Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Proteccion Ransomware
Proteccion Ransomware
tu empresa
El ransomware es un tipo de malware que emplea el uso cifrado para secuestrar la información
de la empresa víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica
criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente
genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave
privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave
privada tras el pago de un rescate. Utilizar un antivirus en estos casos no sirve absolutamente de
nada.
Copias de seguridad con la regla 3-2-1 como estrategia general de gestión de datos. La regla 3-2-1
recomienda que haya al menos tres copias de los datos importantes en dos tipos diferentes de
medios y al menos una de esas copias desde estar off-site.
Vectores de entrada
• Aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como
EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar
programas como herramientas de administración en remoto (RATs, por sus siglas en inglés),
y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario,
y desactivar el software de seguridad.
• - Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de
seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del
ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para
copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el
ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde
incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en
paralelo.
• - Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de
ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que
cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta
generalmente en uno o más endpoints comprometidos, aprovechándose de una cuenta de
usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de
protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de
gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de
servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas
de usuario final.
Una empresa del Reino Unido pagó dos veces rescate millonario por negligencia
Una empresa del Reino Unido tropezó dos veces con el mismo de secuestro de datos conocido
como ransomware, y por el que pagó al menos un rescate de 6.5 millones de libras en bitcoins,
aproximadamente $9 millones de dólares. ¿Su error? Pagar el rescate y no molestarse en revisar
cómo ocurrió, por lo que fue víctima de los mismos ciberdelincuentes menos de dos semanas
después de pagar el rescate millonario.
Los detalles del caso fueron publicados por el Centro Nacional de Seguridad Cibernética del Reino
Unido (NCSC, por sus siglas en inglés), que con la difusión del suceso busca crear conciencia entre
las empresas sobre la importancia de fortalecer sus medidas de ciberseguridad.
• https://www.ncsc.gov.uk/blog-post/rise-of-ransomware
“Sabemos de una organización que pagó un rescate de alrededor de 6.5 millones de libras esterlinas
para recuperar sus archivos, pero que no hizo ningún esfuerzo por identificar la raíz del ataque y
proteger su red”, señaló el NCSC.
“Menos de dos semanas después, los mismos ciberdelincuentes volvieron a atacar a la empresa con
el mismo mecanismo de antes, al implementar su ransomware y dejar en la víctima la sensación de
que la única solución era volver a pagar el rescate”,
Antes: .pdf
Ejemplos:
Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera
extensión del documento
Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es
un fichero con extensión EXE.
Recuerda deshabilitar potencialmente inseguros como RDP, uno de los vectores de ataque favoritos
con credenciales por defecto o fáciles de adivinar. Habilita RDP Gateway, usa una VPN, habilita
NLA y 2FA. Network Level Authentication (NLA), Autenticación de nivel de red (NLA) se refiere
al uso de CredSSP para autenticar al usuario antes del inicio de la conexión RDP. Esto permite que
el servidor dedique recursos solo a usuarios autenticados.
Estadísticas muestras que RDP es el vector de ataque más dominante, y se utilizó en el 63,5% de las
campañas de ransomware dirigidas divulgadas en el primer trimestre de 2019.
Valores
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
• 0 – disable remote control; No remote control allowed;
• 1 — full control with user’s permission; Full Control with user’s permission;
• 2 — full control without user’s permission; Full Control without user’s permission;
• 3 — view session with user’s permission; View Session with user’s permission;
• 4 — view session without user’s permission;View Session without user’s permission.
Windows Defender (antivirus gratuito por defecto en Windows 10) permite monitorizar los
cambios que cualquier aplicación intente realizar en tus carpetas protegidas.
Haz scroll hasta encontrar la opción Controla el acceso a la carpeta y marca la casilla Activado.
Esto mostrará una ventana de confirmación para que des permiso a Windows Defender a cambiar la
configuración. Dile que sí y listo.
Protege tus archivos, carpetas y áreas de memoria del dispositivo para impedir cambios
no autorizados de aplicaciones malintencionadas
A partir de ahora, si una app intenta cambiar tus archivos protegidos, la app se pondrá en una lista
negra y Windows te informará. Por defecto, las carpetas protegidas son: Documentos, Imágenes,
Vídeos, Música, Escritorio y Favoritos. También puedes añadir más.
• https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/
enable-controlled-folders
• https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/
controlled-folders
Raccine es parecido a una vacuna, porque detecta cambios y llamadas al ejecutable vssadmin.exe (y
wmic.exe), ya que los ransomware suelen eliminar los Shadow Volume Copies para que no sea
posible recuperar versiones anteriores de los ficheros. Es decir eliminan las copias de seguridad de
los ficheros creadas por Windows.
Ejemplo de código que suelen utilizar ransomware:
vssadmin delete shadows /all /quiet
Muchas familias de ransomware intentan mediante vssadmin borrar todas las shadow copies del
sistema, ya sabéis, las instantáneas que va tomando Windows para poder volver a un punto de
restauración en caso necesario. Es decir, intentan que la víctima no pueda tirar de ningún backup.
Funcionamiento
• Se intercepta la llamada a vssadmin.exe (y wmic.exe) y se pasa a raccine.exe como
debugger (vssadmin.exe delete shadows se convierte en raccine.exe vssadmin.exe delete
shadows)
Combinaciones maliciosas:
• delete y shadows (vssadmin, diskshadow)
• resize y shadowstorage (vssadmin)
• delete y shadowstorage (vssadmin)
• delete y shadowcopy (wmic)
• delete y catalog y -quiet (wbadmin)
• win32_shadowcopy o element de una lista de conandos encodeados (powershell)
• recoveryenabled (bcedit)
• ignoreallfailures (bcedit)
Numerosas campañas de spam están usando varias familias ransomware a través de archivos
adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) Un archivo que, si
se hace clic, se ejecutará a través de Windows Script Host.
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
Estos fichero tienen una macro, pequeño programa que puede realizar diferentes acciones de forma
automática, si activamos la ejecución de esa macro haciendo clic en «Habilitar contenido» se activa
un ransomware que cifrará los ficheros del equipo afectado.
Una macro está compuesta por una serie de comandos que puede usar para automatizar una tarea
repetitiva, y se puede ejecutar cuando haya que realizar la tarea. Este artículo contiene información
acerca de los riesgos relacionados con el trabajo con macros, y le permitirá aprender a habilitar o
deshabilitar macros en el Centro de confianza.
Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un
archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se
ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.
Navega hasta
Configuración del equipo --> Plantillas administrativas --> Componentes de Windows --
> Windows PowerShell
Elige la opción
Activar la ejecución de scripts
Elige Habilitar y una opción de Directiva de ejecución:
• Permitir solo scripts firmados
• Permitir scripts locales y scripts remotos firmados
• Permitir todos los scripts
O bien si eliges Activar la ejecución de scripts --> "Deshabilitada " --> Si deshabilita esta
configuración de directiva, no se permitirá la ejecución de ningún script
La alternativa es restringir completamente el acceso a PowerShell, aunque pierdes la capacidad de
automatizar procesos en máquinas del dominio.
C:\Windows\System32\WindowsPowerShell\v1.0.
Deshabilitar SMB v1
Mediante comando PowerShell:
Clientes:
HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
REG_MULTI_SZ: “Bowser”,“MRxSmb20”,“NSI”
Deshabilitar WDigest
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\
UseLogonCredential REG_DWORD = “0”