Pida Presupuesto sin compromiso

martes, 16 de mayo de 2017

WannaCry, el Ransomware que marca un antes y un después.

El Viernes pasado empresas como Telefónica y otras muchas no declaradas aunque se habla de que si pasó realmente sufrieron la "infección" del Ransomware Wannacry.

Este ataque junto con ataques a otros países ha marcado una oleada de informaciones, no del todo justificadas, que nos hacen ver que estamos envueltos en una inseguridad "galopante" y que va creciendo con mutaciones y nuevos virus hasta que nos "ahoguen" de manera total.

Pues bien, para desmontar este argumento "catastrófico" aquí van algunas cifras:

- En Febrero de 2.015 hubo unas 45.000 infecciones y en Febrero de 2.016 unas 56.000. El virus WannaCRY va por unos 200.000 equipos y unas 10.000 organizaciones. Esta claro que es más grande, pero no es nada nuevo y cifras más bajas pero semejantes se han dado en el 2.015 y en el 2.016.
Ransomware_Infections_by_Month.png
- Ha dado varias veces la vuelta al mundo: al igual que el resto de virus y ransomware del pasado, no hay una novedad espectacular en este sentido.

- Se ha recaudado menos dinero que con otros Ransomware: por el momento lleva unos 54.000 dolares cifra bastante por debajo de los 1.000 millones de dolares pagados en el año pasado.

- La infección llego por email y fue necesaria la intervención de alguién manualmente: al igual que otros ransomware llega por un mail desconocido con un link a una url que al hacer click sobre ella descarga el ejecutable que infecta el equipo. Por tanto hace falta descargarlo, no lo hace solo y también tener permisos de administrador para poder ejecutarse si no, no es posible.

- Infecta a equipos que haya en la misma red: al igual que otros ataca directamente a equipos en el mismo segmento LAN y que permitan acceder a carpetas y archivos de los mismos. es decir, si tenemos un red segmentada o separada por "nichos" solo afectara a cada "nicho" y no al resto.

- El malware aprovecho una debilidad de Windows que debía de haber sido actualizada hace más de dos meses. Por tanto es importante actualizar equipos para prevenir ataques de cualquier tipo, pero esto no se hizo en Telefónica y otras muchas organizaciones.

Por tanto no estamos ante una amenaza nueva auqnue si más potente, pero sin embargo nos valen recomendaciones del pasado.

RECOMENDACIONES

1 - Realizar Backup periódico de nuestros equipos para evitar que si nos "secuestran" los datos tengamos que intentar recuperarlos vía pagando lo cual puede ser bastante inutil. Si tenemos un backup restauraremos dicha copia y volveremos a funcionar sin más.

2.- Tener un antivirus actualizado: aún hoy en día hay mucha gente que cree que eso del antivirus es un cuento chino, pero no lo es. Si bien no evita nuevos virus o nuevo malware no clasificado si bloquea o previene de malware conocido.

3.-Desconfiar y/o no descargar mails de fuentes no confiables o desconocidas. sobre no hacer click en URL que no conocemos o abrir ficheros de mail de personas desconocidas ya que suele haber un virus detrás de ellas.

4.- Quitar permisos de administrador por defecto, obligar a preguntar antes de instalar habilitar cualquier software desconocido.

5.-Segmentar las redes: como administradores deberíamos poner solo en la misma LAN aquellos equipos que vayan a compartir ficheros, si no es preferible separarlos y así evitar daños mayores en caso de que se produzcan.

6.- En el caso de redes WIFI abiertas o de Hotspot o simplemente para clientes es conveniente utilizar la opción de Client Isolation para evitar que puedan compartir los usuarios entre ellos cualquier tipo de información al menos a traves de la red WIFI. Esta opción a veces sorprende en los sitios que no esta ni habilitada.

7.- Actualizar equipos siempre que sea posible. Así evitaremos que se puedan utilizar bugs de seguridad o 0day para infectarlos.

8.- Utilizar Firewall UTM para prevención sobre contenidos y mails recibidos. Estos equipos permiten el análisis de todo el correo tanto saliente como entrante y de las webs visitadas para evitar que en los casos "conocidos" abran dichas webs o descarguen dicho mail con malware/virus/troyanos. Actualmente están en el mercado desde unos 1.000 € pero depende de el número de conexiones que se quieran filtrar.

Por nuestra parte nada más, esperamos que os sirva de utilidad y en caso de que lo necesitéis no dudeis en contactarnos par implementar cualquiera de estas medidas en vuestra organización o asociación.



Videos de Coratec