Virtualización y Cloud Computing

Ransomware: un chantaje que puede poner en peligro la continuidad de nuestro negocio

Ransomware es una forma de malware (software malintencionado) que se introduce mediante diferentes caminos dentro de un ordenador para hacer inaccesible a su propietario el contenido del mismo, normalmente cifrándolo con una clave que los ciberdelincuentes entregarán supuestamente solo en el caso de pago de un rescate.

Los efectos sobre la información son dramáticos para la empresa afectada ya que el sistema de cifrado es prácticamente inviolable (nivel militar) y los ficheros originales son borrados mediante la herramienta SDelete de Sysinternals que los hace irrecuperables.

En los últimos meses su actividad está afectando a un gran número de empresas y todo parece indicar que los ciberdelincuentes están haciendo uso del protocolo RDP (Microsoft Remote Desktop Protocol) como vía de entrada para acceder a servidores Microsoft Windows 2003 Server e instalar el ransomware.

 

Según informa INTECO (Instituto Nacional de Tecnologías de la Comunicación) en su página web:

Es altamente probable que se estén aprovechando de configuraciones débiles en RDP (acceso sin contraseña, contraseñas fácilmente predecibles, etc.) para poder infectar las máquinas. Por este motivo y, como medida preventiva, se aconseja llevar a cabo las recomendaciones de seguridad

  • Hacer copias de seguridad de todos sus archivos importantes y guardar los backups en un dispositivo/equipo externo no conectado directamente. Este hecho es especialmente importante, ya que el malware tiene capacidad para detectar dispositivos conectados al equipo, por lo que las propias copias de seguridad podrían verse también comprometidas.
  • Asegúrese de que sus sistemas así como sus programas están correctamente actualizados. Esto incluye los equipos utilizados para acceder remotamente a su equipo.
  • Limite el acceso remoto a sus sistemas directamente desde Internet.
  • Utilice contraseñas robustas para el acceso remoto a su servicio RDP y reducir así el riesgo de intentos de acceso por fuerza bruta.
  • Implemente políticas de bloqueo de cuentas en el servidor RDP cuando se detecten múltiples intentos de acceso fallidos.
  • Cuando el acceso remoto sea imprescindible, utilice métodos seguros como VPN. Utilice además dos factores de autenticación (no sólo contraseña), y restringa el acceso únicamente a las personas, sistemas y servicios que realmente necesiten acceso remoto.

A las anteriores medidas recomendadas por INTECO sería recomendable añadir las siguientes:

  • Cambiar el puerto estándar que usa RDP (3389) por cualquier otro que no esté ya en uso.
  • Analizar las cuentas de acceso existentes dando de baja aquellas que ya no estén en uso.
  • Aplicar los parches existentes para Microsoft Windows Server, en especial los de la versión 2003.

El malware informa de su presencia mediante una ventana en la que se nos comunica que se han encriptado los ficheros apelando a una supuesta posesión de pornografía infantil y se nos dan las instrucciones para realizar un pago asegurando que a cambio del mismo realizarán el envío de la clave de encriptación

En caso de haber sido víctima de este malware no pague el supuesto rescate, póngase en contacto con INTECO-CERT (incidencias@cert.inteco.es) y ponga inmediatamente la denuncia correspondiente, en alguno de los cuerpos y fuerzas de seguridad del estado.

El fenómeno está afectando a tal número de empresas que TV3 recogió la noticia el día 03/07/2013 en el reportaje: “Xantatge informàtic”: http://www.tv3.cat/3alacarta/#/videos/4627412

El contenido del mismo puede ampliarse con la entrevista íntegra realizada a un afectado: http://www.tv3.cat/3alacarta/#/videos/4627415 y a un experto forense informático: http://www.tv3.cat/3alacarta/#/videos/4627419

Si requieren ampliación sobre el contenido de este articulo o soporte técnico pueden dirigirse a nuestro departamento de atención al cliente.

By | 2017-02-15T18:44:48+00:00 16-06-2013|Seguridad|