30 consejos para la prevención del ransomware
Lidiar con las consecuencias de los ataques de ransomware es como la ruleta rusa. Puede parecer que enviar el rescate es la única opción para recuperar datos bloqueados. Pero pagar el rescate no significa que su organización recuperará los datos afectados.
No olvidemos que el ransomware también sigue evolucionando como categoría de amenaza. A partir de finales de noviembre de 2019, las pandillas de criptomalware como Maze y DoppelPaymer comenzaron a robar los datos de las víctimas que no cumplían antes de activar sus rutinas de cifrado y, posteriormente, publicar esta información en sitios dedicados a la fuga de datos. Estos actores maliciosos recurrieron a esta técnica como una forma de eludir las copias de seguridad de datos y obligar a las organizaciones a pagar, a veces dos veces, para evitar los costos asociados con sufrir una violación de datos.
Precisamente por eso, detectar un ataque de ransomware en curso no es suficiente. Debe concentrarse en prevenir una infección de ransomware en primer lugar. Puede hacerlo siguiendo las medidas de seguridad que se detallan a continuación.
- Haga un inventario de sus activos.
Para protegerse contra una infección de ransomware, primero debe saber qué activos de hardware y software están conectados a la red. El descubrimiento activo puede ayudar, pero no descubrirá los activos desplegados por el personal de otros departamentos. Reconociendo esta deficiencia, debe adoptar el descubrimiento pasivo como un medio para crear un inventario completo de activos y mantener actualizada la lista de hardware y software conectados.
- Personalice su configuración antispam de la manera correcta.
Se sabe que la mayoría de las variantes de ransomware se propagan a través de correos electrónicos llamativos que contienen archivos adjuntos maliciosos. Algunos de estos archivos adjuntos pueden incluir documentos de Word u otros formatos de archivo que se usan comúnmente en su organización. Pero algunos pueden llegar en un formato que rara vez se usa. Posteriormente, puede configurar su servidor de correo web para bloquear esos archivos adjuntos. (Extensiones de archivo como .EXE, .VBS o .SCR son algunos ejemplos comunes).
- Abstenerse de abrir archivos adjuntos que parezcan sospechosos.
Esto no solo se aplica a los mensajes enviados por personas desconocidas. También se refiere a los remitentes que cree que son sus conocidos. Los correos electrónicos de phishing pueden hacerse pasar por notificaciones de un servicio de entrega, un recurso de comercio electrónico, una agencia de aplicación de la ley o una institución bancaria.
- Evite dar información personal.
Los actores malintencionados necesitan obtener su información de algún lugar si esperan enviarle un correo electrónico de phishing que alberga en secreto ransomware como carga útil. Claro, podrían obtener esa información de una violación de datos que se publicó en la web oscura. Pero podrían simplemente obtenerlo usando técnicas OSINT revisando sus publicaciones en las redes sociales o perfiles públicos en busca de información clave. Dicho esto, es importante no compartir en exceso en línea y, en general, evitar dar información personal identificatoria a menos que sea absolutamente necesario.
- Piense dos veces antes de hacer clic.
Es posible recibir hipervínculos peligrosos a través de redes sociales o mensajería instantánea. La mayoría de las veces, los delincuentes digitales comprometen la cuenta de alguien y luego envían enlaces incorrectos a todas sus listas de contactos. Eso explica por qué el remitente de un enlace incorrecto podría ser alguien de confianza, como un amigo, colega o familiar. No hagas clic en un enlace sospechoso sin importar de quién provenga. Si no está seguro de si el contacto tenía la intención de enviarle el enlace para su atención, use un medio de comunicación alternativo para comunicarse con ellos y verificar.
- Educa a tus Usuarios.
Las mejores prácticas discutidas anteriormente resaltan la necesidad de educar a sus usuarios sobre algunos de los tipos más comunes de ataques de phishing que están en circulación. Para hacer esto, debe invertir en cultivar su cultura de seguridad a través de la capacitación continua sobre seguridad de toda su fuerza laboral. Este programa debe usar simulaciones de phishing para probar específicamente la familiaridad de los empleados con las tácticas de phishing.
- Utilice la función Mostrar extensiones de archivo.
Mostrar extensiones de archivo es una funcionalidad nativa de Windows que le permite saber fácilmente qué tipos de archivos se están abriendo para que pueda mantenerse alejado de archivos potencialmente dañinos. Esto es útil cuando los estafadores intentan utilizar una técnica confusa en la que un archivo parece tener dos o más extensiones, por ejemplo, cute-dog.avi.exe o table.xlsx.scr. Presta atención a los trucos de este tipo.
- Parchee y mantenga su software actualizado.
En ausencia de un parche, los actores maliciosos pueden explotar una vulnerabilidad en su sistema operativo, navegador, herramienta antivirus u otro programa de software con la ayuda de un kit de explotación. Estas amenazas contienen código de explotación para vulnerabilidades conocidas que les permiten lanzar ransomware y otras cargas útiles maliciosas. Como tal, debe asegurarse de que su gestión de vulnerabilidades cubra todos sus activos de software conectados para que sus profesionales de seguridad puedan priorizar sus esfuerzos de remediación y mitigación en consecuencia.
- Deshabilite instantáneamente la web si detecta un proceso sospechoso en su computadora.
Esta técnica es particularmente eficaz en una etapa temprana del ataque. La mayoría de las muestras de ransomware necesitan establecer una conexión con sus servidores de comando y control (C&C) para completar su rutina de cifrado. Sin acceso a Internet, el ransomware permanecerá inactivo en un dispositivo infectado. Tal escenario le brinda la capacidad de eliminar el programa malicioso de una computadora infectada sin necesidad de descifrar ningún dato.
- Descarga solo de sitios en los que confíes.
La confianza juega un papel importante en la prevención de una infección de ransomware. Así como debe intentar evitar que se ejecuten procesos no confiables en su computadora, también debe intentar autorizar descargas solo desde ubicaciones en las que confíe. Entre ellos se incluyen sitios web que utilizan «HTTPS» en la barra de direcciones, así como mercados de aplicaciones oficiales para su(s) dispositivo(s) móvil(es).
- Agregue aplicaciones a las listas permitidas.
Hablando de confianza, es importante no instalar aplicaciones que puedan generar riesgos en su entorno. Debe agregar aplicaciones a una lista permitida como medio para aprobar qué programas pueden ejecutar sus sistemas, según las políticas de seguridad de su organización.
- Mantenga el Firewall de Windows activado y correctamente configurado en todo momento.
El Firewall de Windows puede ayudar a proteger sus PC contra instancias de acceso no autorizado, como un actor de ransomware que intenta infectar sus máquinas. Puede obtener más información sobre el Firewall de Windows en sitio web de microsoft.
- Utilice el principio de privilegio mínimo.
Los cortafuegos ayudan a revisar su tráfico Norte-Sur en un esfuerzo por evitar que los actores maliciosos se infiltren en la red. Sin embargo, estas soluciones son menos efectivas para escanear el tráfico Este-Oeste en busca de signos de movimiento lateral. Como tal, debería considerar implementar el principio de privilegio mínimo revisando los niveles de control y las instancias de acceso de escritura que está distribuyendo. Esto disuadirá a los actores de ransomware de usar una cuenta comprometida para moverse a través de su red.
- Ajuste su software de seguridad para escanear archivos comprimidos o archivados.
Muchos actores de ransomware creen que pueden pasar por sus filtros de correo electrónico ocultando sus cargas dentro de archivos adjuntos que contienen archivos comprimidos o archivados. Por lo tanto, necesita herramientas que sean capaces de escanear esos tipos de archivos en busca de malware.
- Use fuertes filtros de spam y autentique a los usuarios.
Además de tener la capacidad de escanear archivos comprimidos o archivados, necesita fuertes filtros de correo no deseado que sean capaces de evitar que los correos electrónicos de phishing lleguen a los usuarios en general. También debe usar tecnologías como el marco de política del remitente (SPF), el informe y la conformidad de autenticación de mensajes de dominio (DMARC) y el correo identificado de claves de dominio (DKIM) para evitar que los actores maliciosos utilicen técnicas de suplantación de correo electrónico.
- Deshabilite el host de secuencias de comandos de Windows.
Algunos actores maliciosos usan archivos .VBS (VBScript) para ejecutar ransomware en una computadora infectada. debe deshabilitar Windows Script Host para evitar que el malware use este tipo de archivo.
- Deshabilite Windows PowerShell.
PowerShell es un marco de automatización de tareas que es nativo de las computadoras con Windows. Consiste en un shell de línea de comandos y un lenguaje de secuencias de comandos. Las personas malintencionadas suelen utilizar PowerShell para ejecutar ransomware desde la memoria, lo que ayuda a evadir la detección de las soluciones antivirus tradicionales. Por lo tanto, debería considerar deshabilitar PowerShell en sus estaciones de trabajo si no tiene un uso legítimo para el marco.
- Mejore la seguridad de sus aplicaciones de Microsoft Office.
Las personas nefastas tienen una inclinación por usar archivos de Microsoft armados para distribuir sus cargas maliciosas. Estos archivos suelen utilizar macros y ActiveX, en particular. Reconociendo este hecho, debe deshabilitar las macros y ActiveX para evitar que se ejecute código malicioso en la PC con Windows.
- Instale un complemento del navegador para bloquear las ventanas emergentes.
Las ventanas emergentes sirven como un punto de entrada común para que los actores malintencionados lancen ataques de ransomware. Tú por lo tanto, debe considerar la instalación de complementos del navegador para detener las ventanas emergentes en su camino.
- Utilice contraseñas seguras.
En presencia de una contraseña débil, los actores malintencionados podrían abrirse paso a la fuerza bruta en un sistema o cuenta. Luego, podrían aprovechar ese acceso para realizar ataques secundarios o moverse lateralmente a través de la red con el fin de implementar ransomware. Es por eso que debe usar y hacer cumplir contraseñas seguras y únicas para todas las cuentas.
- Desactiva la reproducción automática.
AutoPlay es una función de Windows que permite a los usuarios ejecutar instantáneamente medios digitales como unidades USB, tarjetas de memoria y CD. Los actores maliciosos podrían usar este tipo de dispositivos para infiltrar ransomware en su computadora. En respuesta, debe deshabilitar esta función en todas las estaciones de trabajo.
- No utilice medios desconocidos.
Una cosa es que los actores maliciosos comprometan la cadena de suministro de una organización y envíen dispositivos de medios con troyanos. Otra cosa es conectar voluntariamente un dispositivo desconocido a su computadora. Nunca se sabe lo que podría esconderse en una unidad USB o un CD que no es tuyo. Por lo tanto, debe evitar el uso de este tipo de medios a menos que los haya comprado a un proveedor de confianza.
- Asegúrese de deshabilitar el uso compartido de archivos.
No desea dar a los atacantes ninguna forma de infectar varias máquinas en su entorno. Es por eso que debe deshabilitar el uso compartido de archivos. En caso de un ataque de ransomware, el criptomalware permanecerá aislado en su máquina y no se propagará a otros activos.
- Deshabilitar los servicios remotos.
Los hackers de sombrero negro pueden aprovechar el protocolo de escritorio remoto para expandir la superficie de ataque y afianzarse en su red. Para frenar esta amenaza, debe deshabilitar los servicios remotos. Hacerlo ayudará a cerrar un vector para ataques remotos.
- Apague las conexiones inalámbricas no utilizadas, como Bluetooth o los puertos de infrarrojos.
Hay casos en que los actores maliciosos explotan Bluetooth para comprometer una máquina. Debe abordar este vector de amenaza desactivando Bluetooth, puertos de infrarrojos y otras conexiones inalámbricas que podrían no usarse en la organización.
- Usar Políticas de Restricción de Software.
Por documentación de microsoft Las políticas de restricción de software son políticas de confianza que permiten a las organizaciones administrar el proceso de ejecución de aplicaciones en sus equipos. Por ejemplo, viene con la capacidad de designar dónde están y dónde no se pueden ejecutar las aplicaciones. Esto es útil para ayudar a prevenir una infección de ransomware, ya que los atacantes suelen usar ProgramData, AppData, Temp y WindowsSysWow para alojar sus procesos maliciosos.
- Bloquee las direcciones IP maliciosas conocidas de Tor.
Las puertas de enlace Tor (The Onion Router) son uno de los medios principales para que las amenazas de ransomware se comuniquen con sus servidores C&C. Por lo tanto, puede bloquear las direcciones IP de Tor maliciosas conocidas, ya que pueden ayudar a impedir que pasen los procesos maliciosos críticos.
- Hacer uso de la inteligencia de amenazas.
Los actores de ransomware continúan innovando nuevas técnicas, lanzan nuevos ataques y crean nuevas variedades de criptomalware. A la luz de esta realidad, debe tener alguna forma de mantenerse al día con lo que sucede en el panorama de amenazas y qué riesgos podrían estar afectando a otras organizaciones en la misma región o industria. Puede hacer esto asegurándose de tener acceso a fuentes de inteligencia de amenazas confiables.
- Segmentar la red.
Los atacantes pueden utilizar una red continua para propagarse por toda su infraestructura. Puede evitar esto segmentando su red. En particular, es posible que desee considerar colocar sus activos industriales y dispositivos IoT en sus propios segmentos.
- Supervise la red en busca de actividad sospechosa.
Independientemente de la forma en que decida organizar su red, debe estar atento al comportamiento de amenazas que podría ser indicativo de un ataque de ransomware o un incidente de seguridad. Es por eso que necesita usar herramientas para monitorear la red en busca de actividad sospechosa.