Todo lo que sabemos sobre el ataque


Todo lo que sabemos sobre el ataque




No hay duda que el ataque de ransomware Wannacry del hace un tiempo atrás , que se extendió como la pólvora, fue malo. Su habilidad para propagarse como un gusano explotando una vulnerabilidad de Windows, es algo que no habíamos visto en una campaña de ransomware. Pero debemos añadir que ha habido mucha publicidad y exageración. Pongamos algo de perspectiva.
Este es un resumen de la investigación de Seguridad America, así como de lo que estamos haciendo para proteger a nuestros clientes. Desde ese punto de partida, analizamos como esto encaja en las tendencias de las amenazas actuales, y como, tomándolo dentro del amplio mundo de la ciberseguridad, este no es el comienzo del fin del mundo.

Actualización del lunes

Dado que el ataque del viernes estaba sin controlar, podíamos esperar que el lunes fuese una jornada complicada con mutaciones del malware golpeando sin piedad para maximizar los beneficios económicos que esta oportunidad les ofrece.
Durante el fin de semana, las cuentas creadas para recopilar el dinero de los rescates, habían recibido una cantidad mucho menor de lo esperado para un ataque de estas dimensiones. El lunes por la mañana, esta cantidad iba en aumento, sugiriendo que los pagos se habían demorado hasta el ese momento. El sábado, los tres monederos de bitcoin asociados a WannaCry habían recibido 92 pagos totalizando 26.407,85$. El domingo la recaudación ascendía a 30.706,61$. El lunes por la mañana ya se habían realizado 181 pagos por un importe de 29,46564365 BTC (50.504,23$).
Las distintas investigaciones parecen confirmar que el ataque se realizó empleando código filtrado de la NSA por un grupo de hackers llamado Shadow Brokers. Se empleó una variante del APT EternalBlue Exploit (CC-1353) de Shadow Brokers que utiliza un potente cifrado de ficheros como documentos, imágenes y vídeos.
Según los analistas de Sophos, esto no parece tener indicios de ser un ataque sofisticado, más bien se han usado técnicas sofisticadas que ya habían sido publicadas en Internet.
Hay tres razones que causaron la rápida propagación del ataque:


1. La inclusión de un código que hace que la amenaza se extienda como un gusano en las redes locales, de manera que no necesita intervención de las víctimas desde que es infectada por primera vez.


2. Explota una vulnerabilidad que muchas organizaciones no habían parcheado.

3. Muchas organizaciones aún usan Windows XP
Todavía nos queda por saber quién está detrás del ataque. Sophos está colaborando con las fuerzas del orden en averiguar el origen de este ataque ofreciendo toda la información disponible. Creemos que los orígenes se encuentran en correos electrónicos maliciosos que fueron abiertos por las víctimas.

Protección al cliente

Sophos continúa actualizando sus productos contra la amenaza. Los clientes de Sophos que tienen Intercept X y Sophos EXP, verán como CryptoGuard detiene esta amenaza. Estos productos bloquean el comportamiento malicioso del malware y recuperan los ficheros cifrados, pero puede que el aviso de la infección aparezca.
Para actualizaciones sobre el código específico que se bloquea, Sophos está continuamente actualizando su base de datos.
Mientras tanto, todos debemos actualizar nuestra versión de Windows como recomienda Microsoft en su boletín de seguridad MS17-010. Para quien use una versión antigua de Windows, Microsoft ha publicado una guía sobre cómo detiene este ataque y hay disponible un parche excepcional para Windows XP, Windows 8 y Windows Server 2003.

No es el fin del mundo

Pese a la importancia del ataque, debemos decir que no estamos ante un cambio en las tendencias de los ciberataques. Este ataque es una mezcla de ataques ya conocidos que se ha convertido en la tormenta perfecta.
Las recomendaciones son las de siempre para defendernos de estos ataques clásicos:


Actualiza los sistemas lo antes posible




Siempre que sea posible, abandona las versiones de Windows que ya no tienen soporte.
Para protegernos contra el ransomware deberemos:
  • Realizar copias de seguridad a menudo
  • Tener mucho cuidado con los archivos adjuntos que recibamos de correos electrónicos no deseados
  • Usar Sophos Intercpt X, 

Protección
Es fundamental que instale todas las actualizaciones del sistema operativo disponibles para evitar el conseguir explotada por la vulnerabilidad MS17-010. Cualquier sistema que ejecuta una versión de Windows que no recibieron un parche para esta vulnerabilidad deben ser retirados de todas las redes. Si se han visto afectados sus sistemas, DOUBLEPULSAR tendrá también ha instalado, por lo que este también tendrá que ser eliminado. Una secuencia de comandos está disponible que remotamente se puede detectar y eliminar la DOUBLEPULSAR puerta trasera. Consumidores y empresas clientes de Malwarebytes están protegidos de este ransomware por la versión Sophos Intercept X
Sophos Intercept X añade tecnologías de última generación sin rmas a su sistema actual de seguridad endpoint para ofrecerle una protección multinivel completa.

Proteja el software vulnerable
La tecnología contra vulnerabilidades de seguridad detiene las amenazas antes de que supongan un problema: reconoce y bloquea los métodos habituales para introducir programas maliciosos, garantizando así la protección de sus endpoints contra amenazas desconocidas y vulnerabilidades de día cero.
Detección e caz de ransomware
La tecnología CryptoGuard detecta el cifrado espontáneo de datos maliciosos para detener en seco el avance de ransomware. Aunque se exploten o secuestren archivos o procesos de con anza, Sophos Endpoint Protection los detendrá y restituirá sin ninguna interacción por parte del usuario o del personal de soporte informático. CryptoGuard trabaja de forma silenciosa a nivel del sistema de archivos, haciendo un seguimiento de los equipos remotos y procesos locales que intentan modi car los documentos y otros archivos.
Análisis de causa raíz
Identi car los programas maliciosos y aislarlos y eliminarlos resuelve el problema inmediato. Pero, ¿sabe realmente lo que ha hecho el malware antes de eliminarlo,
o cómo se introdujo en primer lugar? El análisis de causa raíz le muestra todos los eventos que llevan a una detección. Podrá comprender qué archivos, procesos y claves de registro ha tocado el malware y activar la limpieza del sistema en profundidad para retroceder en el tiempo.
Añada protección de última generación a su seguridad tradicional
Sophos Intercept X complementa las implementaciones antivirus y anti-malware existentes con una potente protección de última generación contra vulnerabilidades de seguridad y ransomware de la que carecen los productos tradicionales. Al eliminar los vectores de ataque que las soluciones tradicionales no bloquean, Sophos Intercept X ayuda a reforzar el nivel de seguridad y aumentar la resiliencia.

Intercept X
Implementación y gestión simpli cadas
Administrar su seguridad desde Sophos Central signi ca que ya no tendrá que instalar o desplegar servidores para proteger sus endpoints. Sophos Central ofrece políticas predeterminadas y con guraciones recomendadas para garantizar que obtiene la protección más e caz desde el primer día.


Especi caciones técnicas
Sophos Intercept X admite Windows 7 y posterior, de 32 y 64 bits. Puede ejecutarse junto a Sophos Endpoint Protection Advanced, si se administra con Sophos Central. También puede ejecutarse en paralelo a soluciones antivirus y enpoint de terceros para añadir protección contra vulnerabilidades y ransomware y el análisis de causa raíz.


Cuatro pasos para lograr la protección
1. comuníquese con nosotros para comenzar su evaluación.
2. Cree una cuenta de administrador de Sophos Central.
3. Descargue e instale el agente de Intercept X.
4. Administre su protección a través de Sophos Central.
Como recomendación general, conviene que estés pendiente de los resultados que te ofrecen estas herramientas de seguridad informática para empresas y que lo hagas de forma periódica, ya que cualquier precaución es poca ante las ciberamenazas.


¿Pagar o no pagar?

Por último, surge la cuestión si las víctimas deben pagar o no el rescate. Sophos ha tomado principalmente una decisión neutral en el asunto. En un mundo perfecto, nadie debería pagar a los malos. Pero todo depende de la situación de las organizaciones, puede que se encuentren en la situación de que no les queda más remedio de tener que pagar.
En este caso parece que el pago del rescate no está ayudando a las víctimas. Por todo esto, el CTO de Sophos Joe Levy cree que pagar es una mala idea ya que no existe ninguna garantía de recuperar la información perdida, como es lo que parece que está ocurriendo en este caso.






¿Necesitas ampliar información y claves sobre seguridad informática? consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio, tanto a nivel de usuario como desde el punto de vista de empresa, mejorar la seguridad de tus equipos y dispositivos móviles.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330

Visitemos en: www.seguridadamerica.com


Fuente: https://www.sophos.com/es-es/products/intercept-x.aspx
·    



Comentarios

Entradas más populares de este blog

estrategia de comunicación digital

3 Razones para tener una CA interna que debe reconsiderar

Hacking