Medidas prevención para evitar que un ransomware secuestre

tu empresa

El ransomware es un tipo de malware que emplea el uso cifrado para secuestrar la información
de la empresa víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica
criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente
genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave
privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave
privada tras el pago de un rescate. Utilizar un antivirus en estos casos no sirve absolutamente de
nada.

Copias de seguridad con la regla 3-2-1 como estrategia general de gestión de datos. La regla 3-2-1
recomienda que haya al menos tres copias de los datos importantes en dos tipos diferentes de
medios y al menos una de esas copias desde estar off-site.

Regla del 3,2,1:

3 copias de seguridad, 2 de ellas en medios diferentes y 1 en una ubicación física diferente.

Vectores de entrada
• Aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como
EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar
programas como herramientas de administración en remoto (RATs, por sus siglas en inglés),
y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario,
y desactivar el software de seguridad.
• - Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de
seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del
ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para
copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el
 ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde
incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en
paralelo.
• - Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de
ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que
cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta
generalmente en uno o más endpoints comprometidos, aprovechándose de una cuenta de
usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de
protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de
gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de
servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas
de usuario final.

Evitar - prevención del secuestro de tus datos

La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de

phishing. Con el paso del tiempo, han ganado en sofisticación, y ahora muchas están específica y
meticulosamente diseñadas en el idioma local de las víctimas a las que van dirigidas.

Una empresa del Reino Unido pagó dos veces rescate millonario por negligencia
Una empresa del Reino Unido tropezó dos veces con el mismo de secuestro de datos conocido
como ransomware, y por el que pagó al menos un rescate de 6.5 millones de libras en bitcoins,
aproximadamente $9 millones de dólares. ¿Su error? Pagar el rescate y no molestarse en revisar
cómo ocurrió, por lo que fue víctima de los mismos ciberdelincuentes menos de dos semanas
después de pagar el rescate millonario.
Los detalles del caso fueron publicados por el Centro Nacional de Seguridad Cibernética del Reino
Unido (NCSC, por sus siglas en inglés), que con la difusión del suceso busca crear conciencia entre
las empresas sobre la importancia de fortalecer sus medidas de ciberseguridad.
• https://www.ncsc.gov.uk/blog-post/rise-of-ransomware
“Sabemos de una organización que pagó un rescate de alrededor de 6.5 millones de libras esterlinas
para recuperar sus archivos, pero que no hizo ningún esfuerzo por identificar la raíz del ataque y
proteger su red”, señaló el NCSC.
“Menos de dos semanas después, los mismos ciberdelincuentes volvieron a atacar a la empresa con
el mismo mecanismo de antes, al implementar su ransomware y dejar en la víctima la sensación de
que la única solución era volver a pagar el rescate”,

Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo

Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un

nombre de archivo para determinar qué programa debería abrirlo.
 1. Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control,
en Apariencia y personalización y, por último, en Opciones de carpeta.
2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las
acciones siguientes:
• Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las
extensiones de archivo para tipos de archivo conocidos y, a continuación, haga
clic en Aceptar.
Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe

Ejemplos:

Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera
extensión del documento

Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es
un fichero con extensión EXE.

¿Cómo evitar o prevenir infección de cualquier Ransomware?

1. Habilitar el acceso controlado a las carpetas Windows Defender
2. Herramientas específicas Anti-ransomware
3. Desactivar Windows Script Host
4. Desactivar macros Microsoft Office
5. Evitar que los usuarios ejecuten Powershell a través de GPO

Securizar RDP - Remote Desktop Protocol

Según una charla realizada en la conferencia RSA de febrero de 2020 por el agente del FBI, Joel
DeCapua, el RDP es el primer vector utilizado para comprometer a las empresas con ransomware,
siendo que más del 80% de los ataques de ransomware exitosos se llevaron adelante logrando
vulnerar la red mediante ataques de fuerza bruta a las credenciales del RDP para luego en
determinado momento ejecutar el ransomware. Y esto fue mencionado antes de la pandemia y del
vuelco hacia el trabajo remoto. Con el diario del lunes sabemos que durante el 2021 los ataques al
RDP crecieron 768% entre el primer y último trimestre de 2020. Tal como explicaron los
especialistas de ESET en una de las ediciones del Threat Report de 2020, Revil/Sodinokibi es uno
de los tantos ransomware que se han enfocado en aprovechar los accesos remotos mal protegidos.

Recuerda deshabilitar potencialmente inseguros como RDP, uno de los vectores de ataque favoritos
con credenciales por defecto o fáciles de adivinar. Habilita RDP Gateway, usa una VPN, habilita
NLA y 2FA. Network Level Authentication (NLA), Autenticación de nivel de red (NLA) se refiere
al uso de CredSSP para autenticar al usuario antes del inicio de la conexión RDP. Esto permite que
el servidor dedique recursos solo a usuarios autenticados.

Estadísticas muestras que RDP es el vector de ataque más dominante, y se utilizó en el 63,5% de las
campañas de ransomware dirigidas divulgadas en el primer trimestre de 2019.

• BlueKeep (CVE-2019-0708) es una vulnerabilidad RCE en el servidor RDP de Microsoft,

que afecta a las máquinas Windows desde Windows 2000 a Windows 7 y Windows Server
2008 R2. Se encontró y se corrigió en mayo de 2019. Esta vulnerabilidad es un uso después
de la ausencia que estaba presente en el controlador del kernel de Windows que maneja las
conexiones RDP: termdd.sys.
• DejaBlue (CVE-2019-1181 & CVE-2019-1182) es otra vulnerabilidad RCE en el servidor
RDP de Microsoft (de ahí el nombre) descubierta en 2019. Esta vez, la vulnerabilidad afectó
a todas las versiones de Windows (7-10) hasta el parche. . DejaBlue es una vulnerabilidad de
 desbordamiento de enteros que estaba presente en una DLL central del servidor RDP:
RDPCoreTS.dll / RDPBase.dll (según la versión de Windows).
Evitar ataque Shadow RDP

Mstsc.exe /shadow:<Session ID> /v:<Computer name or IP address>

Añade entrada al registro de Windows

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
Terminal Services" /v Shadow /t REG_DWORD /d 2

Valores
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
• 0 – disable remote control; No remote control allowed;
• 1 — full control with user’s permission; Full Control with user’s permission;
• 2 — full control without user’s permission; Full Control without user’s permission;
• 3 — view session with user’s permission; View Session with user’s permission;
• 4 — view session without user’s permission;View Session without user’s permission.

Segmentar la red - Segmentación de la red

La segmentación lógica de red. Imaginemos una empresa mediana que tiene cinco o seis empleado
en contabilidad, quince o veinte en atención al público y cuarenta desarrollando la tarea propia de la
empresa, todos ellos con un ordenador delante durante toda la jornada laboral. Un día cualquiera, un
empleado de contabilidad recibe un email en el que le envían una supuesta factura, una factura
como tantas otras que recibe todos los días, la abre y le salta un aviso que dice algo de habilitar los
macros, lo hace y toda la empresa al garete. Sin embargo, si esta empresa tuviera su red informática
segmentada, por ejemplo, en VLANs, una red virtual por cada departamento, el ransomware
quedaría contenido en esa VLAN (departamento) y en las carpetas compartidas que en ese momento
tuviera montadas, de ahí la importancia de mapear solamente las rutas o carpetas que sean
necesarias para cada usuario, no mapear la raíz y luego que cada usuario vaya accediendo a sus
carpetas. Ya sé que lo segundo es lo más fácil para todos, usuarios y administradores, pero ya os
digo que en caso de ransomware os vais acordar del día que se os ocurrió tener toda la cabina/NAS
mapeado a la raíz para todos los usuarios.
Hoy en día hay switchs configurables de muy buena calidad a un precio muy contenido, no es
como hace unos años que para conseguir uno de esos switchs había que hacer una inversión muy
importante. Cierto es, que en esta configuración de VLAN, cada departamento deberá tener su
propio enrutador (aunque sea virtual) y que el administrador de red tendrá que crear reglas en el FW
para interconectar los servicios que si se tengan que “ver”, pero a nivel de red no es lo mismo tener
todos los puertos TCP/UDP de todas las máquinas visibles entre sí. En este punto concreto y en
el artículo en general no estoy hablando de contener el 100% de los ataques, eso siento decirlo, pero
es imposible. El objetivo es reducir lo máximo posible la probabilidad de ataque y en caso de que se
produzca reducir el impacto. Si soy albañil y estoy en un quinto piso arreglando una cornisa, voy a
intentar por todos los medios no caerme, pero si me caigo, tengo que tratar que las consecuencias de
mi caída sean las mínimas, por ejemplo, poniendo una red. Ya os imaginareis que el resultado no va
a ser el mismo si me caigo con red o sin red (de tela, no de datos jeje). En el mundo ciber ocurre
exactamente lo mismo, sé que me van atacar y existe la posibilidad que alguien lo logre, si eso
ocurre tengo que estar preparado para que las consecuencias del ataque sean las mínimas posibles.

a implementación de VLAN no solo nos va a ayudar en el caso de un ransomware, por ejemplo, si

una máquina/PC/lo que sea, es comprometida, el atacante lo va a tener muy complicado para
poder pivotar/acceder a otros departamentos de la empresa. Los últimos ataques a empresas o
administraciones públicas lo demuestran, no disponían de redes suficientemente segmentadas, por
lo tanto, cuando el ciber delincuente accedía a uno de sus equipos, del modo que fuese, ya tenía
acceso completo a todos los recursos de red y eso ya os podéis imaginar que es lo peor que nos
puede ocurrir en lo que a ciberseguridad respecta.
Entiendo que lo de crear VLAN da trabajo y a corto plazo solo hace que todo sea un poco más
complicado en cuanto a lo que administración de redes se refiere, pero a la larga os garantizo que
solo tiene ventajas.
Si tenéis una página web pública o correo electrónico corporativo, por favor, que sus servidores no
estén en la misma red que el resto de ordenadores de la compañía.

1. Cómo protegerse Ransomware de forma gratuita con

Windows 10 con Windows Defender
Nueva función del centro de seguridad en Windows 10

Windows Defender (antivirus gratuito por defecto en Windows 10) permite monitorizar los
cambios que cualquier aplicación intente realizar en tus carpetas protegidas.

Presiona el botón de inicio, escribe "Centro de seguridad" y elige el primer resultado.

Luego, en la ventana del Centro de Seguridad de Windows Defender haz click en Protección
antivirus y contra amenazas, es decir, el icono en forma de escudo a la izquierda.
Lo siguiente es hacer click en la opción Configuración de antivirus y protección contra
amenazas.

Haz scroll hasta encontrar la opción Controla el acceso a la carpeta y marca la casilla Activado.
Esto mostrará una ventana de confirmación para que des permiso a Windows Defender a cambiar la
configuración. Dile que sí y listo.
Protege tus archivos, carpetas y áreas de memoria del dispositivo para impedir cambios
no autorizados de aplicaciones malintencionadas
A partir de ahora, si una app intenta cambiar tus archivos protegidos, la app se pondrá en una lista
negra y Windows te informará. Por defecto, las carpetas protegidas son: Documentos, Imágenes,
Vídeos, Música, Escritorio y Favoritos. También puedes añadir más.

• https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/
enable-controlled-folders
• https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/
controlled-folders

2. Herramientas específicas de protección (Anti-Ransom)

• Anti-Ransomware de Malwarebytes (Basado en CryptoMonitor)
• HitmanPro
• CryptoPrevent (Básicamente aplica políticas de seguridad con GPO)
• AppLocker de Microsoft
• BDAntiRansomware de BitDefender
• Interceptor de McAffe es un Anti-Ransomware gratuito
• Raccine (Detecta cambios vssadmin.exe, Shadow Volume)
Raccine: herramienta código abierto

Raccine es parecido a una vacuna, porque detecta cambios y llamadas al ejecutable vssadmin.exe (y
wmic.exe), ya que los ransomware suelen eliminar los Shadow Volume Copies para que no sea
posible recuperar versiones anteriores de los ficheros. Es decir eliminan las copias de seguridad de
los ficheros creadas por Windows.
Ejemplo de código que suelen utilizar ransomware:
vssadmin delete shadows /all /quiet

Muchas familias de ransomware intentan mediante vssadmin borrar todas las shadow copies del
sistema, ya sabéis, las instantáneas que va tomando Windows para poder volver a un punto de
restauración en caso necesario. Es decir, intentan que la víctima no pueda tirar de ningún backup.
Funcionamiento
• Se intercepta la llamada a vssadmin.exe (y wmic.exe) y se pasa a raccine.exe como
debugger (vssadmin.exe delete shadows se convierte en raccine.exe vssadmin.exe delete
shadows)
Combinaciones maliciosas:
• delete y shadows (vssadmin, diskshadow)
• resize y shadowstorage (vssadmin)
• delete y shadowstorage (vssadmin)
• delete y shadowcopy (wmic)
• delete y catalog y -quiet (wbadmin)
• win32_shadowcopy o element de una lista de conandos encodeados (powershell)
• recoveryenabled (bcedit)
• ignoreallfailures (bcedit)

3. Desactivar Windows Script Host

Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas
operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles,
pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host,
pero cambió de nombre en la segunda versión.
Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y
VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.

Extensiones de ficheros bloqueadas

• .hta
• .jse
• .js
• .vbs
• .vbe
• .wsf
• .wsh

Numerosas campañas de spam están usando varias familias ransomware a través de archivos
adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) Un archivo que, si
se hace clic, se ejecutará a través de Windows Script Host.

Se puede editar el registro de Windows para desactivar WSH.

Aquí está la clave (carpeta).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".

Y después, si hace clic en un archivo .js, se verá esto:

 Acceso Windows Script Host deshabilitado en este equipo. Póngase en contacto con el
administrador para obtener más detalles.

O ejecutar el script nombre.bat

REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v
Enabled /t REG_SZ /d 0

4. Desactivar macros Microsoft Office

Para los usuarios:

No hagas click en el botón de Habilitar contenido.....

Habilitar Contenido --> NO

Estos fichero tienen una macro, pequeño programa que puede realizar diferentes acciones de forma
automática, si activamos la ejecución de esa macro haciendo clic en «Habilitar contenido» se activa
un ransomware que cifrará los ficheros del equipo afectado.

Una macro está compuesta por una serie de comandos que puede usar para automatizar una tarea
repetitiva, y se puede ejecutar cuando haya que realizar la tarea. Este artículo contiene información
acerca de los riesgos relacionados con el trabajo con macros, y le permitirá aprender a habilitar o
deshabilitar macros en el Centro de confianza.

Presionar MAYÚS al abrir un archivo

Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un
archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se
ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.

Deshabilitar Macros en Office

Como sabemos que los usuarios van a habilitar las macros para ver un documento, mejor
deshabilitar permanentemente:
• Haga clic en la pestaña Archivo.
• Haga clic en Opciones.
• Haga clic en Centro de confianza y, después, en Configuración del Centro de confianza.
• En Centro de confianza, haga clic en Configuración de macros.
• Deshabilitar todas las macros sin notificación

En Excel esta opción es

• Deshabilitar macros de VBA sin notificación y solo se aplica a macros de VBA.
5. Evita que los usuarios ejecuten Powershell a través de GPO

El script de PowerShell ya es más complicado de mitigar: por defecto, la política de ejecución de

scripts de PowerShell es "RemoteSigned" para servidores, "Restricted" para no servidores
y "Unrestricted" para aquellos sistemas operativos que dependan de Active Directory pero no sean
Windows, pero al haber definido "scopes" para la ejecución de scripts es posible cambiar las
políticas de forma escalonada y obtener permisos suficientes para descargar el software malicioso
remotamente sin necesidad de escalar privilegios.
Mitigarlo sería subir las restricciones de todas las máquinas que tengas en dominio a, por ejemplo,
"AllSigned". La buena noticia es que no hay que hacerlo a mano, que se puede hacer mediante
política de grupo.
gpedit.msc

Navega hasta
Configuración del equipo --> Plantillas administrativas --> Componentes de Windows --
> Windows PowerShell

Elige la opción
Activar la ejecución de scripts
Elige Habilitar y una opción de Directiva de ejecución:
• Permitir solo scripts firmados
• Permitir scripts locales y scripts remotos firmados
• Permitir todos los scripts
O bien si eliges Activar la ejecución de scripts --> "Deshabilitada " --> Si deshabilita esta
configuración de directiva, no se permitirá la ejecución de ningún script
La alternativa es restringir completamente el acceso a PowerShell, aunque pierdes la capacidad de
automatizar procesos en máquinas del dominio.

Para habilitar esta configuración de directiva, ejecute gpedit.msc y navegue a la siguiente

configuración:

Configuración de usuario --> Plantillas administrativas --> Sistema

Doble click en:

No ejecutar aplicaciones de Windows especificadas

Hacer click en "Habilitada"

Lista de aplicaciones no permitidas

Mostrar --> Valor --> powershell.exe

Otra forma es deshabilitar el ejecutable PowerShell.exe, la ruta por defecto es:

C:\Windows\System32\WindowsPowerShell\v1.0.

Haz lo mismo para bitsadmin.exe

Opciones más avanzadas

Configurar el Firewall de Windows en todos nuestros hosts para bloquear técnicas ampliamente
utilizadas como el uso de PowerShell.exe u otros LOLBAS (Living Off The Land Binaries and
Scripts).
Utilice las políticas de Windows Firwall para bloquear el acceso de los binarios al llamado "Alcance
Remoto". Estos binarios incluyen powershell.exe, bitsadmin.exe, certutil.exe, regsrv32.exe,
mshta.exe, msbuild.exe, hh.exe, makecab.exe, ieexec.exe, extract.exe, expand.exe (consulte los
enlaces para detalles)
Bloquear binarios
• powershell.exe (ATT&CK T1086)
• regsvr32.exe (ATT&CK T1117)
• mshta.exe (ATT&CK T1170)
• bitsadmin.exe (ATT&CK T1197)
• certutil.exe (ATT&CK T1105)
• msbuild.exe
• hh.exe
• makecab.exe
• ieexec.exe
• expand.exe
 • extrac.exe

Deshabilitar SMB v1
Mediante comando PowerShell:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Mediante el registro de Windows Server:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1

REG_DWORD = “0” (Disabled)

Clientes:

HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10

Registry entry: Start

REG_DWORD = “4” (Disabled)

HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registry entry: DependOnService

REG_MULTI_SZ: “Bowser”,“MRxSmb20”,“NSI”

Deshabilitar Windows Remote Management (WinRM)

Disable-PSRemoting -Force

Stop-Service WinRM -PassThruSet-Service WinRM -StartupType Disabled

Regla Firewall Windows:

netsh advfirewall firewall set rule group=”Windows Remote Management” new
enable=no

Deshabilitar WDigest
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\
UseLogonCredential REG_DWORD = “0”