logo

¿Cómo frenar cryptolocker?

Actualización:

Nuevos métodos de ataque mediante ficheros comprimidos con extensión .CAB y ficheros ejecutables de salva pantallas .SCR. En el artículo se añaden estas extensiones para las reglas de filtrado de aplicaciones.

No hay día que no recibimos un aviso o noticia de algún cliente, cliente de cliente, proveedor de cliente o amigos que les entre este ataque. Muy importante la concienciar a los usuarios de que no abran, ni ejecuten ficheros extraños; así como la restricción de permisos a las carpetas de red a los estrictamente necesarios en cada caso.

Para los administradores, asegurar las copias de seguridad, comprobar la ejecución correcta y que son posible recuperar. Las soluciones NetApp y Veeam funcionan muy bien en estos casos.

Para dirección, no es broma el problema y pérdidas que genera un ataque de este tipo. Si no se tienen bien las cosas y llega a entrar en la empresa suponen pérdidas económicas muy importantes.

Por ejemplo, hay un estudio de Instituto Ponemon que un ataque informático llega a tener un coste entre 3 y 5 millones de euros.

Basándonos en nuestra experiencia, una empresa mediana española de entre 50-100 usuarios. Recuperarse de un ataque que suponga una pérdida de toda la información, sólo de costes de puesta al día del sistema puede suponer un gasto muy elevado, quizá no 3M pero si un gasto muy importante, dependiendo de cada caso: ventas perdidas, horas extras, parada de producción, recuperación de datos, inventarios, etc…


Esta semana ha sido muy dura profesionalmente debido a la propagación masiva de Cryptolocker, en su variante CryptoDefense. Han sido muchos los que se han visto afectados por este método de extorsión, en el que la única salida es eliminar la aplicación causante y recuperar las copias de seguridad fuera de línea (cinta, discos duros externos no conectados, … ), de la información cifrada.

“No es ninguna broma el dolor de cabeza que produce”.

Puedo afirmar que en los 20 años de carrera profesional que llevo es lo peor que he visto, y las he visto de muchos colores. Se me queda una sensación total de impotencia ante la información cifrada, en el que sabes que no se puede hacer nada para recuperarla. Personalmente, psicológicamente, hubiera preferido un incendio o un robo físico, en el que puedes aceptar mejor la pérdida al no verlo. Dejarlo ante ti, pero sin poder llegar, es muy duro para mí y, sobre todo, por quien lo padece.

No es nada agradable ver empresas paradas, con su información cifrada, sin saber qué hacer, cómo actuar, con muchas preguntas en el aire: ¿qué pedidos debo servir ?, ¿qué declaración de IVA debo hacer ?, ¿quién me debe dinero? … Equivale a un desastre total del que tantas veces hablamos y que incluso lo podemos llegar a ignorar. A mí eso no me pasará nunca, pues pasa. Y pasa a todos: empresas grandes, empresas medianas, empresas pequeñas, autónomos, particulares. Y en el momento menos pensado.

El riesgo existe, está presente, y en el momento menos pensado, Zaaas!!, ahí lo tienes. Es el momento de utilizar los métodos de recuperación de datos que “sólo” cubren un 6% de casos que hablaba en la entrada de alta disponibilidad. Estos son los únicos que te salvan del más grave y, mejor si no se deben utilizar nunca. Se ha perdido un correo electrónico, “no pasa nada”. Se ha perdido un archivo de un proyecto, “no pasa nada”, … Se ha perdido toda la información de toda la vida de la empresa, eso sí es muy grave. Tenemos que estar preparados para poder reaccionar.

Después de la catástrofe viene la resiliencia. ¿Qué puedo hacer ahora que me ha pasado? Recuperar la copia de seguridad buena y continuar. Si, pero no. De todo se aprende y este desastre no es una excepción. Si sólo recupero los datos y sigo haciendo lo mismo, me puede volver a pasar, ¿cómo evitar una nueva propagación?

ANALIZAMOS COMO HA PODIDO ENTRAR UN CRYPTOLOCKER

El principal problema de este método, bajo mi punto de vista, es que se ha atacado el punto más débil del sistema: el USUARIO. La mayoría de sistemas informáticos de hoy en día tienen un sistema de anti-virus a los equipos (protección de un 30%), se realizan las actualizaciones de todos los sistemas operativos y softwares mensuales (protección de un 40%), disponen de cortafuegos avanzados (con protecciones de anti-virus, malware, botnets, DDoS, perimetrales, … protección del 20% + 30% de anti-virus). Pero aún así, queda aproximadamente un 10% libre, con 0-Days, ataques muy dirigidos y específicos, métodos para descubrir la protección, … y el USUARIO. Nos guste o no, cada uno es responsable de sus actos y conocimientos.

Pero el problema no reside sólo en una persona, sino en todas las que tienen acceso al sistema informático (directivos, recepcionistas, administrativos, ingenieros, operarios, informáticos, ..). Un correo electrónico “inocente” abierto por la persona menos pensada causa todo este estrago. Ya se puede repetir: no abra correos electrónicos extraños, no ejecute aplicaciones que no esté seguro de que son, no navegue por sitios web de dudosa calidad y/o procedencia, …

Siempre hay alguien que cae de cuatro patas. Aquí no hay métodos de anti-virus, cortafuegos inteligentes, permisos de bloqueo, … que valgan y lo puedan detener. Es el usuario quien lo activa, con los permisos para hacerlo y sobre toda la información a la que tiene acceso. Sobre todo en los entornos de pequeñas y medianas empresas, quien menos permisos debería tener son los que más tienen. Ya sea por desconocimiento de cómo aplicarlos. Porque aquí todo el mundo debe tener acceso a todo (¿ha pensado bien esta última frase?), O porque soy el “jefe” y tengo que acceder a todas partes. En definitiva, no se es consciente de los riesgos que conlleva hasta que, lastimosamente, nos pasa algo.

 MÉTODOS PER FRENAR LA PROPAGACIÓN.

Con ataques agresivos, medidas agresivas. Como no, la primera es la formación del usuario. En última instancia él es el responsable de sus acciones. Como administradores del sistema la cosa se complica. Más medidas de seguridad agresivas también implican menos movimiento por parte del usuario y, en todo caso, siempre debe ser una balanza. Que sea seguro, pero que el usuario también pueda realizar su trabajo con libertad.

Para evitar una afectación total al sistema, pensad bien los permisos de acceso que debe tener cada usuario. ¿Seguro que todos deben tener acceso a todo? Limitad los accesos desde el exterior libremente. ¿Cuántos tenéis publicado el Terminal Server (Remote Desktop) directamente a Internet por el puerto TCP 3389?, ¿Sabéis que existe la puerta de enlace web de Remote Desktop por el puerto TCP 443 (SSL seguro), verdad? Y además, los usuarios que lo utilizan utilizan contraseñas fuertes (1234, abcde, root …), ¿verdad? Ave, ya tiene trabajo.

Hasta aquí se puede controlar más o menos con la configuración del sistema, sin embargo,

¿QUÉ SE PUEDE HACER PARA EVITAR QUE EL USUARIO, DESPUÉS DE RECIBIR EL CORREO ELECTRÓNICO FATÍDICO, LO EJECUTE?

Este ha sido mi principal quebradero de cabeza después de los ataques producidos, como evitar un nuevo ataque. Hablando con mi compañero Julio Iglesias Pérez (MVP de Enterprise Security), hemos llegado a la conclusión de que un método efectivo puede ser limitar la ejecución de aplicaciones fuera de las carpetas de aplicaciones y sistema operativo. Es una medida agresiva que puede conllevar molestias a los usuarios en la ejecución de aplicaciones desde otras ubicaciones (directamente desde carpetas de la red, fuera del entorno de Archivos de Programa, en carpetas esparcidas por el disco duro, desde del perfil del usuario, …). O incluso limitar el uso de las aplicaciones mediante el hash de la misma (mucho trabajo por los administradores y también significa un entorno muy controlado en la ejecución de las mismas, lo que no se da en la mayoría de las instalaciones que conozco).

Mi recomendación, siguiendo la norma de la balanza (seguridad – usable), es empezar a limitar la ejecución de aplicaciones desde las carpetas de los perfiles de los usuarios.

Para sistemas operativos de Windows Vista para adelante:

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %LocalAppData%\Temp\rar*\*.exe
  • %LocalAppData%\Temp\7z*\*.exe
  • %LocalAppData%\Temp\wz*\*.exe
  • %LocalAppData%\Temp\*.zip\*.exe
  • %LocalAppData%\Temp\*.cab\*.exe
  • %AppData%\*.scr
  • %AppData%\*\*.scr
  • %LocalAppData%\Temp\rar*\*.scr
  • %LocalAppData%\Temp\7z*\*.scr
  • %LocalAppData%\Temp\wz*\*.scr
  • %LocalAppData%\Temp\*.zip\*.scr
  • %LocalAppData%\Temp\*.cab\*.scr

Y con mucho cuidado porque pueden dejar de funcionar las actualizaciones e instalaciones de aplicaciones que sí queremos:

  • %LocalAppData%\Temp\*.exe
  • %LocalAppData%\Temp\*\*.exe

Para el sistema operativo Windows XP, ¿¿cómo?? ¿¿todavía tiene Windows XP?? ¿A qué esperáis a actualizarlo? La lista de bloqueo corresponde a la siguiente:

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %UserProfile%\Local Settings\Temp\rar*\*.exe
  • %UserProfile%\Local Settings\Temp\7z*\*.exe
  • %UserProfile%\Local Settings\Temp\wz*\*.exe
  • %UserProfile%\Local Settings\Temp\*.zip\*.exe
  • %UserProfile%\Local Settings\Temp\*.cab\*.exe
  • %UserProfile%\Local Settings\Temp\*.exe
  • %UserProfile%\Local Settings\Temp\*\*.exe
  • %AppData%\*.scr
  • %AppData%\*\*.scr
  • %UserProfile%\Local Settings\Temp\rar*\*.scr
  • %UserProfile%\Local Settings\Temp\7z*\*.scr
  • %UserProfile%\Local Settings\Temp\wz*\*.scr
  • %UserProfile%\Local Settings\Temp\*.zip\*.scr
  • %UserProfile%\Local Settings\Temp\*.cab\*.scr
  • %UserProfile%\Local Settings\Temp\*.scr
  • %UserProfile%\Local Settings\Temp\*\*.scr

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. Gracias!

Comments are closed.