[Recomendado] - Buenas prácticas contra ataques de ransomware

(Una serie de apuntes que iremos actualizando con el tiempo)

Uso del Bitcoin para solicitar los rescates. Alza del precio del Bitcoin.
Surgimiento del Ransomware-como-servicio que permite a cualquiera realizar ataques.
Debilidades en la detección desde el Sistema Operativo. Defensas en desarrollo.
Usuarios poco entrenados en ciberseguridad.
Los atacantes han mejorado sus habilidades en ingeniería social.

Debe realizar un backup periódico de los archivos.
Procure educar a los empleados en ciberseguridad con regularidad. (Seguridad Proactiva)
Verifique periodicamente los backups.
Instale los backups separados de la red local.
Configure las medidas de restricción de ejecución.
Haga que sus empleados usen las computadoras con derechos restringidos, no como Admin.
Debe procurar estar al día con las actualizaciones de software.
Debe mantener actualizado MS Office. Activar la vista protegida.
Debe mantener actualizado el antivirus.
Establezca un plan de continuidad de negocio.
Establezca un plan de respuesta a incidentes.
Realice un análisis de riesgos. Enumere sus activos más importantes. Planifique la defensa.

Ordene a su administrador de red establecer filtros robustos anti spam
Bloquee los archivos adjuntos de remitentes desconocidos. Bloquee adjuntos con extensiones MS Office antiguas (.doc, .xls)
Haga una lista blanca de extensiones de archivos permitidos en los adjuntos.

El firewall debe limitar o bloquear RDP (Escritorio remoto), WMI y otros servicios de administración.
En las computadoras de usuarios, quite derechos administrativos innecesarios.
Establezca una lista blanca de programas permitidos en su empresa.
Limite el permiso de escritura a pocos directorios.
Limite la ejecución de Windows Script Host, macros de MS Office, Extensiones relacionadas a ejecutables y acceso directo, PowerShell.
Establezca la restricción de ejecución desde %LocalAppData% y %AppData%.
Permita que los usuarios puedan ver las extensiones de archivos conocidos en el Explorador de Windows.
Realice una prueba periodica de penetración.
Solucione las vulnerabilidades reportadas por las pruebas de penetración.
Configure el firewall para el bloqueo de IPs maliciosas.

Si se encuentra en un periodo temprano de infección, apague el sistema de inmediato para prevenir la propagación del cifrado en el disco.
Si ya lleva mucho tiempo, desconecte inmediatamente el equipo de la red para evitar la propagación.
La desconexión incluye Wifi, Bluetooth, conexiones hacia almacenamiento externo por USB. No apague el equipo.
Tome un snapshot del sistema (RAM y disco) en el equipo recién infectad. Tendrá una oportunidad para localizar las claves (o no).
Averigue el canal de ataque, si se trata de un email o un archivo en USB. De esta manera podrá prevenir otro ataque.
En su centro de computo, bloquee el acceso a la red de todos los equipo de inmediato para impedir que nuevas computadoras infectadas con el ransomware contacte con su centro de comandos.
Limpie los equipos con un antivirus actualizado. Para una recuperación completa considere reinstalar el Sistema Operativo.
De ser posible, cambie las contraseñas usadas en servicios online y red local de los usuarios afectados.
Notifique a las autoridades. Pueden ayudarlo en la investigación y comunicar actividades que ayuden en la captura de los criminales.

Si paga el rescate, está financiando a los atacantes para que realicen nuevos crímenes.
El pago no garantiza el rescate de los archivos. Solo refuerza el modelo de negocio de los atacantes.
El desarrollo del ransomware seguirá mejorando. Debe mantenerse preparado.
Use las buenas prácticas para proteger su organización.
Realice simulacros y pruebas periodicas para confirmar sus defensas.

Betatecno