Header Ads Widget

Ticker

6/recent/ticker-posts

Para los usuarios de Windows, consejos para combatir los ataques de ransomware


Secuestro de datos.

Es una palabra que infunde miedo en la mente de muchos usuarios de computadoras, especialmente dados los titulares casi diarios sobre las empresas afectadas. Nos hace preguntarnos por qué esto sigue sucediendo a usuarios y empresas, grandes y pequeñas.

Pero hay muchas cosas que puede hacer para protegerse o proteger su negocio.

Tenga cuidado con lo que hace clic
La mayoría de las veces, el ransomware que afecta a una persona ocurre después de que alguien hace clic en algo que no debería, tal vez un correo electrónico relacionado con el phishing o una página web que instala archivos maliciosos. En un entorno empresarial, los ataques a menudo provienen de un atacante que persigue un protocolo de acceso remoto abierto, ya sea mediante fuerza bruta o credenciales recolectadas. Una vez dentro de la red, pueden desactivar las copias de seguridad y esperar hasta el mejor momento para atacar.

El ransomware no es nuevo. Su historia se remonta a 1989 . En aquel entonces, el señuelo era un disquete que instalaba un virus, que al tercer día pedía dinero para recuperar la información de la computadora. Más recientemente, se utilizó contra Colonial Pipeline , una empresa de gasoductos de la costa este. Ese ataque provocó un agotamiento del combustible , el cierre de estaciones de servicio, conductores enojados y mala publicidad (y un pago reportado de millones de dólares) para la compañía de gasoductos. Fue un ejemplo del mundo real de lo que el ransomware puede hacer a las empresas.

Copias de seguridad, copias de seguridad, copias de seguridad
Co-modero un grupo de Facebook sobre el tema de seguridad y ransomware. A menudo, cuando un usuario se acerca a nosotros para preguntarnos cómo recuperarse de un ataque de ransomware, nuestra única recomendación es preguntar si tiene una buena copia de seguridad. Con eso, me refiero a uno que se ejecuta de forma regular y se almacena en un disco duro externo que tiene un "espacio de aire" de su computadora. Si puede acceder a la unidad en la que está almacenada su copia de seguridad, también puede hacerlo su atacante. Así que asegúrese de rotar los medios de respaldo y siempre tener una copia que esté fuera de línea y no conectada a su sistema.

También es bueno investigar si su software de copia de seguridad tiene una función anti-ransomware que garantiza que nadie más que los procesos de copia de seguridad pueda acceder a la unidad.

No existe una solución mágica para deshacer el ransomware, aunque nomoreransom.org realiza un seguimiento de los ataques conocidos; Si los atacantes han hecho público una clave de cifrado o alguna autoridad se ha apoderado de un servidor de comando y control y, por lo tanto, ha obtenido acceso a las herramientas de cifrado, la herramienta de descifrado se almacenará en ese sitio.

Engañar a los atacantes
Si es un poco más aventurero, podría considerar agregar una herramienta como Raccine , que evitará que el ransomware elimine todas las instantáneas usando vssadmin. Se ejecuta en Windows 7 o superior e intercepta la solicitud y mata el proceso de invocación. La eliminación silenciosa de las copias de seguridad y la detención del proceso de copia de seguridad suele ser la primera señal de que un atacante persigue sus sistemas.

Asegúrese siempre de realizar un seguimiento del éxito o el fracaso del proceso de copia de seguridad. Personalmente configuro alertas con mi software de respaldo para que me notifiquen tanto de los éxitos como de los fracasos relacionados con mi infraestructura clave. Hacer un seguimiento de la finalización de las copias de seguridad es una forma clave de realizar un seguimiento del estado de sus sistemas.

Otro truco que puede utilizar para intentar defenderse de los atacantes es instalar el teclado ruso en su sistema. Si bien el ransomware Darkside no verificó específicamente su instancia, el malware con sede en Rusia a menudo verificará dónde se está instalando y evitará los sistemas basados ​​en Rusia. (No tiene que usar el teclado y terminará con "EN" en la bandeja del sistema . Pero podría engañar a los atacantes para que lo pasen de largo).

Otra herramienta de seguridad que ahuyentó a los atacantes durante un ataque reciente fue Sysmon . Esta es una herramienta gratuita de Microsoft que mejora los registros de eventos de seguridad en las máquinas con Windows. Cuando los atacantes que usaban la vulnerabilidad de Solarwinds revisaban qué empresas querían atacar, si Sysmon, Procmon, Procexp o Autoruns estaban instalados en los sistemas, los atacantes no perseguirían a la empresa  porque no querían ser detectados. Especialmente para las pequeñas empresas, recomiendo el uso de Sysmon para mejorar los archivos de registro en su sistema.

Lo que puedes hacer
En pocas palabras, no facilite que los atacantes lo conviertan en otra estadística de ransomware. Esto es lo que puede hacer para reducir las posibilidades de un ataque "

Asegúrese de hacer buenas copias de seguridad de forma regular y de tener varios discos duros externos que pueda rotar para asegurarse de que al menos una copia de sus archivos esté desconectada en todo momento.
Mantenga sus navegadores actualizados y asegúrese de que se actualicen independientemente del sistema operativo.
Asegúrese de que su correo electrónico tenga un buen filtrado, ya sea de su ISP (si proporciona su correo electrónico) o mediante Gmail o Outlook.com.
Considere agregar la autenticación Duo como autenticación de dos factores para el acceso remoto si usa el protocolo de escritorio remoto en una pequeña empresa. Y no permita simplemente una contraseña entre usted y el mundo exterior cuando se trata de acceso remoto.
Es posible que esto no garantice que esté completamente a salvo del ransomware, pero al menos deberían hacer que sea menos probable que lo golpeen.

 

Publicar un comentario

0 Comentarios