus Servicios mediante auditoría efectuada por el ente certificador ICONTEC. Nuestra compañía realiza un trabajo integral orientando a ofrecer servicios y asesorías de carácter interdisciplinario basados en las características de operación y gestión de nuestros clientes. Nuestros Servicios: Certificados por ISO 9001:2008: REVISORÍA FISCAL AUDITORÍA EXTERNA AUDITORIA DE SISTEMAS AUDITORÍA EXTERNA DE GESTIÓN Y RESULTADOS Otros Servicios: Asesoría Jurídica, Asesoría y Planeación Tributaria, Desarrollo, implementación y evaluación de procedimientos y manuales de funciones. Desarrollo, implementación y evaluación de sistemas de control interno. Outsourcing Contable.

6 P Á G I N A 6 Referencias Buenas Prácticas CCN-CERT BP-04/ /file.html ciberataque-masivo-deransomware-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html