logo

COM FRENAR CRYPTOLOCKER? RECOMENACIONS I MÈTODES PER FRENAR LA PROPAGACIÓ.

ACTUALITZACIÓ:

Nous mètodes d’atac mitjançant fitxers comprimits amb extensió .CAB i fitxers executables de salva pantalles .SCR. En l’article s’afegeixen aquestes extensions per a les regles de filtrat d’aplicacions.

No hi ha dia que no rebem un avís o notícia d’algun client, client de client, proveïdor de client o amics que els entra aquest atac. Molt important la conscienciar els usuaris que no s’obrin, ni executin fitxers estranys; així com la restricció de permisos a les carpetes de xarxa als estrictament necessaris en cada cas.

Per als administradors, assegurar les còpies de seguretat, comprovar l’execució correcta i que són possible recuperar. Les solucions NetApp i Veeam funcionen molt bé en aquests casos.

Per a direcció, no és broma el problema i pèrdues que genera un atac d’aquest tipus. Si no es tenen bé les coses i arriba a entrar a l’empresa suposen pèrdues econòmiques molt importants.

Per exemple, hi ha un estudi d’Institut Ponemon que un atac informàtic arriba a tenir un cost entre 3 i 5 milions d’euros.

Basant-nos en la nostra experiència, una empresa mitjana espanyola d’entre 50-100 usuaris, recuperar-se d’un atac que suposi una pèrdua de tota la informació, només de costos de posada al dia del sistema pot suposar una despesa molt elevada. Potser no 3M però si una despesa molt important, depenent de cada cas: vendes perdudes, hores extres, parada de producció, recuperació de dades, inventaris, etc ..


Aquesta setmana ha estat molt dura professionalment a causa de la propagació massiva de Cryptolocker, en la seva variant CryptoDefense. Han estat molts els que s’han vist afectats per aquest mètode d’extorsió, en què la única sortida és eliminar l’aplicació causant i recuperar les còpies de seguretat fora de línia (cinta, discs durs externs no connectats, etc…), de la informació xifrada.

“No és cap broma el mal de cap que produeix”.

Puc afirmar que en els 20 anys de carrera professional que porto és el pitjor que he vist, i n’he vistes de molts colors. Se’m queda una sensació total d’impotència davant la informació xifrada, en què saps que no s’hi pot fer res per recuperar-la. Personalment, psicològicament, hagués preferit un incendi o robatori físic, en què pots acceptar millor la pèrdua al no veure-ho. Deixar-ho davant teu, però sense poder arribar-hi, és molt dur, per a mi i, sobretot, pel qui ho pateix.

No és gens agradable veure empreses aturades, amb la seva informació xifrada, sense saber què fer, com actuar, amb moltes preguntes a l’aire: quines comandes he de servir?, quina declaració d’IVA he de fer?, qui em deu diners? etc… Equival a un Desastre Total del que tantes vegades en parlem i que fins hi tot el podem arribar a ignorar. A mi això no em passarà mai, doncs passa. I passa a tothom: empreses grans, empreses mitjanes, empreses petites, autònoms, particulars. I en el moment menys pensat.

El risc existeix, hi és present, i en el moment menys pensat, Zaaas!!, aquí el tens. És el moment d’utilitzar els mètodes de recuperació de dades que “només” cobreixen un 6% de casos que en parlava en l’entrada d’alta disponibilitat. Aquests són els únics que et salven del més greu i, millor si no s’han d’utilitzar mai. S’ha perdut un correu electrònic, “no passa res”. S’ha perdut un fitxer d’un projecte, “no passa res”,… S’ha perdut tota la informació de tota la vida de l’empresa, això sí que és molt greu. Hem d’estar preparats per poder reaccionar.

Després de la catàstrofe ve la resiliència. Què puc fer ara que m’ha passat? Recuperar la còpia de seguretat bona i continuar. Si, però no. De tot s’aprèn i aquest desastre no és una excepció. Si només recupero les dades i continuo fent el mateix, em pot tornar a passar, com evitar una nova propagació?

 ANALITZEM COM HA POGUT ENTRAR UN CRYPTOLOCKER

El principal problema d’aquest mètode, sota el meu punt de vista, és que s’ha atacat al punt més dèbil del sistema: l’USUARI. La majoria de sistemes informàtics d’avui en dia tenen un sistema d’anti-virus als equips (protecció d’un 30%), es realitzen les actualitzacions de tots els sistemes operatius i programaris mensuals (protecció d’un 40%), disposen de tallafocs avançats (amb proteccions d’anti-virus, malware, botnets, DDoS, perimetrals, etc… protecció del 20% + el 30% d’anti-virus). Però tot i així, queda aproximadament un 10% lliure, amb els 0-Days, atacs molt dirigits i específics, mètodes per descobrir la protecció, etc… i l’USUARI. Ens agradi o no, cadascú és responsable dels seus actes i coneixements.

Però el problema no resideix només en una persona, sinó en totes les que tenen accés al sistema informàtic (directius, recepcionistes, administratius, enginyers, operaris, informàtics, etc..). Un correu electrònic “innocent” obert per la persona menys pensada causa tot aquest estrall. Ja es pot repetir: no obriu correus electrònics estranys, no executeu aplicacions que no sabeu que són, no navegueu per llocs web de dubtosa qualitat i/o procedència, etc…

Sempre hi ha algú que hi cau de quatre grapes. Aquí no hi ha mètodes d’anti-virus, tallafocs intel·ligents, permisos de bloqueig, etc… que valguin i ho puguin aturar. És l’usuari qui l’activa, amb els permisos per fer-ho i sobre tota la informació a la què hi té accés. Sobretot en els entorns de petites i mitjanes empreses, qui menys permisos hauria de tenir són els què més en tenen. Ja sigui per desconeixement de com aplicar-los. Perquè aquí tothom ha de tenir accés a tot (heu pensat bé aquesta última frase?), o perquè sóc el “jefe” i he d’accedir a tot arreu. En definitiva, no s’és conscient dels riscs que comporta fins que, llastimosament, no passa alguna cosa.

 MÈTODES PER FRENAR LA PROPAGACIÓ

Amb atacs agressius, mesures agressives. Com no, la primera és la formació de l’usuari. En última instància ell és el responsable de les seves accions. Com administradors del sistema la cosa és complica. Més mesures de seguretat agressives també impliquen menys moviment per part de l’usuari i, en tot cas, sempre ha de ser una balança. Que sigui segur, però que l’usuari també pugui realitzar la seva feina amb llibertat.

Per evitar una afectació total al sistema, pensar bé els permisos d’accés que ha de tenir cada usuari. Segur que tots han de tenir accés a tot? Limitar els accessos des de l’exterior lliurement. Quants teniu publicat el terminal server (Remote Desktop) directament a Internet pel port TCP 3389, sabeu que existeix la porta d’enllaç web de remote desktop pel port TCP 443 (SSL segur), oi? I a més, els usuaris que l’utilitzen fan servir contrasenyes fortes (1234, abcde, root…), oi? Au, ja teniu feina.

Fins aquí es pot controlar més o menys amb la configuració del sistema, però,

QUÈ ES POT FER PER EVITAR QUE L’USUARI, DESPRÉS DE REBRE EL CORREU ELECTRÒNIC FATÍDIC, L’EXECUTI?

Aquest ha estat el meu principal maldecap després dels atacs produïts, com evitar un nou atac. Parlant amb el meu company Julio Iglesias Pérez (MVP de Enterprise Security), hem arribat a la conclusió que un mètode efectiu pot ser limitar l’execució d’aplicacions fora de les carpetes d’aplicacions i sistema operatiu. És una mesura agressiva que pot comportar molèsties als usuaris en l’execució d’aplicacions des d’altres ubicacions (directament des de carpetes de la xarxa, fora de l’entorn d’Arxius de Programa, en carpetes escampades pel disc dur, des del perfil de l’usuari, etc…). O fins hi tot limitar l’ús de les aplicacions mitjançant el hash de la mateixa (molta feina pels administradors i també vol dir un entorn molt controlat en l’execució de les mateixes, cosa que no es dóna en la majoria de les instal·lacions que conec).

La meva recomanació, seguint la norma de la balança (seguretat – usable), és començar a limitar l’execució d’aplicacions des de les carpetes dels perfils dels usuaris.

Per sistemes operatius de Windows Vista en amunt:

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %LocalAppData%\Temp\rar*\*.exe
  • %LocalAppData%\Temp\7z*\*.exe
  • %LocalAppData%\Temp\wz*\*.exe
  • %LocalAppData%\Temp\*.zip\*.exe
  • %LocalAppData%\Temp\*.cab\*.exe
  • %AppData%\*.scr
  • %AppData%\*\*.scr
  • %LocalAppData%\Temp\rar*\*.scr
  • %LocalAppData%\Temp\7z*\*.scr
  • %LocalAppData%\Temp\wz*\*.scr
  • %LocalAppData%\Temp\*.zip\*.scr
  • %LocalAppData%\Temp\*.cab\*.scr

I amb molta cura perquè poden deixar de funcionar les actualitzacions i instal·lacions d’aplicacions que si volem:

  • %LocalAppData%\Temp\*.exe
  • %LocalAppData%\Temp\*\*.exe

Pel sistema operatiu Windows XP, com? encara teniu Windows XP? A què espereu a actualitzar-lo? La llista de bloqueig correspon a la següent:

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %UserProfile%\Local Settings\Temp\rar*\*.exe
  • %UserProfile%\Local Settings\Temp\7z*\*.exe
  • %UserProfile%\Local Settings\Temp\wz*\*.exe
  • %UserProfile%\Local Settings\Temp\*.zip\*.exe
  • %UserProfile%\Local Settings\Temp\*.cab\*.exe
  • %UserProfile%\Local Settings\Temp\*.exe
  • %UserProfile%\Local Settings\Temp\*\*.exe
  • %AppData%\*.scr
  • %AppData%\*\*.scr
  • %UserProfile%\Local Settings\Temp\rar*\*.scr
  • %UserProfile%\Local Settings\Temp\7z*\*.scr
  • %UserProfile%\Local Settings\Temp\wz*\*.scr
  • %UserProfile%\Local Settings\Temp\*.zip\*.scr
  • %UserProfile%\Local Settings\Temp\*.cab\*.scr
  • %UserProfile%\Local Settings\Temp\*.scr
  • %UserProfile%\Local Settings\Temp\*\*.scr

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Comments are closed.