¿Cómo evadir ataques de Ransomware? Un Red Team nos explica

Share:
Un Red Team Leader nos enseña a evadir ataques de Ransomware

Pareciera muy básico, pero tener un backup y concientizar a los empleados puede ayudar a cualquier organización a evadir ataques de ransomware.

Allan Contreras Flores, Red Team leader en ICT Hub, trabaja diariamente contra amenazas cibernéticas y ataques de ransomware. Desde hace cinco años ayuda a empresas internacionales, entre ellas bancos, aseguradoras, hospitales, a hacer testeos que pongan a prueba su seguridad.

Desde hace tres años dedica parte de su tiempo al Bug Bounty, es decir, encuentra vulnerabilidades en empresas y las reporta.

Para Contreras hablar de lo que es el ransomware y su propagación es importante porque las empresas no tienen idea de lo mucho que pueden perder al ser atacadas y perder su información.

Daños a clientes finales, cuantiosas pérdidas de dinero y el golpe a su reputación pueden derivar de ataques de ransomware perfectamente prevenibles en donde la concientización de la gente juega un papel fundamental, así como las soluciones de backup y sistemas de alertas.

Un 53% de las empresas en México no ha pasado por el secuestro de su información; sin embargo, todas las que tienen datos de sus empresas y clientes deben sentirse blanco porque los datos son la nueva moneda de cambio en el mundo y entre cibercriminales.

El ransomware es un código malicioso programado para hacer daño, tomar la información de otros y pedir a cambio de su rescate un pago: archivos, documentos personales y/o empresariales y computadoras.

Un tipo de Ransomware más catastrófico es aquel que secuestra el sistema operativo, ya que toma la información de un centro de datos completo.

“Pagar el rescate de la información es negociar con delincuentes y nada garantiza que está será devuelta; además, si pagas una vez pueden volver a atacarte porque fuiste un cliente rentable para ellos”.

Allan Contreras, Red Team Leader

Contreras recordó que en los últimos meses se ha visto en México el ataque de ransomware que sufrió la Lotería Nacional Mexicana, la aseguradora Axxa y Pemex en 2020.

No obstante, las empresas grandes no son las únicas víctimas. Los alcances del ransomware le permiten llegar a sistemas móviles como Android, y en no tan comunes como Linux, además de Windows y Mac.

Tan fácil como robarle un dulce a un niño

De acuerdo con Contreras, hay tres formas de conseguir un ransomware para atacar a una persona o empresa:

La primera es: Programando. Si sabes un poco de Python, o C o Java podrás programar un ransomware, solo tendrás que aprender sobre cifrados simétricos o asimétricos. Una vez que obtienes estos conocimientos, eliges qué atacar, por ejemplo, el sistema operativo. Allí, puedes tomar, por decir algo, todos los archivos que tengan .PDF, meterlos por este algoritmo, poner la llave y cifrar.

“Es algo muy sencillo de programar, cualquier ingeniero, incluso un niño que sepa programar podría crear este malware y comenzar a hacer daño”.

La segunda manera de crear un ransomware implica comprarlo en Internet, para lo que ni siquiera es necesario meterse a la Depp Web.

La tercera forma es a través de las vulnerabilidades nuevas en sistemas operativos. El líder Red Team, afirmó que todos los activos de las organizaciones sufren cambios y esto abre vulnerabilidades.

En los mejores escenarios los programas y sistemas operativos envían las actualizaciones para que queden parchadas y se mitiguen los riesgos; pero la realidad es que muchas empresas o usuarios no actualizan, ni hacen pruebas de penetración o análisis de vulnerabilidades, de manera que, si el hacker encuentra una vulnerabilidad, lanza el anzuelo y cualquier empleado ejecuta sin darse cuenta, el ransomware habrá hecho su tarea.

No se necesita ser un ciberdelincuente o un hacker experto para lanzar un ataque de ransomware; cualquier persona con una cuenta en bitcoin podría meterse a las páginas y comprar malware -porque se venden en esta criptomoneda- y listo.

Afortunadamente, hay esfuerzos por tirar las paginas en donde se venden estos contenidos, aunque en poco tiempo salen otras que las sustituyen.

Ahora, hacer caer a una empresa en un ataque de ransomware tampoco es tan difícil. Los atacantes se valen del phishing, la ingeniería social, hasta una USB abandonada en la calle afuera de las oficinas son mecanismos de los que se han valido para propagar el ransomware en las organizaciones.

¿Cómo combatir el Ransomware?

La prevención siempre será la clave; tener un backup es fundamental, pues al momento de sufrir un ataque de Ransomware la empresa no tendrá que entrar en negociaciones y evitará líos legales con sus clientes.

“Pon todos los controles necesarios para proteger tus datos y capacita a los empleados; pagar por el regreso de tu información no es garantía de que te devolverán lo robado.”

Inatalar software legítimo es otro punto. El ciberdelincuente solo requiere que un usuario, ejecute una herramienta que se puede hacer pasar por un instalador, un PDF, una imagen, por eso el personal completo debe tener nociones de ciberseguridad.

Si el ransomware se distribuye y la información es secuestrada, el atacante pondrá un cronometro que presionará a las víctimas para que tomen una decisión rápida, quitándole la posibilidad de pensar a fondo o buscar ayuda. Es precisamente esa prisa la que orilla a tomar malas decisiones.

“Parecerá una locura, pero debes mantener la calma”, recomienda el líder Red Team, pensar, respirar, tomarse un minuto para planear qué se va a hacer. Evalúa tus opciones y contacta a un proveedor de gestión de crisis, respuesta a incidentes o forensia digital.

Mientras tanto, desconecta todos los dispositivos porque el ransomware podría estarse distribuyendo por la red.

Documenta el ataque, toma fotografías de lo que sucede para que después hagas manuales de gestión de crisis.

También es importante avisar a las autoridades, si bien en México las leyes no son tan robustas, es lo ideal hacerlo, lo mismo a los clientes.

Encuentre la causa raíz del ataque de ransomware, y si descubrir si el ransomware fue ejecutado por el área de Recursos Humanos, por ejemplo, o un área administrativa. Tras el ataque debes reforzar las campañas de concientización.

Te interesa leer: ¿Conoces al equipo rojo de Fluid Attacks?

Descubre el tipo de ransomware que te está atacando para ver de qué manera descifrarlo.

Restaura los datos, evita malas prácticas como no tener respaldo o tenerlos desactualizados.

  • Nombre: Allan Contreras
  • Cargo: Red Team leader
  • Twitter: @oficialTBon3