Ransomware. Es la nueva pesadilla de los departamentos de TI, de las gerencias de Seguridad y en general de las empresas que súbitamente se encuentran enfrentando que cada una de sus computadoras y servidores han sido encriptados.

Sin embargo, la pregunta es: ¿el ransomware aparece por sorpresa o hay signos que indican su próxima aparición?

De acuerdo con la unidad de investigación de la empresa SILIKN, especialista en ciberseguridad, existen claros indicios de que las empresas están a punto de ser víctimas del ransomware y, muchas de ellas, han estado ahí todo el tiempo: como las solicitudes de DNS mal dirigidas, los reinicios de VPN incorrectos y las fallas de inicio de sesión, las cuales deberían haber activado las alarmas de que se estaba produciendo un ataque de este tipo.

En todo caso, cualquier esfuerzo de mitigación y protección debe iniciar con una evaluación de las vulnerabilidades de la empresa. Pero esto debe hacerse de forma rápida, ya que una vez que los atacantes están en su red, tiene entre 48 horas y 12 días antes de que sea demasiado tarde.

¿Qué es lo que debe contemplar un plan de ciberseguridad y la evaluación de vulnerabilidades de la empresa?

Tiempo inusual en las conexiones VPN: Las empresas deben estar atentas a las señales de tiempo anómalas en las conexiones VPN. Si la organización tiene niveles normales de tráfico entre las 9 a.m. y las 5 p.m. y luego, de pronto, hay tráfico con direcciones IP de Rusia o Mozambique a las 2 a.m., esto debería activar las señales de advertencia, con la finalidad de averiguar a qué están intentando acceder los atacantes.

El tráfico se redirige repentinamente a lugares en la Dark Web: El tráfico de red normal nunca debería ser redirigido a un sitio TOR. El usuario promedio probablemente no sabe qué es y mucho menos tendría algún negocio en una red TOR. Se debe tener cuidado con las solicitudes de DNS inusuales. Si las solicitudes regresan a sitios de malware conocidos, eso es potencialmente un problema y la red podría infectarse.

Herramientas de seguridad que se utilizan en entornos para las que no fueron asignadas: Una vez que los atacantes tengan derechos de administrador, intentarán deshabilitar el software de seguridad utilizando aplicaciones creadas para ayudar con la eliminación forzada de software, como Process Hacker, IObit Uninstaller, GMER y PC Hunter. Este tipo de herramientas son legítimas, pero si una herramienta específica aparece en un sistema para el que no está asignada, entonces algo está mal.

La red hace preguntas inusuales: Los atacantes suelen comenzar por obtener acceso a una máquina, donde buscan información y hacen preguntas que los usuarios de todos los días normalmente no harían, por ejemplo, “¿Es esta una máquina Mac o Windows? ? “ “¿Cuál es el dominio y el nombre de la empresa?” “¿Qué tipo de derechos de administrador tiene la computadora?”. A continuación, los atacantes intentan averiguar qué más hay en la red y a qué pueden acceder. En la mayoría de las circunstancias, intentarán utilizar un escáner de red, como Angry IP o Advanced Port Scanner. Si detecta una actividad inusual y nadie del personal de administración estaba usando el escáner para un uso corporativo normal, es tiempo de investigar.

Incremento de los correos electrónicos de phishing con dominios extraños: Las empresas deben estar atentas a los correos electrónicos que vienen con nombres de dominio extraños que nunca han estado en el entorno de la empresa. Las herramientas de análisis le permiten buscar cada nuevo dominio que haya pasado por la red en los últimos siete días. Es posible filtrar dominios conocidos buenos y malos, como aquellos con buena reputación. Estas herramientas también pueden ver lo que se descargó y determinar qué puede parecer inusual.

Los ataques de fuerza bruta afectan la red: Es importante buscar ataques de fuerza bruta en sistemas RDP. Una vez en la red, los atacantes suelen buscar contraseñas adicionales. También debe estar atento a la actividad inusual de copia de archivos, especialmente de .bat, .zip, .txt y otros archivos comunes. No es común que una cuenta copie archivos desde y hacia múltiples cuentas de usuario o dispositivos. También hay situaciones en las que los atacantes podrían haber comprometido cuentas administrativas y comienzan a copiar archivos. Los atacantes también utilizan estas cuentas para conservar y cifrar rápidamente los sistemas de archivos.

Errores en el inicio de sesión en Active Directory: Los departamentos de seguridad deben supervisar Active Directory en busca de errores de inicio de sesión. Por ejemplo, tres fallas de inicio de sesión seguidas en los servidores RDP, es una señal segura de que la red ha sido atacada. Lo mismo se aplica a las fallas de inicio de sesión administrativo. Debido a que las empresas no tuvieron tiempo de prepararse para COVID-19 — y parece que el trabajo desde casa continuará en el futuro previsible — , es hora de desarrollar una lista segura de buenas direcciones IP.

¿Cómo se puede prevenir el ransomware?

Hay varios pasos defensivos que se pueden tomar para prevenir la infección por ransomware. Estos pasos son, por supuesto, buenas prácticas de seguridad en general, por lo que seguirlos mejora sus defensas contra todo tipo de ataques:

• Mantenga su sistema operativo parchado y actualizado para garantizar que tenga menos vulnerabilidades que explotar.
• No instale software ni le otorgue privilegios administrativos a menos que sepa exactamente qué es y qué hace.
• Instale software antivirus de nueva generación que detecta programas maliciosos como el ransomware a medida que llegan, y el software de lista blanca, que evita que se ejecuten aplicaciones no autorizadas.
• Y, muy importante, haga una copia de seguridad de sus archivos, frecuente y automáticamente. Eso no detendrá un ataque de malware, pero puede hacer que el daño causado por uno sea mucho menos significativo.

Víctor Ruiz, fundador de SILIKN.