Durante los últimos días, han surgido reportes de reconocidas entidades que han sido víctimas de un ataque de ransomware, más específicamente de la familia Sodinokibi. Este tipo de código malicioso cifra la información de los equipos infectados, pidiendo un rescate monetario para poder liberarlos e inclusive se han visto casos en los que se ha amenazado a las víctimas con divulgar la información retenida en caso de no pagar el rescate.

Tal como lo hacemos siempre, desde ESET no recomendamos que se realice el pago de un rescate ya que no existen garantías de que el acceso a los archivos sea devuelto y tampoco es bueno alentar a que este tipo de prácticas continúen financiándose.

Para ponernos en contexto, Sodinokibi, en particular, suele enfocarse en el aprovechamiento del acceso remoto mal protegido (especialmente el protocolo RDP) para atacar objetivos seleccionados, en lugar de hacer campañas generalizadas dirigidas a usuarios aleatorios.

Esto no quiere decir que los cibercriminales que están utilizando este malware hayan cambiado el método de propagación por alguno más tradicional como el envío de correos electrónicos con adjuntos maliciosos o la explotación de vulnerabilidades para escalar privilegios en los sistemas.

Asimismo, en el último mes en Chile las detecciones de las distintas familias de ransomware estuvieron distribuidas de la siguiente manera: STOP (22.68%), CryptProjectXXX (15.5%), Locky (11.72%), TeslaCrypt (11.15%), Crysis (6.43%), Sodinokibi (6.43%), NHT (6.24%), MedusaLocker (3.4%), GandCrab (2.46%), Otros (13.99%).

En virtud de lo presentado sobre los riesgos que estas amenazas suponen, y considerando también la protección frente a códigos maliciosos del tipo ransomware, es elemental contar con soluciones de seguridad en la red de trabajo y en ESET ponemos el acento en la importancia de contar con la última versión disponible de estos productos ya que se incorporan nuevas funcionalidades y capas adicionales de protección.

A continuación, comparto algunas medidas que ayudarán a minimizar el riesgo de infección de ransomware:

1. Mantener actualizados las soluciones de seguridad: nuevas versiones de estos códigos maliciosos son lanzadas frecuentemente, de manera que es importante recibir las actualizaciones de la base de datos de firmas de virus. ESET, por ejemplo, realiza actualizaciones cada una hora si se posee una licencia vigente y una conexión a Internet estable.
2. Conservar activada la exploración avanzada de memoria y el bloqueador de exploits: así se identifican comportamientos sospechosos luego de que el código malicioso se visibiliza en la memoria y el Bloqueador de exploits fortalece la protección contra los ataques dirigidos y vulnerabilidades previamente no visibilizadas, también conocidas como 0-day, así como también las conocidas tal como Win32/Exploit.CVE-2018-8453. Estas características de seguridad de ESET refuerzan la protección contra códigos maliciosos que han sido diseñados para evadir la detección de productos antimalware a través del uso de ofuscación y/o encriptación.
3. Mantener activada la funcionalidad ESET Live Grid: esta funcionalidad ayuda a detectar amenazas emergentes en base a la reputación y mejora el rendimiento de las exploraciones por medio de las listas blancas. La información de la amenaza nueva se transmite en tiempo real a la nube, lo que le permite al Laboratorio de búsqueda de malware de ESET proporcionar una respuesta oportuna y una protección consistente en todo momento.
4. Conservar activada la heurística avanzada para la ejecución de archivos: esta funcionalidad emula el código en un entorno virtual y evalúa su comportamiento antes de que se permita la ejecución del código, adicionando una capa de seguridad.
5. Verificar que “unidades de red” se encuentre seleccionado para la protección del sistema de archivos en tiempo real: así la Exploración en tiempo real del sistema de archivos se encontrará posibilitado de iniciar la detección en un equipo infectado, impidiendo que el proceso del ransomware encripte la unidad.
6. Asegurarse de que se encuentre activada la protección contra ransomware (productos ESET para Windows versión 10): como parte de la tecnología de Autodefensa constituye otra capa de protección que funciona como parte de la funcionalidad HIPS. ESET LiveGrid debe encontrarse habilitado para que la Protección contra Ransomware funcione adecuadamente.

También, recomendamos complementar dichas prácticas con las siguientes recomendaciones de seguridad en general:

1. Conserve copias de seguridad de su sistema
2. Cuente con una política clara de permisos de usuarios y restricción de derechos
3. Utilice doble factor de autenticación (2FA) para sus accesos
4. No deshabilite el Control de cuentas de usuario (UAC)
5. Proteja el Protocolo de Escritorio Remoto (RDP) de Windows a través del uso de VPN o con un Doble Factor de autenticación (2FA)
6. Deshabilite Macros en Microsoft Office mediante Políticas de grupo

El contexto de aislamiento debido al covid 19 llevó a un aceleramiento en la digitalización de los ecosistemas corporativos, pero en pos de establecer nuevas funcionalidades es fundamental contemplar el factor de seguridad en las habilitaciones que se vayan adoptando. Desde ESET recomendamos contar información y asesoramiento sobre cómo prevenir este y otros ataques informáticos para mantenerse seguros y competitivos en el mercado.

Noticias Relacionadas

5 amenazas terroríficas que asustan a los usuarios desprotegidos3 min read ESET identificó a los autores detrás del ransomware BitPaymer3 min read Ciberataque a bancos: los desafíos que plantea la ciberseguridad5 min read Reflexiones para acompañar a las familias en tiempos de cuarentena2 min read