Secuestro de datos.
Es una palabra que asusta a muchos usuarios de computadoras, especialmente dados los titulares casi diarios sobre las empresas involucradas. Esto nos hace preguntarnos por qué les sigue pasando esto a los usuarios y las empresas, grandes y pequeñas.
Pero hay muchas cosas que puede hacer para protegerse a sí mismo oa su empresa.
Cuidado con lo que haces clic
La mayoría de las veces, el ransomware que afecta a alguien ocurre después de que alguien hace clic en algo que no debería, tal vez un correo electrónico relacionado con el phishing o una página web que instala archivos maliciosos. En un entorno profesional, los ataques a menudo provienen de un atacante que busca un protocolo de acceso remoto abierto, ya sea mediante el uso de fuerza bruta o mediante la recuperación de credenciales. Una vez dentro de la red, pueden desactivar las copias de seguridad y esperar el mejor momento para atacar.
El ransomware no es nada nuevo. Su historia se remonta a 1989. En ese momento, el señuelo era un disquete que instalaba un virus, que al tercer día pedía dinero para recuperar información de la computadora. Más recientemente, se ha utilizado contra Colonial Pipeline, una empresa de gasoductos de la costa este. Este ataque provocó una carrera de gasolina, cierres de estaciones de servicio, conductores enojados y mala publicidad (y un pago multimillonario) para la compañía de gasoductos. Fue un ejemplo de la vida real de lo que el ransomware puede hacer a las empresas.
Copias de seguridad, copias de seguridad, copias de seguridad
Soy coanfitrión de un grupo de Facebook sobre el tema de seguridad y ransomware. A menudo, cuando un usuario nos pregunta cómo recuperarse de un ataque de ransomware, nuestra única recomendación es preguntar si tiene una buena copia de seguridad. Con esto me refiero a uno que se ejecuta de forma regular y se almacena en un disco duro externo que está "inactivo" en su computadora. Si puede acceder a la unidad donde está almacenada su copia de seguridad, también puede hacerlo su atacante. Así que asegúrese de rotar los medios de respaldo y siempre tenga una copia fuera de línea y no conectada a su sistema.
También es bueno comprobar si su software de copia de seguridad tiene una función anti-ransomware que garantiza que nadie más que el proceso de copia de seguridad pueda acceder a la unidad.
No existe una solución mágica para cancelar el ransomware, aunque nomoreransom.org realiza un seguimiento de los ataques conocidos; Si los atacantes han hecho pública una clave de cifrado o si una autoridad ha tomado el control de un servidor de comando y control y, por lo tanto, ha obtenido acceso a las herramientas de cifrado, la herramienta de descifrado se almacenará en este sitio.
Engañar a los atacantes
Si es un poco más aventurero, puede considerar agregar una herramienta como Raccine, que evitará que el ransomware elimine todas las instantáneas usando vssadmin. Se ejecuta en Windows 7 o superior e intercepta la solicitud y anula el proceso de apelación. Eliminar copias de seguridad de forma silenciosa y detener el proceso de copia de seguridad suele ser la primera señal de que un atacante está atacando sus sistemas.
Asegúrese siempre de realizar un seguimiento del éxito o el fracaso del proceso de copia de seguridad. Personalmente configuré alertas con mi software de respaldo, por lo que estoy informado de los éxitos y fracasos relacionados con mi infraestructura clave. El seguimiento de la finalización de las copias de seguridad es una forma clave de realizar un seguimiento del estado de sus sistemas.
Otro truco que puede utilizar para intentar defenderse de los atacantes es instalar el teclado ruso en su sistema. Aunque el ransomware Darkside no ha verificado específicamente su instancia, el malware con sede en Rusia a menudo verificará dónde está instalado y evitará los sistemas basados en Rusia. (No tiene que usar el teclado y terminará con "EN" en la bandeja del sistema. Pero eso podría engañar a los atacantes para que lo pasen por alto).
Sysmon es otra herramienta de seguridad que asustó a los atacantes en un ataque reciente. Esta es una herramienta gratuita de Microsoft que mejora los registros de eventos de seguridad en máquinas con Windows. Cuando los atacantes que usaban la vulnerabilidad Solarwinds examinaban las empresas que querían atacar, si Sysmon, Procmon, Procexp o Autoruns estaban instalados en los sistemas, los atacantes no atacarían a la empresa porque no querían ser detectados. Especialmente para las pequeñas empresas, recomiendo usar Sysmon para mejorar los archivos de registro de su sistema.
Что ты можешь сделать
Al final del día, no permita que los atacantes lo conviertan fácilmente en otra estadística de ransomware. Esto es lo que puede hacer para reducir el riesgo de un ataque »
- Asegúrese de realizar buenas copias de seguridad con regularidad y de tener varios discos duros externos que gire para asegurarse de que al menos una copia de sus archivos esté fuera de línea en todo momento.
- Mantenga sus navegadores actualizados y asegúrese de que se actualicen independientemente del sistema operativo.
- Asegúrese de que su correo electrónico tenga un buen filtrado, ya sea de su ISP (si proporciona su correo electrónico) o mediante Gmail o Outlook.com.
- Considere agregar la autenticación Duo como autenticación de dos factores para el acceso remoto si está utilizando el protocolo de escritorio remoto en una pequeña empresa. Y no se limite a permitir una contraseña entre usted y el mundo exterior cuando se trata de acceso remoto.
Es posible que estos no garanticen que esté completamente a salvo del ransomware, pero al menos deberían reducir el riesgo de que se vea afectado.
<p>Copyright © 2021 IDG Communications, Inc.</p>