#WindowsEnLasEmpresas es un programa en YouTube donde hablamos de #Windows, ya sea en sus versiones cliente, servidor, o nube. El episodio 3 lo dedicamos a hablar de un tema candente en la seguridad: Ransomware y Windows. En esta oportunidad hemos tenido la presencia de Quique Dutra: Cybersecurity Professional y Auditor ISO/IEC.
En esta publicación podrás ver la sesión en vivo, acceder al material presentado y conocer algunos detalles técnicos que te sorprenderán.
¿Qué es un Ransomware?
Un Ransomware es un virus. En sus inicios se los conocía como virus “Crypto”, dado que el virus cifraba la información en tu computadora y, básicamente, perdías acceso a ella.
Rescate: de allí su nombre
Con el correr del tiempo las personas que crean este tipo de virus (que se consideran ciberdelincuentes informáticos) comenzaron a ver la posibilidad de solicitar dinero a cambio de la desencriptación de los datos, es decir pedir un “rescate”.
Hoy en día, estos virus encriptan la info no sólo de una computadora (sino de toda la red) y las víctimas deben pagar la suma para recuperar sus datos, o recuperar un resguardo de la información (si es que la tienen).
Wannacry
Wannacry se considera uno de los ransomware íconos por su importancia. ¿En qué se basa esto? A diferencia de otros virus de tipo Ransomware, Wannacry no sólo encriptaba la computadora donde ingresaba, sino que explotando una vulnerabilidad SMB de Microsoft que fue detectada en Diciembre de 2016 (y solucionada en Marzo de 2017). Las personas que no actualizaron sus sistemas (actualizaciones de software) sufrieron ataques a partir de Abril 2017.
¿Cómo se da este ataque? El virus ingresa por una computadora y, de acuerdo a los privilegios del usuario con el que se instaló, puede saltar a otros recursos a través de la vulnerabilidad SMB.
¿Cuáles son las técnicas de ataque más comunes?
Existen dos tipos de ataques fundamentales para la infección:
- Ataque dirigido.
- Ataque usando técnicas de Ingeniería Social (Spam, Pishing, Sitios Web).
Es importante mencionar que los ataques dirigidos suelen incluir técnicas sofisticadas. A través de varios sitios web que proveen información pública sobre puertos abiertos (fundamentalmente RDP), los ciberdelincuentes ingresan a un sistema y lo evalúan durante días / semanas. Luego de planear el ataque dirigido, elijen uno en particular y realizan el ataque infectando todos sus sistemas.
Con respecto la Ingeniería Social, estas incluyen una variedad de técnicas, entre ellas: spam, pishing y sitios web falsos. En el episodio 3 de #WindowsEnLasEmpresas analizamos cada una de ellas y el por qué los usuarios caen en estos tipos de ataques:
- Los atacantes aprovechan de la vorágine diaria de trabajo: muchas veces los usuarios tienen vencimientos de tareas, están “a full” y esto hace que no presten la debida atención.
- Los atacantes aprovechan necesidades y “miedos” de los usuarios, por ejemplo excusas de vencimiento de pagos, inhabilitación de cuentas bancarias, etc. Hoy, en plena pandemia mundial, los servicios de atención muchas veces se encuentran restringidos. Por ese motivo, un usuario termina “creyendo como real” un mensaje de este estilo.
RDP públicos: no es el único, pero si un GRAN problema
Uno de los principales focos de ataque de un Ransomware es la publicación sin restricciones y en forma pública del puerto RDP (Remote Desktop Protocol), que es muy utilizado en el mundo de TI para ingresar en forma remota a un equipo. En sí mismo RDP no es un problema: es una gran ventaja su uso. No obstante, y dado que RDP suele solicitar credenciales de usuario para que inicien sesión (y normalmente estas credenciales tienen un privilegio alto), los atacantes que encuentran RDPs publicados a internet se deben concentrar en cómo ingresar (vulnerar usuario y contraseña).
Es importante mencionar que los ciberdelincuentes ya no deben escanear públicamente puertos para buscar potenciales atacantes. Durante el episodio en vivo, hemos visto que existen sitios (como shodan.io) que nos permite analizar direcciones IP públicas y hasta encontrar imágenes de accesos RDP con los nombres de los usuarios que se han logueado en dicha máquina:
Desde ConoSur.Tech no promovemos el uso de estos sitios, aunque si alertamos y queremos concientizar sobre la existencia de los mismos y cómo se reduce el esfuerzo de los ciberdelincuentes en encontrar sistemas vulnerables.
¿Debo pagar el rescate?
Hacemos un énfasis muy importante en la siguiente respuesta predeterminada: ¡NO! No debes pagar el rescate, y tu organización tampoco, dado que de esta manera sólo incentivamos en el crecimiento de este tipo de ataques.
Es importante que cuentes con los mayores niveles de seguridad en tu organización para EVITAR este tipo de malwares. Asimismo, también debes tener un proceso fuerte de resguardo y recuperación de información, ante el eventual caso que tu organización sea atacada.
Sabemos que existen casos en donde organizaciones e individuos han realizado el pago: cada organización y cada persona deberá evaluar impactos, consecuencias y riesgos de esto para continuar con su operatoria. No obsatnte, hacemos un fuerte llamado a la concientización sobre mejorar los niveles de seguridad, antes de caer en este tipo de acciones.
¿Cómo protegerse?
Durante la sesión en vivo, cuyo video está disponible en esta publicación, recorremos algunos tips para proteger:
- A los usuarios.
- A la infraestructura de TI.
- A potenciar proyectos que eviten que los ataques de Ransomware.
¡Disfruta del Episodio 3 de Windows en las Empresas!
Te invitamos a ver el video y comentarlo, así nos cuentas qué te pareció este segundo episodio de #WindnowsEnLasEmpresas de #ConoSurTech. Además, te dejamos el material en PowerPoint que compartimos durante la presentación.
Gracoas Quique Dutra por haber participado y tu predisposición para dar a conocer todo lo que sabes 🙌🙌🙌.
