Una solución rápida y sencilla contra el ransomware en la empresa
El ransomware es claramente el azote de 2016. Cada semana se produce un nuevo y notable brote a nivel empresarial de esta insidiosa clase de malwarey extorsiona a un número cada vez mayor de organizaciones.
Para ser una amenaza que en su inmensa mayoría no está dirigida a objetivos concretos, parece estar golpeando con gran éxito a grandes y pequeñas empresas.
La infección malware puede entrar por la puerta principal de una estrategia fallida de "defensa en profundidad" o por la puerta lateral de un dispositivo móvil enganchado a la red corporativa un lunes por la mañana.
Sea como fuere, muchos equipos de seguridad y administradores de redes se apresuran a frenar el rápido cifrado de documentos accesibles a través de recursos compartidos en red.
Hay varias tecnologías nuevas a disposición de las organizaciones para detectar la presencia de ransomware en la red y alertar al personal de seguridad de un brote (que es sólo un ejemplo de las cosas que hace el producto Vectra). Pero a menudo es una tarea considerablemente más difícil detener automáticamente un brote a mitad de camino.
A menudo me preguntan cuál es la "mejor" forma de mitigar esta amenaza (es decir, cómo puede una organización impedir que el ransomware cierre su negocio de la forma más barata y sólida).
La forma más rápida y sencilla de mitigar el ransomware de cifrado de red es bastante simple y sigue el principio del canario en la mina de carbón.
El ransomware intenta enumerar y cifrar archivos a través de recursos compartidos de red dentro de la empresa. Un método de protección sencillo consiste en asegurarse de que cada ordenador tenga un par de recursos compartidos montados y supervisados.
Si un usuario u ordenador intenta escribir o borrar un archivo en esos recursos compartidos, las credenciales de acceso del usuario víctima se suspenden inmediatamente. Y si la organización utiliza algún tipo de control de acceso a la red (NAC), el ordenador anfitrión se desconecta de la red de forma similar e inmediata.
Dado que la generación actual de ransomware tiende a recorrer secuencialmente los recursos compartidos montados en orden alfabético o alfabético inverso, asegurarse de que el primer y el último recurso compartido montado -como la unidad A: o D:, y la unidad Z: o Y:- son recursos compartidos canarios supervisados es probablemente suficiente.
Asegurarse de que los recursos compartidos canarios tienen un gran número de archivos desechables también puede ser útil, ya que el ransomware tardará un tiempo en realizar el ciclo de cifrado de estos archivos. Esto proporciona un periodo de tiempo en el que la información de revocación de credenciales y acceso a la red puede propagarse al resto de la red.
Esta técnica es similar a la que he utilizado en el pasado para hacer frente al malware de envío de spam y a los ataques automatizados de forzamiento bruto de credenciales. Añadiendo cuentas de usuario que aparezcan como primera y última posición en un directorio de usuarios -como Active Directory y los contactos de correo electrónico- y vigilando cualquier uso de esos nombres, es posible detectar y mitigar la amenaza de forma rápida y automática.
Por ejemplo, si alguien intenta enviar un correo electrónico con el nombre ficticio que figura en la libreta de direcciones, el servidor de correo bloquea automáticamente todas las solicitudes de envío de correo electrónico del usuario hasta que el equipo informático lo haya investigado.
El uso de archivos compartidos canarios contra el ransomware, como las cuentas canarias en Active Directory y el correo electrónico, puede ser un método barato y eficaz para mitigar las amenazas. A veces los métodos más sencillos pueden ser los más eficaces.