Els perills del ransomware, per l’Agència de Ciberseguretat de Catalunya
De la unió del terme anglès ransom (rescat) i ware (programari) en surt aquesta paraula que atemoreix tothom. I no és estrany perquè és un dels atacs a la ciberseguretat més estesos en els darrers anys i les empreses en són les seves principals víctimes.
El ransomware és un programa maliciós que arriba al destinatari, normalment, a través d’un arxiu adjunt o a través d’un enllaç atractiu, via correu electrònic o servei de missatgeria instantània. Però la sofisticació dels ciberdelinqüents fa que també hi hagi exemples de ransomware a través de suposades actualitzacions de sistemes, programes previsiblement fiables, o pàgines d’origen no certificat.
En cas d’haver estat víctima d’un atac de ransomware, hi ha dos preceptes bàsics que cal seguir escrupolosament:
1. Desconnectar l’ordinador de la xarxa (desmarcar l’opció de la wifi o treure el cable de xarxa).
2. No esborrar cap mena d’arxiu o iniciar cap operació. Moltes vegades, per desconeixement, es fa algun tipus d’acció amb voluntat terapèutica que acaba complicant encara més la recuperació de la informació.
L’única manera de fer una anàlisi de la situació i dels danys produïts es posar l’equip o el servidor en mans d’un expert professional capaç de trobar una solució. En alguns casos, en funció del tipus de codi maliciós que s’hagi fet servir, es pot recuperar totalment o parcialment la informació segrestada. En altres casos, però, esdevé impossible i els arxius són totalment irrecuperables.
Com actua?
– Infecta un usuari i, a partir dels seus permisos, actua al sistema operatiu i a la xarxa.
– Comença a xifrar totalment o parcial els arxius que té l’usuari a l’abast i/o aprofita vulnerabilitats no resoltes.
– Deixa inoperatius els dispositius que tinguem connectats via USB o en xarxa en aquell moment.
Solució?
Una clau que, evidentment, només posseeix el responsable d’aquest programari. Aquí és quan irromp el xantatge i l’extorsió: demanar una quantitat de diners determinada a canvi de la clau de desencriptació o de desxifrat. La recomanació és no pagar en cap cas i recórrer als professionals en la matèria.
Actualitzar sistemes operatius i programes per evitar escletxes de seguretat
Els sistemes operatius i els programes que fem servir habitualment en el nostre dia a dia laboral evolucionen. I els desenvolupadors treballen per millorar-los, no només des del punt de vista de rendiment, sinó també des del punt de vista de la seguretat. Les darreres actualitzacions de seguretat són absolutament imprescindibles perquè els nostres sistemes operatius i els nostres programes estiguin coberts de l’explotació de vulnerabilitats. Es fa imprescindible quan tenim una xarxa molt avançada realitzar auditories i comptar amb un sistema de monitorització.
Garantir còpies de seguretat: des del codi de la web fins als arxius de caràcter personal
En cas que hàgim estat víctimes dels efectes d’un atac via programari maliciós, el més important és tenir un pla de recuperació gairebé immediat. I això passa per una bona còpia de seguretat que ha de garantir que allò que hàgim pogut perdre pugui ser substituït en la seva totalitat (o pràcticament). Les còpies de seguretat són imprescindibles i s’han de fer periòdicament, a fi i efecte de tenir un control de tota la informació disponible.
Gestió correcta dels usuaris i dels permisos que s’atorguen per assegurar les dades
Respecte a la gestió d’usuaris es destaca la importància de realitzar-ne una correcta administració. Les rotacions de personal que experimenten les empreses fa indispensable la realització de les altes, així com les baixes, i les modificacions dels usuaris en els sistemes d’informació, de manera que s’evitin accessos no desitjats.
Si usem sistemes d’escriptori remot (RDP) ens obliga a prendre mesures indispensables:
– Contrasenyes fortes.
– Canviar els ports per defecte i usar un servidor de porta d’enllaç de RDP.
– Limitar l’accés als usuaris.
– Autorització de connexions IP.
– Autenticació a nivell de xarxa.
Procedència i revisió de correus electrònics
Els correus electrònics són una de les portes d’entrada del programari maliciós. És per això que, tot i els filtres antispam dels nostres servidors de correu, encara poden entrar missatges que, sota l’aparença de normalitat, amaguen algun tipus de frau. Cal tenir especial cura amb els enllaços externs que adjunten aquests correus, que ens poden portar a pàgines que introdueixin codi maliciós al nostre dispositiu. Per això cal comprovar la procedència d’aquests correus. Una manera ràpida i senzilla:
– Verificar que les adreces electròniques siguin fiables.
– Mantenir filtres en els proveïdors de correu.
– Evitar informació personal als correu.
Conscienciar el personal sobre els riscs de fer clic a enllaços i adjunts
Existeixen diverses mesures per prevenir els atacs que pretenen explotar el factor humà:
– La formació de tot l’equip és imprescindible.
– Comprovar la destinació dels enllaços que es reben.
– Actualitzar els navegadors.
– Deshabilitar les macros de programes (com ara Microsoft Office, per exemple).
Informar-se de les novetats en les variants de ransomware
La informació és bàsica. Tot i que no cal ser un expert de tot allò que es mou en l’àmbit de tendències de ransomware, és recomanable estar al cas de les darreres qüestions d’actualitat.
L’evolució dels ciberincidents fa que ja es parli, per exemple, de RaaS (acrònim de Ransomware-as-a-service), la qual cosa indica que es lluita contra un model de negoci molt desenvolupat al voltant d’aquests tipus de programari maliciós i que genera milions d’euros en pèrdues.