Archivo mensual: junio 2017

Ransomware: de infecciones aleatorias a epidemia, un nuevo negocio.

Introducción.

Ya hemos definido Ransomware en otros artículos en este blog, pero hoy vamos a cambiarla por “Delito Cibernético“, ya que se está convirtiendo en una industria, un modelo de negocio para aquellos que no tienen escrúpulos y ponen en jaque pequeñas y grandes empresas.

Análisis

El año 2017 empezó con todo en cuanto respecta a Ransomware. En los últimos meses ya han surgido más casos que en todo el 2016, y con cierto nivel de complejidad que supera técnicamente las versiones de Ransomware del año pasado.

La pregunta que nos hacen las organizaciones o pequeñas en cuanto a este tipo de epidemia, (ya dejaron ser casos aislados de infección, ya hay una ocurrencia con cierta referencia y programada), “¿Qué pueden hacer las organizaciones y que pueden esperar en el futuro de estas amenazas?“.

Analizando desde hace un año las diferentes versiones de estos malware, el comportamiento de los mismos, las acciones de prevencion de detección, el ascenso del valor del bitcoin (pensar que en agosto del año pasado rondaba los U$S 590)  y los intentos de intrusión deliverados, podemos decir que esta epidemia recién empieza y el que no esté preparado va a terminar siendo una víctima de infección.

La pregunta que nos hacemos los Analistas de Seguridad, ¿Que ha causado que programadores con tanto conocimiento o talento se dediquen a esta actividad delictiva?.  Ante el desconocimiento de las organizaciones de como actuar ante esta amenaza y la manera rápida, anónima y fácil de ganar dinero, observamos que esto hoy se ha convertido en un modelo de negocio, una nueva plataforma ha surgido, “Crimen-As-Services.

Haciendo seguimiento de una billetera virtual la semana pasada,  un intruso en un día recolectó por pagos de extorsiones 719 bitcoins. Un negocio redondo en donde no se paga impuestos, el anonimato está asegurado y se aseguran un gran porcentaje de pago de las extorsiones por que las organizaciones siguen administrando aún las plataformas de tecnología como lo venían haciendo hace 10 años.

Extorsión digital

El Ransomware se ha convertido en un cambio de paradigma dentro de los delitos, siendo un secuestro virtual, en donde la víctima es la información de las organizaciones.

Al principio era por medio de envío de mails “phishing” con el fin de engañar e infectar a usuarios de una red, pero eso provocaba que el intruso debiera esperar que el atacado mordiera el anzuelo. La ansiedad y la voracidad de los atacantes por tener cada vez más bitcoins, ha provocado ya ataques direcionados, en busqueda de servidores publicados a Internet con vulnerabilidades expuestas y que sean aprovechadas con el fin de introducir de alguna manera un Ransomware en el servidor. Hemos detectado muchos ataques de fuerza bruta a puertos publicados de RDP (Terminal Server de Microsoft) y ataques a IIS (Internet Information Services) , en donde explotando una vulnerabilidad lograron inyectar un keylogger para hacerse de cuentas válidas y luego ingresar el malware.

Información en jaque?

Una de las cosas que observamos es que la mayoría de las compañias no saben que activos informáticos pertenecen a los procesos críticos de negocio, por ende si un activo es comprometido, lo será tambien la organización. ¿Cuánto va a invertir en seguridad si no saben que proteger? ¿La Organización no sabe que proteger, es bueno o malo? Hoy las organizaciones no saben o no tienen cuantificado cuanto vale la información, solo se darán cuenta cuando la información este cifrada y el usuario no tenga acceso.

Entonces, surge la pregunta del rigor :¿Por que la empresa debería pagar un rescate por su propia información?. Si hacen bien la tarea, NO se debería pagar a los extorsionadores de la información digital.

Ser una víctima: si o no

En estos dos años de análisis de casos de Ransomware, observamos que las empresas invierten lo justo en Seguridad Informática. La balanza está entre la prevención e invertir tiempo y alguna solución de protección de seguridad versus el pago del rescate. Hoy cualquiera puede ser una víctima de Ransomware, el tema radica en donde queremos estar, si viendo como estamos protegidos o bien, analizando de donde vamos a sacar 2,5 bitcoins para pagar un rescate (valor promedio de una infección tipica de Ransomware).

Las Organizaciones deben trabajar en prevención, he aquí algunas recomendaciones:

1) Capacitar al personal: generar campañas de concientización en las personas que trabajan en la compañia, pensando en como pueden protegerse en sus cuentas personales para que generen un hábito para todo lo que apliquen luego. No fuerce y baje directivas que impongan una forma de trabajo, esto no siempre resulta.

2) Antimalware: contar con una plataforma antimalware con análisis de comportamiento es una buena ayuda a la prevención.

3) Contraseñas fuertes: utilizar contraseñas complejas.

4) Servicios a Internet: restringir los servicios que se publican a Internet. Utilizar accesos seguros mediante el uso de VPN utilizando SSL.

5) Monitorear: un intruso persevera y triunfa por que nadie lo bloquea o deniega el acceso. Monitore los accesos a la plataforma, sobre todos los externos.

6) Oculte la información del negocio: no deje de fácil acceso la información que es fundamental para los procesos de negocio.

7) Resguardos / backups: Pregunte al negocio cuanto tiempo puede estar sin acceso a la información. Esto le va a indicar cada cuanto debe hacer backups. Un backup a la semana o una vez al día ya no es negociable, piense en resguardos con más periodicidad, piense en lo que necesita su Organización.

8) Actualizaciones: mantenga las plataformas actualizadas, una vulnerabilidad que ha sido publicada por algún boletín, permite que algun intruso en algún momento la explote.

9) NO pague Rescate.

Si no posee un listado de sus Procesos de Negocio y de los Activos que forman parte de ella, no sabrá el valor de los activos y esto puede dar lugar a que termine en una situación en donde deba pagar rescate de una información que a lo mejor no lo vale.

Ser precavido es la mejor defensa.

Hasta la proxima….

Nota: mientras terminabamos esta redacción, Telefónica de España y algunos Hospitales de Reino Unido, están siendo atacado de manera masiva con un Ransomware.

Alertas:


RANSOMWARE – RECOMENDACIONES A EMPRESAS

Introducción

De manera resumida, el atacante les hace llegar un correo o Uds visitan un sitio web engañados, y bajan este software malicioso, que cifra la información y la única manera de recuperar la misma, si no han sido cuidadosos, es con un backup o pagando los bitcoins.

En esta entrega vamos a hacer foco en redes corporativas y vamos a tomar acciones para que los equipos que usan la red, sin importar lo que haga el usuario, no se infecte de ransomware.

Análisis de Infraestructura Clásica

Analizando los esquemas de red de las empresas u organizaciones, encontramos situaciones similares a la siguiente (el nivel de madurez depende de la organización, pero en gran medida, esta es la configuración general):

1) Red con servicios de Microsoft Active Directory (se convertirá en nuestro mejor aliado).

2) Los equipos (PC y Servidores) con un anti-malware instalado. (sin ajustar correctamente).

3) Acceso a Internet sin filtros especiales o con configuraciones básicas.

4) Un servidor de correo, y eventualmente un antispam.

5) PCs unidas al dominio, en gran parte sin actualizar y donde los usuarios son administradores locales. A su vez, los usuarios poseen unidades mapeadas en el File Server u otro server requerido.

6) Un File Server con carpetas compartidas para los usuarios  de la red (los permisos en gran parte configurados en el recursos compartido) y algunas restricciones a nivel NTFS.

7) Backup que se ejecutan únicamente a la noche.

Manos a la obra…

Vamos analizar cada uno de los puntos mencionados anteriormente y vamos a hacer ajustes para mitigar los problemas de seguridad para evitar una infección de ransomware.

1) Servicios de Microsoft  Active Directory

La mayoría de las organizaciones utilizan este servicio de directorio con el fin de administrar de manera centralizada USUARIOS y EQUIPOS. Pues bien, hagásmolo!.  Si no queremos ser víctima de software maliciosos en nuestros equipos, el servicio de Active Directory es nuestro principal aliado. Ajustes que podemos realizar desde este servicio que impactará en las PCs (Personal Computer, notebook, ultrabook, All-in-one, etc) y evitará problemas de seguridad.

1.1) Usuarios sin permiso de administrador local: Si bien es un cambio que el administrador de la plataforma se rehusa hacer por los ajustes y pruebas que deberá someter ha ciertos perfiles de PCs y Usuarios, (existen aún aplicaciones propias o de terceros que requieren permisos elevados para funcionar), es una manera de evitar que el usuario con/sin conocimiento instale aplicaciones en la PCs. Desde el Servicio de Directorio podemos crear diferentes GPO (Group Policy Object), una de ellas es configurando algunas acciones de restricción en la PCs local, por ejemplo

a) El usuario no pertenece al grupo de administrador local de la PC, solo a los grupos globales y de seguridad del dominio.

b) La contraseña de la cuenta administrador local (puede renombrarse esta cuenta también por GPO) es definida desde políticas de dominio y el usuario la desconoce.

1.2) Restricción de ejecución de aplicaciones: Una de las características que más me gustó en el lanzamiento de MS Windows 7 / 2008 R2, fue la aparición del APPLOCKER. Esta funcionalidad, que puede administrarse perfectamente por GPO, permite al administrador de la plataforma definir que aplicaciones pueden usarse en cada equipo, más allá de todo lo que tenga instalado en la misma. Suponiendo que el usuario de contabilidad requiere aplicaciones contables de 16 bits, MS Office, Aplicativos Web y otras herramientas (ZIP, Trustee, etc) se pueden definir en la GPO que puede ejecutar dicho usuario, teniendo en cuenta los siguientes puntos:

a) Hacer un relevamiento por perfiles, de que aplicaciones requieren ejecutar los diferentes usuarios.

b) Homologar el software de la compañía (Se recomienda armar un catálogo de softwares validados por la empresa). El personal de la Mesa de Ayuda se pondrá feliz, porque ya no tendrá que dar soporte a softwares que no estén catalogados y el Area Legal por que estarán seguros que solo usarán el software correctamente licenciado/adquirido por la compañia.

c) Hacer una GPO en donde se defina que aplicaciones podrán utilizar los usuarios, dependiendo de un perfil ejemplo o definido para pruebas.

d) Implementar la GPO en un ambiente de prueba previamente. El usuario no debe ser administrador local de la PC pero si tener los permisos necesarios para ejecutar las aplicaciones que se le desea dar acceso. La GPO en la configuración del APPLOCKER puede ajustarse por

  • Ubicación de los archivos válidos que deberán ser ejecutados por el usuario (Path del disco). Ideal para aplicaciones que no se instalan o son de terceros.
  • Hash del archivo, el sistema calcula un hash criptográfico del archivo identificado.
  • Publicador del archivo, quien es el fabricante, versiones del software, etc.

En los escenarios de prueba en donde estuvimos evaluando el APPLOCKER, donde el usuario no es administrador local, observamos en el log del antivirus y del S.O, como el Ransomware quería ejecutarse e intentar crear directorios para cifrar la aplicación, pero el S.O. le daba acceso denegado.

El administrador puede generar una GPO para auditar el comportamiento del usuario en la PCs y si observa el intento de ejecución de una aplicación maliciosa saldrá a la luz para que el mismo tome acciones correspondientes.

1.3) Unidades mapeadas: este clásico que viene repitiéndose desde Microsoft NT 4.0 SP6a, permite que el Ransomware observe la unidad mapeada en la PCs a infectar como unidad local y termine cifrando toda la unidad (mas allá que sea una unidad compartida de un servidor o file server). Si los usuarios no poseen unidades mapeadas y de alguna manera las carpetas compartidas de la red están ofuscadas y con los permisos ajustados, el Ransomware podría llegar solo afectar a la PCs pero no al File Server.

Uds mientras lee estas lineas, se preguntan cómo podrían eliminar las unidades mapeadas, bueno, he aquí dos opciones

  • Microsoft DFS (Sistema de Archivos Distribuidos): en vez de compartir y dar acceso a los usuarios con el clásico Share Folder o Carpeta Compartida y mapear la unidad, se configura en el servidor que posee el rol de File Server (no requiere licencias adicionales para esto) el servicio de DFS. Esto permitirá que los usuarios en vez de acceder al recurso \\nombredelserver\carpetacompartida y esté mapeada de esa manera con una letra del abecedario, los usuarios accederían a \\nombredeldominio\carpetafileserver, por ejemplo para el dominio ACME.LOCAL, sería \\acme.local\carpetafileserver. Además, como valor agregado que posee este servicio, puede incorporar un servidor adicional con el rol de File Server y todos los archivos que se generen en el servidor principal, serían replicados como contingencia y backup al servidor secundario gracias al DFS.
  • Microsoft SharePoint Foundations(*): Uds pueden bajar desde Microsoft el Ms SharePoint Foundations 2013 y generando una base de SQL Express (o uniendo la plataforma a un servidor de SQL Server existente en la red) una base de datos en donde se alojarían todos los archivos que se suban a la Biblioteca de SharePoint. Dentro del valor agregado que hoy NO tiene con el File Server tenemos (son los más fáciles de implementar y de manera rápida) :
    • Subir archivos a un repositorio con permisos definidos y seguros.
    • Configurar versionado de archivos, permitiendo al usuario recuperar hasta cierta cantidad de archivos modificados (esto es configurable por al administrador de la plataforma).
    • Crear workflows para notificar a los usuarios cuando se suben nuevas actualizaciones de archivos o nuevos.
    • No mandar mas archivos por e-mails, se envía la URL de la ubicacion de los mismos en el SharePoint.
    • Simplifica el backup (backup de la base de datos MS SQL SERVER).
    • Configurar réplica de archivos en otro servidor de SharePoint configurado dentro de la Farm o granja.
    • Proteger los archivos del ransomware.
    • Crear Workflows para alojar cierto tipos de archivos en bibliotecas según como sea etiquetado.
    • Obtener portabilidad del File Server (podrá accederlo desde la mayoría de los navegadores y desde la mayoría de los dispositivos de red)

            Aquí debe ser dimensionado correctamente el crecimiento de la base, según el volumen de archivos que se van a subir al SharePoint. Por otro lado, los ransomware no matan el proceso de SQL Server como servicio, por lo cual, la base de SQL no deja de estar tomada por el servicio y por ello el malware no puede cifrar la misma.  Por otro lado SharePoint le permitirá ir capacitando a los usuarios para que el próximo paso de uso de los archivos sea la nube, con aplicaciones como Office 365.

2) Anti-Malware

Todos los equipos de la red deben tener algún tipo de protección. Se recomienda verificar que extensiones poseen los ransomwares y desde la consola centralizada denegar la generación de esos archivos. Si bien hay extensiones que son similares de archivos que puedan utilizar un usuario, verificar el perfil del usuario/ordenador y aplicar las restricciones posibles.

Mantener el “antivirus” actualizado es fundamental y si el mismo posee la funcionalidad de denegar ciertos comportamientos, se recomienda aplicarlos (Ej: crear directorios en ciertas ubicaciones, ziperar archivos, etc). Si desea verificar la lista de extensiones, les recomendamos acceder a este archivo excel. INGRESE AQUI.

3) Acceso a Internet

En menor medida, los ransomware pueden ser bajados desde Internet por los usuarios si acceden a sitios de dudosa reputación. Lo que se recomienda para estos casos es:

  • Implementar una solución de proxy que tenga definidos grupos con niveles de permisos.
  • Dependiendo los grupos a los cuales pertenece el usuario, será el nivel de acceso a Internet. Debe ir de mas restrictivo a menos restrictivo.
  • Verificar y monitorear los accesos a Internet.
  • Preferiblemente (y para no estar como el caballo detrás de la zanahoria bloqueando sitios en la consola del proxy) contar con una solución que tenga un URL Filtering (filtrado por categorías) y Antivirus.  El filtrado provisto por la mayoría de los fabricantes es eficiente y puede en un solo tilde de selección en una consola prohibir todos los sitios que hacen referencia a una categoria (Ej: pornografía, o streamming como radios y peliculas). De esta manera protege el acceso a Internet como también lo optimiza mejorando el consumo del ancho de banda.

Ciertos Ransomwares, al abrir el correo de phishing que reciben los usuarios, si el usuario quiere visitar el sitio Web, bajan a cuenta gotas el malware. Si posee un proxy con URL Filtering esto puede ser evitado.

4) Antispam / Antivirus de correo

Hoy lo más cómodo es llevar el correo a la nube, pero hay organizaciones que aún usan el servicio de correo on-premise. La mayoría de los ransomware se distribuyen por correo electrónico en modalidad phishing y haciendo uso de Ingeniería Social (es decir, Uds recibe un correo de alguien que se hace pasar por un conocido que le manda un archivo o link adjunto para que lo acceda).

Pues bien, en el caso de tener un servicio on-premise de correo, es recomendado contar con una solución de antispam que filtre los correos de dudosa reputación. Algo que es simple de aplicar y la mayoría de los servidores de correo permiten configurar, es el rechazo de correos cuando no corresponde el PTR o DNS inverso (es decir validan el dominio para verificar si es correcto y la IP no se corresponde al dominio original).

Capacitar a los usuarios es una opción a tener en cuenta para que no abran cualquier tipo de correo.

5) Plataformas Actualizada

Todas las plataformas son susceptibles a infección de ransomware si no están correctamente ajustadas. Los fabricantes están todo el tiempo lanzando actualizaciones, es por ello que deben contar con procedimientos de actualización regulares para las diferentes plataformas.

En el caso de Microsoft, Uds cuenta con una solución como el WSUS que permite a los administradores de tecnología implementar las actualizaciones de manera centralizada de los productos Microsoft. Si bien se recomienda actualizar todos las soluciones que se utilicen en la plataforma, aquellas actualizaciones que no puedan realizarse por el WSUS, pueden hacerse utilizando el servicio de Ms Active Directory, creando paquetes msi.

En la plataforma Uds deberá contar con un servidor que tenga el servicio de WSUS implementado y eventualmente un empaquetador de actualizaciones que genere archivos msi para desplegar por GPO.

6) Backup

Un concepto que observo que se evalúa poco, es la importancia que tiene la información del negocio para la compañía y esto sale a flote cuando un ransomware ha cifrado la información y el backup que poseen no sirve y eventualmente pierden archivos. En el análisis resulta mas barato pagar lo que piden por la captura del ransomware que perder el archivo.

Recomendamos para estos casos:

  • Hacer un relevamiento de la información sensible e importante para los procesos de negocio.
  • Verificar los niveles de actualización de la información distribuida.
  • Consultar a los dueños de los procesos de negocio que tiempo de ausencia o el no acceso a la información es el permitido por el proceso, en el caso de una contingencia.
  • Ajustar la solución de backup para que se alinea a las necesidades del proceso de negocio.
  • Mantener versionado, no un solo backup.
  • Hacer pruebas de restauración.
  • Controlar, controlar, controlar……

Por otro lado, no hay que hacer solo backup a la información, si no pensar en los resguardos de los servicios o servidores que forman parte en los procesos de negocio de la compañía. Si se infecta una plataforma, ¿Cuánto es lo máximo que puede llegar a perder? ¿Cómo impacta en la imagen de la compañía? ¿Cómo queda parado ante la competencia? ¿Hay regulaciones legales que cumplir?

El análisis debe ser realizado y cualquier ajuste que se requiera hacer, va ser siempre mas barato que la pérdida de información o ausencia del proceso de negocio. Por ejemplo, en EEUU, las entidades de salud que ha sido víctima de ransomware, deben denunciarlo ante la entidad de salud. Esto está regulado por HIPAA. Si desean acceder a la guía, ingrese AQUI.

Capacitación

Dentro de nuestro plan de concientización generamos estos contenidos para que Uds los difundan. Ahora bien, estos contenidos también tienen que llegar a miles de usuarios que usan tecnología y desconocen las amenazas que están en la puerta de acceso a Internet.

Obviamente este artículo es demasiado técnico, pero si Uds repara en las versiones desde la Parte I a la Parte IV de esta saga, son contenidos preparados para que puedan ser difundidos a los usuarios de tecnología.

Es importante concientizar!!. En los diferentes eventos, cuando se pregunta al público sobre las acciones antes las barreras de protección que poseen los diferentes S.O, todos responden lo mismo “… lo desactivan por que es más fácil el uso…”. El engaño y fraude van de la mano en la tecnología y no es la primera vez, ya hay otras amenazas mas antiguas que lo han utilizado. (Vea PARTE II).

Estos contenidos pueden ser divulgados siempre y cuando mencionen la fuente.

Resumiendo

Si ha llegado hasta aquí leyendo este artículo, podrá observar que protegernos del ransomware no requiere una inversión en aplicaciones de seguridad, si no mas bien aplicar buenas practicas y aprovechar todos los servicios que los S.O. hoy ofrecen. En el caso de Microsoft, las soluciones mencionadas no requieren una erogación de dinero extra y permite madurar/ordenar su plataforma.

Hoy el ransomware está provocando pérdidas importantes en organizaciones que no cuentan con cierto tipo de ajustes y pensar que solo el antimalware (antivirus) va a protegernos es un grave error.

Este artículo es un resumen de las conferencias que venimos ofreciendo para concientizar a las compañías con el fin de dejen de ser víctimas de esta estafa.

Pueden agregarse otras configuraciones adicionales, seguramente, pero con esta configuración la plataforma pasa a un esquema de ambiente seguro o con un riesgo bajo o aceptable. Va a depender hasta donde quieran madurar en la organización, ya que lo ideal hoy es subir la información de los procesos de negocio a Cloud y eso requiere también de madurez del negocio.

En el Sitio de Microsoft, van a encontrar diferentes asistentes o ayudas muy detalladas para configurar las opciones mencionadas anteriormente. Pueden buscar en Channel 9 videos e instructivos desarrollados por MVP, con paso a paso para que no fallen en la configuración.

Importante

Generar conciencia del uso de la tecnología….

Cambiar la forma de hacer la cosas…

Hasta la próxima.