Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

La guía para prevenir el ransomware en empresas

1,088 views

Published on

Es la guía creada por QuantiKa14 para prevenir el reansomware en asd en 2016. El objetivo es que todas las empresas tengan un documento que les ayude a saber que aplicaciones y medidas usar.asd

Published in: Internet
  • Muchas gracias excelente presentacion
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Existe un fallo en la descripción y slidershare no lo modifica. Sería así: Es la guía creada por QuantiKa14 para prevenir el ransomware en 2016. El objetivo es que todas las empresas tengan un documento que les ayude a saber que aplicaciones y medidas usar.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

La guía para prevenir el ransomware en empresas

  1. 1. 1. Introducción 1.1 ¿Qué es QK14? 1.2 Licencia 1.3 Objetivo de la guía 1.4 Qué es un ransomware 1.5 Forma de infección o intrusión del ransomware 2. ¿Qué medidas debe implementar una empresa? 2.1 Medidas informáticas 2.1.1 Copias de seguridad 2.2.2 Antivirus y Honeypots 2.1.2.2 Bitdefender Anti-Ransomware 21 2.1.2.3 Cryptoprevent 24 2.1.2.4 Ransomfree 26 2.1.2.5 Antiransomware 27 ÍNDÍCE 6 7 8 9 12 14 15 16 21
  2. 2. 2.1.3 Configuraciones ESET Anti-Ransomware 29 2.1.4 Vtzilla Addons para Mozilla 30 2.1.5 Latch ARW 31 2.2 Medidas humanas 2.2.1 Formación 2.2.2 Phishing controlado 3. Ya soy víctima de ransomware 35 3.1 ¿Qué puedo hacer? 36 3.2 ¿A quién puedo pedir ayuda? 37 4. Conclusiones 38 ÍNDÍCE 32 34
  3. 3. Una persona o varias un día crearon los virus informáticos que bloqueaban el acceso al ordenador y/o engañaban al usuario para que pagara un dinero para su desbloqueo. ¿Recuerdas el virus de la policía? Actualmente cifran los archivos para pedir su rescate. Quizás sea una de las estafas más rentables del mundo. ¿Cuanto pagarías por la información de tu ordenador? ¿Y una empresa? 1. INTRODUCCIÓN Autor: “un ransomware es un secreto a voces, por el que te estafan con su silencio.”
  4. 4. Es una empresa localizada en Sevilla que nacio en 2013 con el objetivo de prestar un servicio técnico y jurídico. Actualmente dispone de un equipo multidisciplinar que realiza trabajos de peritaje informáticos, auditoría de seguridad, big data y desarrollo de aplicaciones y dispositivos de seguridad informática. 1.1 ¿Qué es QuantiKa14? Desde el principio hemos ayudado a empresas víctimas de ransomware en la medida de lo posible, proporcionando soluciones preventivas y de recuperación en el caso de ser posible. Más de 200 empresas han contactado con nosotros desde 2014 pidiendo ayuda contra esta gran amenaza.
  5. 5. 1.2 Licencia de la guía
  6. 6. Es muy difícil crear un guía para que cualquier usuario independientemente de sus conocimientos técnicos pueda comprender todo al 100%. Por ello, hemos decidido realizar un documento mixto para que tanto administradores de sistemas, como gerentes , o cualquier cargo de responsabilidad de una empresa pueda saber cómo prevenir contra esta amenaza. Los puntos que queremos que el lector aprenda son: 1. Cómo los ciberdelincuentes llegan a infectar y por qué 2. Qué medidas técnicas y humanas existen 3. Qué aplicaciones existen para llevar acabo tales medidas 1.3 OBJETIVO DE LA GUÍA
  7. 7. El ransomware (también conocido como rogueware o scareware) restringe el acceso a su sistema y exige el pago de un rescate para eliminar la restricción. 1.4 ¿QUÉ ES UN RANSOMWARE? De dónde procede el ransomware El ransomware lo crean estafadores con un gran conocimiento en programación informática. Puede entrar en su PC mediante un adjunto de correo electrónico o a través de su navegador si visita una página web infectada con este tipo de malware. También puede acceder a su PC a través de su red o ataques "directos" por alguna vulnerabilidad o fuerza bruta.
  8. 8. Cómo reconocer el ransomware Es obvio cuando su dispositivo ha sido infectado con ransomware, ya que probablemente no podrá acceder a su equipo. También es muy frecuente encontrar un archivo de texto con los datos y pasos a seguir para "recuperar los archivos" secuestrados. ¿Qué sistemas operativos afectan? Existen para casi todos los sistemas operativos tanto para ordenadores y smartphone. Sin embargo los más conocidos son para Windows y Android. También es importante recordar que se han detectado en CMS como WordPress. No solo usadas para chantajear al dueño si no para distribuir el virus. 1.4 ¿QUÉ ES UN RANSOMWARE?
  9. 9. Entre 2015 y 2016 fueron cuatro los troyanos más activos: TeslaCrypt (casi la mitad del total de los ataques, pero, por suerte, tenemos un descifrador para él), CTB-Locker, Scatter y Cryakl (también desciframos Cryakl). Estas cuatro familias comparten una “cuota de mercado” del 80 %. Fuente: https://blog.kaspersky.es/ransomware- blocker-to-cryptor/8526/ 1.4 ¿QUÉ ES UN RANSOMWARE?
  10. 10. Uno de los primeros casos con los que trabajamos fueron los llamados "Iloveserver" y "Serverlock" por el email que dejaban de contacto los intrusos, en el texto que usaban para la extorsión. Hablaremos de intrusión porque el modus operandi que usaban era: 1. Realizar de forma automatizada ataques de fuerza bruta a Windows Server 2013 que dispongan de control remoto (RDP) activado. 2. Cuando disponían del acceso al servidor de la presente víctima subían un archivo rar con todas las herramientas necesarias para cifrar, detectar disco duros externos, escanear la red, etc. 3. Cifraban todos los archivos en un volumen con una clave usando TrueCrypt. 4. Dejaban una nota en formato TXT en el cual dejaban las instrucciones para recuperar los archivos. 1.5 FORMA DE INFECCIÓN O INTRUSIÓN DEL RANSOMWARE
  11. 11. Sin embargo actualmente el modo de operar más frecuentes de los delincuentes es el envió del ransomware por email, suplantando la identidad de alguna entidad como: bancos, Endesa, hacienda, policía, etc. 1.5 FORMA DE INFECCIÓN O INTRUSIÓN DEL RANSOMWARE
  12. 12. Es importante destacar que el 13 de diciembre de 2016 INCIBE pone a disposición de los usuarios el nuevo Servicio Antiransomware con el que cualquier víctima de este tipo de malware podrá contactar con expertos que intentarán solucionar su problema. Servicio Antiransomware 2. ¿QUÉ MEDIDAS DEBE IMPLEMENTAR UNA EMPRESA?
  13. 13. Todas las medidas que se exponen ahora se han filtrado por el criterio de herramientas gratuitas y sin coste para Windows. Es importante saber que muchas tendrán funcionalidades limitadas en su versión gratuita o existen otras de pago. Además se añade enlace de descarga y análisis en Virus Total para su comprobación en los casos que se comparta enlace de descarga directa. 2.1 MEDIDAS INFORMÁTICAS
  14. 14. Realizar una copia de seguridad es el punto más importante. Puede causar un antes y un después en la empresa en el caso de hacerlo de forma inadecuada. Algo muy común y que es una mala práctica es hacer una copia de seguridad diaria y machacar el del día anterior. No es recomendable debido a que si el ransomware cifra la copia de seguridad no habrá servido nada para nada. Recomendamos una copia en un dispositivo de almacenamiento externo pero que solo esté conectado en el momento de la copia. Otra mala práctica es dejar por ejemplo un disco duro externo 24 horas 7 días a la semana conectado al ordenador. 2.1.1 COPIAS DE SEGURIDAD
  15. 15. PREGUNTAS FRECUENTES: ● ¿Cuantas copias de seguridad debo hacer? 2 como mínimo. ● ¿Donde debo hacerlas? Recomendamos usar un disco duro externo o en la nube(cuidado), aparte de otra en local. ● ¿Cuanto tiempo debo almacenarlo? En el caso de que no sepas cuanto tiempo debes almacenar la información según la LOPD te recomendamos que llames a la Agencia de protección de datos Española(AGDP) o nosotros podemos asesorarte a través del tlfn → 605 93 89 08 2.1.1 COPIAS DE SEGURIDAD
  16. 16. En Windows disponemos de la aplicación gratuita BackUpTime que permite programar las copias de seguridad, y elegir cuales son las carpetas de las cuales se quiere hacer la copia y en donde se quiere guardar. Podemos descargarla en el siguiente enlace: http://www.cezeo.com/products/backuptime / 2.1.1 COPIAS DE SEGURIDAD
  17. 17. No os alarméis porque es muy probable que sea un falso positivo. 2.1.1 COPIAS DE SEGURIDAD
  18. 18. Otra aplicación es Comodo Backup que nos permite hacer dos tipos de copia de seguridad: local y online. En el primer caso, puedes programar o realizar manualmente una copia en otra unidad de disco, externa o interna. En cuanto a la copia online, de forma gratuita tienes hasta 5 GB, ampliable mediante pago. Además de comprimir y cifrar los datos copiados, con Comodo Backup tienes la posibilidad de programar la copia en el momento más oportuno. 2.1.1 COPIAS DE SEGURIDAD
  19. 19. BD Anti-Ransomware es una herramienta gratuita desarrollada y proporcionada por Bitdefender para proteger nuestro PC de Ransomware. Este Anti-Ransomware ofrece una protección contra virus como TeslaCrypt o CTB-Locker, entre muchos otros. Esta herramienta es muy curiosa, ya que tiene un comportamiento muy diferente al resto. El motivo es que este programa actúa de manera similar a como lo hace una vacuna. Para ello, simula que el ordenador ya se encuentra infectado por el virus que está atacando el sistema. Podéis descargar desde aquí: http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe 2.1.2 ANTIVIRUS Y HONEYPOTS 2.1.2.2. BITDEFENDER ANTI-RANSOMWARE
  20. 20. CryptoPrevent es una herramienta que fue diseñada originalmente para prevenir los ataques de CryptoLocker, es por ese motivo que se llama así. Con el tiempo ha mejorado, ampliando su rango de protección contra Ransomware hasta convertirse en una opción más que recomendada. Esta herramienta no tiene ninguna incompatibilidad con los principales antivirus del mercado y es compatible con Windows XP, Vista, 8. 8.1 y 10, por lo que difícilmente tendremos problemas a la hora de instalarla. 2.1.2 ANTIVIRUS Y HONEYPOTS 2.1.2.3 CRYPTOPREVENT
  21. 21. Cuenta con varias versiones de pago que añaden funcionalidades y una gratuita. https://www.foolishit.com/cryptoprevent-ma lware-prevention/ 2.1.2 ANTIVIRUS Y HONEYPOTS 2.1.2.3 CRYPTOPREVENT
  22. 22. Esta herramienta de seguridad posee un funcionamiento similar a la primera que nos ha ocupado. Se puede descargar de forma gratuita y su presencia en el equipo resulta similar a la de un antivirus convencional. Una vez instalada, se ejecuta en segundo plano comprobando todos los procesos que se encuentran en funcionamiento en el sistema. Si se detecta algo sospechoso la herramienta llevará a cabo el bloqueo del proceso y preguntará al usuario si quiere eliminarlo o continuar con la ejecución. Al ser similar a un antivirus, es deducible que necesitará de una base de ransomwares para llevar a cabo las detecciones de forma óptima. Puede descargarlo aquí: https://ransomfree.cybereason.com/ 2.1.2 ANTIVIRUS Y HONEYPOTS 2.1.2.4 RANSOMFREE
  23. 23. Unas de las herramientas que mejor funcionan es el Anti- ransomware de Yago Jesus. Actualmente en la versión 3.0 es de las aplicaciones que no pueden faltar para prevenir contra el ransomware. Su funcionamiento es crear muchos archivos de todo tipo de formatos para hacer de anzuelo. Cuando pica mata el proceso del ransomware. 2.1.2 ANTIVIRUS Y HONEYPOTS 2.1.2.5 ANTIRANSOMWARE http://www.securitybydefault.com/2016/06/anti-ransom-v3.html
  24. 24. Es fundamental crear un sistema de seguridad que pare y filtre el spam. Además de cortafuegos que impidan que la amenaza pueda seguir infectando por la red. Para ello recomiendo el dossier que nos trae de la mano de la casa de Antivirus ESET. Antispam de los correos de la empresa para impedir descargas infecciosas, reglas del cortafuegos para Endpoint Security y reglas HIPS para Endpoint Security y Endpoint Antivirus. 2.1.3 CONFIGURACIONES ESET ANTI-RANSOMWARE http://descargas.eset.es/templates/fichas_productos/configuracion-ESET-anti-ransomware.pdf
  25. 25. Es fundamental que los empleados de la empresa tengan acceso a herramientas que les permita identificar si un enlace o un archivo es malicioso. Desde que empezamos aconsejar esta herramienta a los clientes de QuantiKa14, el nivel de infección a bajado de forma considerable. Es una herramienta muy útil para los empleados que podemos instalar en el navegador Mozilla. 2.1.4 VTZILLA ADDONS PARA MOZILLA https://addons.mozilla.org/es/firefox/addon/vtzilla /
  26. 26. Se trata de un concepto diferente al descrito con anterioridad. Esta herramienta centra sus esfuerzos en proteger las carpetas que indiquemos de cifrados no autorizados. Tal vez requiere un poco más de proactividad por parte del usuario. Podría decirse que los que se crea es una capa de seguridad adicional sobre las carpetas seleccionadas y sus archivos. Con esto, lo que queremos decir es que se crea un flag que no permitirá la modificación ni eliminación de los archivos existentes. Enlace a vídeo en Youtube: https://www.youtube.com/watch?v=djOA2tT7EYI 2.1.5 LATCH ARW
  27. 27. 2.2 MEDIDAS HUMANAS El eslabón más débil son las personas, esto significa que es fundamental implementar medidas “humanas”, entendiéndose como medidas que tengan el objetivo de concienciar y mejorar el conocimiento de todos los trabajadores de una empresa.
  28. 28. 2.2.1 FORMACION En muchas empresas los trabajadores se llevan el ordenador a casa o su dispositivo móvil se conecta a la red WIFI. Esto conlleva que la formación no solo debe ser para el ámbito de trabajo si no también fuera. La formación para prevenir el ransomware en las empresas dependen de el número de trabajadores, ordenadores y ámbito profesional. No obstante recomendamos formación a todos los trabajadores que dispongan acceso algún ordenador o tengan acceso a la red 1 vez al año.
  29. 29. 2.2.2 Phishing controlado En este caso no serán ciberdelincuentes los que realizarán el phishing si no una empresa que registrará que puestos de trabajos han pinchado en algún enlace. Realizando un informe final de concienciación contra la prevención de aplicaciones maliciosas o intrusiones a través del correo electrónico. En caso de estar interesados pueden contactar con QuantiKa14 para este servicio. info@quantika14.com | 605 93 89 08
  30. 30. 3. YA SOY VÍCTIMA DE RANSOMWARE 3.1 ¿Qué puedo hacer? Si eres víctima estos son los pasos que debes hacer: 1. Desconectar el ordenador infectado de la red (tanto cable, como por WIFI) 2. Si el ransomware ha cifrado gran parte y valoras que ya poco queda, puedes realizar un volcado de la memoria RAM (cómo hacerlo aquí https://www.fwhibbit.es/volcado-de-memoria-ram-en-windows-osforensics). En caso contrario apaga el ordenador. 3. Procede a comprobar que no existe ningún ordenador más infectado. 4. Identifica que ransomware te ha infectado en la siguiente página https://www.nomoreransom.org/crypto-sheriff.php 5. Denuncia en la guardia civil o policía nacional
  31. 31. Datos de agosto de 2016 por el CCN-CERT Algunas ransomware ya tienen solución y en la siguiente tabla se exponen. https://www.ccn-cert.cni.es/gl/informes/informes-ccn-cert-publicos/1384-ccn-cert-ia-01-16-medidas-de-seguridad- contra-ransomware/file.html
  32. 32. 3.2 ¿A quién puedo pedir ayuda? Como comentamos en el punto 2 de esta guía el 13 de diciembre de 2016 INCIBE pone a disposición de los usuarios el nuevo Servicio Antiransomware. También puede contactar con QuantiKa14 para contratar los servicios que aparecen en esta guía y otros que se adapten a las necesidades de la empresa.
  33. 33. ● Aunque el escenario en estos últimos 4 años ha cambiado mucho, las empresas sobre de tamaño pequeño y mediano son las que más sufren estas amenaza. ● Encontramos que en ciudades distintas a Madrid y Barcelona disponen de un mayor desamparo/soluciones por falta de sociedades que puedan ayudar, recursos económicos y falta de interés por ayuntamientos, delegaciones y entidades públicas para luchar y prevenir contra la amenaza del ransoware. ● El ransomware aprovecha las diferentes legislaciones de cada país para su beneficio. ● Es uno de los negocios ilegales más rentables. ● La falta de implicación política española en este asunto beneficia su propagación y uso por los ciberdelincuentes. 4. Conclusiones del autor
  34. 34. www.quantika14.com

×