¿Debe pagar a los atacantes de Ransomware? microsoft dice que no

El ransomware afecta a los usuarios de PC grandes y pequeños, y varios municipios recientemente se vieron gravemente afectados y paralizados durante semanas por un software que encripta sus datos y exige un pago para que la infraestructura informática vuelva a funcionar. El ransomware a menudo también se dirige a los sistemas de copia de seguridad, lo que hace imposible restaurar a una copia de seguridad en buen estado.

Ante la demanda de un rescate y con la infraestructura crítica y la función administrativa de cientos de miles de personas incapacitadas, muchas ciudades han tenido la tentación de pagar el rescate y algunas, de hecho, han cedido.

Sin embargo, Microsoft es claro en su consejo de nunca ceder ante los terroristas:

Nunca alentamos a una víctima de ransomware a pagar ningún tipo de demanda de rescate. Pagar un rescate suele ser costoso, peligroso y solo recarga la capacidad de los atacantes para continuar con sus operaciones; En resumen, esto equivale a una proverbial palmadita en la espalda para los atacantes. Lo más importante a tener en cuenta es que pagar a los ciberdelincuentes para obtener una clave de descifrado de ransomware no garantiza que se restaurarán sus datos cifrados.

Desafortunadamente, Microsoft no se expande sobre qué hacer, sino que sugiere que es mejor prevenir que curar, diciendo:

… cada organización debe tratar un incidente de seguridad cibernética como una cuestión de cuándo sucederá y no de si sucederá. Tener esta mentalidad ayuda a una organización a reaccionar de manera rápida y efectiva ante tales incidentes cuando ocurren.

Microsoft recomienda la siguiente estrategia:

1. Use una solución efectiva de filtrado de correo electrónico

Según la Informe de inteligencia de seguridad de Microsoft Volumen 24 de 2018, los correos electrónicos no deseados y de phishing siguen siendo el método de entrega más común para las infecciones de ransomware. Para detener eficazmente el ransomware en su punto de entrada, todas las organizaciones deben adoptar un servicio de seguridad de correo electrónico que garantice que todo el contenido y los encabezados de los correos electrónicos que ingresan y salen de la organización se analizan en busca de spam, virus y otras amenazas de malware avanzadas. Al adoptar una solución de protección de correo electrónico de nivel empresarial, la mayoría de las amenazas de ciberseguridad contra una organización se bloquearán en la entrada y salida.

2. Parches regulares de sistemas de hardware y software y gestión eficaz de vulnerabilidades

Muchas organizaciones aún no adoptan una de las antiguas recomendaciones de seguridad cibernética y defensas importantes contra los ataques de seguridad cibernética:aplicar actualizaciones y parches de seguridad tan pronto como los proveedores de software los publiquen. Un ejemplo destacado de esta falla fueron los eventos de ransomware WannaCry en 2017, uno de los ataques de ciberseguridad global más grandes en la historia de Internet, que usó una vulnerabilidad filtrada en el protocolo de bloque de mensajes del servidor (SMB) de red de Windows, para el cual Microsoft había lanzado un parche casi dos meses antes del primer incidente publicitado. La aplicación periódica de parches y un programa eficaz de gestión de vulnerabilidades son medidas importantes para defenderse contra el ransomware y otras formas de malware y son pasos en la dirección correcta para garantizar que ninguna organización se convierta en víctima del ransomware.

3. Use un antivirus actualizado y una solución de detección y respuesta de punto final (EDR)

Si bien poseer una solución antivirus por sí sola no garantiza una protección adecuada contra virus y otras amenazas informáticas avanzadas, es muy importante asegurarse de que las soluciones antivirus se mantengan actualizadas con sus proveedores de software. Los atacantes invierten mucho en la creación de nuevos virus y exploits, mientras que los proveedores se ponen al día publicando actualizaciones diarias para sus motores de base de datos antivirus. Complementario a la propiedad y actualización de una solución antivirus es el uso de soluciones EDR que recopilan y almacenan grandes volúmenes de datos de puntos finales y brindan monitoreo y visibilidad a nivel de archivo y basado en host en tiempo real para los sistemas. Los conjuntos de datos y las alertas que genera esta solución pueden ayudar a detener amenazas avanzadas y, a menudo, se aprovechan para responder a incidentes de seguridad.

4. Separe las credenciales administrativas y privilegiadas de las credenciales estándar

Trabajando como consultor de seguridad cibernética, una de las primeras recomendaciones que suelo dar a los clientes es separar las cuentas administrativas de su sistema de sus cuentas de usuario estándar y asegurarse de que esas cuentas administrativas no se puedan usar en varios sistemas. La separación de estas cuentas privilegiadas no solo impone un control de acceso adecuado, sino que también garantiza que el compromiso de una sola cuenta no comprometa toda la infraestructura de TI. Además, el uso de las soluciones Multi-Factor Authentication (MFA), Privileged Identity Management (PIM) y Privileged Access Management (PAM) son formas de combatir eficazmente el abuso de cuentas privilegiadas y una forma estratégica de reducir la superficie de ataque de credenciales.

5. Implemente un programa efectivo de listas blancas de aplicaciones

Como parte de una estrategia de prevención de ransomware, es muy importante restringir las aplicaciones que pueden ejecutarse dentro de una infraestructura de TI. La inclusión en la lista blanca de aplicaciones garantiza que solo las aplicaciones que han sido probadas y aprobadas por una organización pueden ejecutarse en los sistemas dentro de la infraestructura. Si bien esto puede ser tedioso y presenta varios desafíos administrativos de TI, esta estrategia ha demostrado ser efectiva.

6. Realice copias de seguridad periódicas de los sistemas y archivos críticos

La capacidad de recuperarse a un buen estado conocido es la estrategia más crítica de cualquier plan de incidentes de seguridad de la información, especialmente ransomware. Por lo tanto, para garantizar el éxito de este proceso, una organización debe validar que se realicen copias de seguridad periódicas de todos sus sistemas, aplicaciones y archivos críticos y que esas copias de seguridad se prueben regularmente para garantizar que sean recuperables. Se sabe que el ransomware encripta o destruye cualquier archivo que encuentra y, a menudo, puede hacerlos irrecuperables; en consecuencia, es de suma importancia que todos los archivos afectados se puedan recuperar fácilmente desde una buena copia de seguridad almacenada en una ubicación secundaria que no se vea afectada por el ataque de ransomware.

Microsoft también ofrece herramientas para simular un ataque de ransomware.  Microsoft Secure Score ayuda a las organizaciones a determinar qué controles habilitar para ayudar a proteger a los usuarios, los datos y los dispositivos. También permitirá a las organizaciones comparar su puntaje con perfiles similares utilizando el aprendizaje automático incorporado mientras Simulador de ataque permite a los equipos de seguridad empresarial ejecutar ataques simulados que incluyen ransomware simulado y campañas de phishing. Esto les ayudará a conocer las respuestas de sus empleados y ajustar la configuración de seguridad en consecuencia.

Microsoft, por supuesto, también ofrece herramientas de copia de seguridad en la nube que están diseñadas para detectar la manipulación masiva de datos de usuario y detenerla en seco.

Más información en Blog del equipo de detección y respuesta de Microsoft aquí.