¿Cómo protegerse de cada ransomware con éxito?

Javier Paniagua

El ransomware WannaCry fue noticia en escala mundial por su afectación a instituciones, hospitales, universidades alrededor del mundo, dejando como consecuencia más 45 000 ataques maliciosos. ¿Cómo escudarse de ellos?

Javier Paniagua @JavierPaniaguaO

Luego que se diera a conocer el ataque más grande que se haya presenciado (45 000) en más de 74 países alrededor del mundo. Entre los afectados están universidades, centros médicos, empresas de telecomunicaciones quienes vieron dañados sus sistemas informáticos producto a un ransomware llamado WannaCry, el cual utiliza SMB para propagarse como la espuma. 

Estos ataques ocasionaron cierres de las compañías para enfocarse en cómo reestablecer sus sistemas. Y aquí se muestra todo el detalle de las amenazas presentadas el día Viernes 12 de mayo.  

descripción wannacry

El esquema de ataque presentado, según circuló en el blog de Chema Alonso, de Telefónica, se basó primero en su fase de infección como spam masivo a direcciones de correo electrónico de todo el mundo con un enlace que descargar el dropper (el que descarga el payload) y cuando este documento se baja el dropper se infecta con el ransomware la máquina. 

 virus total

Sin embargo a pesar de tener tanto ruido internacional, el número de transacciones ha llegado a 38 equipos en todo el mundo, de acuerdo con el último corte realizado por lo que ha generado más de 6.80581381 en Bitcoins. Los cortes se pueden visualizar en el hipervínculo enlazado a la imagen. 

dirección de bitcoin

Aunado a esto, el número de infecciones en el mapa de WannaCry sobrepasan los 190 mil en distintas direcciones vivas afectadas en todo el planeta: 

afectación por país

 

 

 

 

 

¿Qué dicen otros informes?

Adicionalmente otros informes, en particular el realizado por Soluciones SegurasCheck Point Incident Response Team donde destaca que el archivo con contraseña contiene un script java dentro de un correo electrónico de phishing con extensiones de .wncry.. Además este ransomware se vale de cifrado AES y RSA para tomar “de rehén” información contenida en el sistema infectado.

Siga también: ¡Ataque de ransomware pone al mundo de cabeza!

Pero todo apunta a una variante  (.wncry extensions) y es ahí donde se ofrecen diferentes protecciones de acuerdo con la amenaza en particular detectada: 

Para el primer ransomware CPAI-2017-0177  se evalúa en la pestaña IPS, haga clic Protecciones y encontrar la Ejecución de Microsoft Windows SMB remota de código (MS17-010: CVE-2.017-0.143) la protección utilizando la herramienta de búsqueda y editar la configuración de la protección para bloquear la amenaza contundentemente. 

5

Para la segunda infiltración CPAI-2017-0198, se genera el mandato de la pestaña IPS, haga clic Protecciones y encontrar la Ejecución de Microsoft Windows SMB remota de código (MS17-010: CVE-2.017-0144) la protección utilizando la herramienta de búsqueda y editar la configuración de la protección y además instalar la política en todos los módulos.

4

Asimismo para este ransomware CPAI-2017-0200 bajo la misma ruta se halla la Ejecución de Microsoft Windows SMB remota de código (MS17-010: CVE-2017 a 0145) y con eso estará protegido. 

3

En el caso específico de este ataque  CPAI-2017-0203   catalogado en estado crítico por lo fuerte que es la amenaza lo que procede es cambiar los datos de la herramienta de búsqueda y encontrar la Ejecución de Microsoft Windows SMB remota de código (MS17-010: CVE-2.017-0.146) para poder reestablecer el sistema que mantiene. 

2

Y este ataque que se mantiene como uno de los más críticos responde a este código CPAI-2017-0205  y lo que se debe hacer es buscar la Divulgación de Información de Microsoft Windows SMB (MS17-010: CVE-2017 a 0147) y quede completamente escudado. 

1

Recomendaciones para enfrentar ataques

De acuerdo con Eli Fashka, CEO de Soluciones Seguras, lo primordial es adquirir una solución basada en SandBlast, que es un SandBox donde se ejecutan y analizan los archivos que son recibidos, y se detecta en tiempo real la amenaza.

Además Fashka anotó que para proteger apropiadamente la navegación y que no suceda este evento a nivel mundial se requiere habilitar HTTPS Inspectos, con la misión exclusiva de examinar el tráfico de sitios cifrados,que hoy día son una gran parte del tráfico normal, con solo instalarle un Certificado Digital ya quedará más que seguro. 

“La mejor protección que le ofrecemos contra el Ransomware es Check Point SandBlast Agent, que se instala en la máquina local. Sandblast Agent detecta procesos maliciosos y los detiene, y si detecta que archivos están siendo encriptados, entonces los puede restaurar sin ninguna pérdida de datos”, recomendó el CEO.

Finalmente para los usuarios de Office 365 o Gmail, se sugiere obtener una solución en la nube con el fin de implementar la funcionalidad de SandBlast para los datos de Office 365, G Suite, Dropbox corporativo, y OneDrive.

 

 

Este artículo está clasificado como: , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR