¡Alerta Phishing!

Periódicamente nos vemos obligados a recordar a nuestros clientes lo importante de permanecer alerta ante posibles ataques a sus sistemas mediante estrategias de Phishing. Lo último ha sido la puesta en circulación de una serie de correos electrónico fraudulentos, que aparentemente son generados por la herramienta de Office 365 "Teams", aunque a estas horas, ya se han detectado variantes en otros componentes de Office 365 como SharePoint. En estos emails se solicita al remitente que se una a un grupo de Teams, que aparentemente ha generado la propia empresa a través de esta aplicación. Al revisar el origen del correo, puede comprobarse fácilmente que se trata de un fraude, ya que la dirección del remitente poco o nada tiene que ver con la de nuestra organización. Comparando las dos imágenes siguientes puede verse con claridad:

 

Phishing 1

 

Phishing 2

¿A qué tipo de amenazas nos estamos enfrentando? Ransomware - Cryptolocker

Por desgracia, todo el mundo sabe ya lo que es Cryptolocker, bien porque ha sido víctima de este ataque o porque conoce a alguien que lo ha sufrido… La realidad es que en los últimos años hemos asistido a numerosas oleadas de este tipo de ataques “Ransomware”, que cifra los datos del PC del usuario y, en muchas ocasiones, los almacenados en los dispositivos de red de toda la organización, solicitando una contraprestación económica para recuperarlos.

¿En qué consiste y cómo se produce la infección?

Ransomware es un tipo de malware que, una vez que infecta el ordenador, bloquea (secuestra) la máquina y chantajea a la víctima para que esta recupere el control del equipo. Cryptolocker, es un tipo de Ransomware (el más conocido) que encripta los ficheros locales y almacenados en la red a los que tiene acceso el usuario pidiendo un rescate para poder recuperarlos. Sus ataques se dieron a conocer a finales del 2013 y, desde entonces, este malware sigue en constante evolución infectando y encriptando la información de los PCs y servidores con un número de víctimas que va en aumento.

El medio empleado para realizar el ataque es principalmente el correo electrónico. El atacante suplanta la identidad de un remitente de confianza para el usuario, envía un correo electrónico que contiene un enlace o un archivo adjunto que, si se abre, provoca la infección. Entre las múltiples variantes detectadas estos años, se han hecho muy famosas aquellas que simulaban un email de Correos informando de un paquete que no ha podido ser entregado, diversos emails que simulan notificaciones de Hacienda, un email de Endesa avisando de una factura de elevado importe… y en esta ocasión, una invitación para unirse a un grupo de Teams. En el cuerpo del mensaje aparece un enlace para poder unirse a dicho grupo; Si se pincha sobre él, se produce la infección. Posteriormente, el atacante solicita una contraprestación económica para proceder a desencriptar la información.

¿Tiene solución? ¿Por qué no lo detectan los antivirus?

Cryptolocker no es un virus en sí mismo. Un ataque de tipo Ransomware consiste en la ejecución de un software de encriptación de ficheros por parte del usuario. Es decir, es el usuario (de forma inconsciente o no) quien provoca el ataque, quien pone en marcha todo el proceso de encriptación de la información. Sin la acción del usuario, no se produce un ataque. Por esa razón, la principal medida para evitar ataques es la formación y concienciación.

De todas formas, poco a poco los sistemas de detección de virus, tanto en el puesto de trabajo como en los dispositivos perimetrales, van siendo capaces de detectar las infecciones, basándose no tanto en la detección del virus en sí mismo, sino de los comportamientos asociados a la existencia del virus. Por ejemplo, es normal que un usuario cifre un archivo, pero no es tan normal que cifre todo un directorio del servidor. Ante este funcionamiento, y sumándole su constante evolución, la eficacia de los sistemas de seguridad o antivirus ante esta amenaza es limitada. Adicionalmente, desencriptar archivos es hoy en día prácticamente imposible debido a los fuertes algoritmos de cifrado que se emplean.

Por lo tanto, si somos víctimas de una infección, la única forma de recuperar la información será a través de las copias de seguridad.

¿Cómo prevenir una infección?

Estas amenazas perseguirán explotar la principal vulnerabilidad de seguridad de cualquier organización: el usuario. Por lo tanto, es vital (más aún lo será en un futuro) formar al usuario y lograr su compromiso en la correcta utilización de las herramientas informáticas que la empresa pone a su disposición.

En el caso concreto de Cyrptolocker, informe a los usuarios de:

- No abrir y eliminar cualquier correo sospechoso.

- Evitar descargar archivos cuyos enlaces estén indicados en el cuerpo de un correo y que no vengan de personas de confianza. Si existen dudas, revisar si en el correo existen caracteres extraños en vez de tildes o errores ortográficos como que las “ñ” vengan como “n”. Si es así, no abrir los posibles adjuntos ni pulsar en los enlaces.

- Nunca abrir archivos adjuntos .zip o .exe si el origen no es de nuestra confianza ni tampoco pinchar sobre enlaces que aparezcan en el cuerpo del correo.

Por otro lado, obviamente debemos reforzar los sistemas de seguridad de la empresa, adoptando las siguientes medidas básicas:

- Mantenga sus sistemas actualizados. Haga que sus sistemas, sobre todos los más expuestos (cortafuegos, antivirus, antispam, etc.), se mantengan lo más actualizados posibles. Las nuevas versiones incluyen siempre más medidas de seguridad que las versiones antiguas.

- Mantenga su antivirus y antimalware siempre actualizado. Muchos de los programas troyanos que estos hackers utilizan para controlar los sistemas que atacan son localizados por este tipo de software de seguridad.

- Disponga siempre de copias de seguridad. En caso de que seamos víctimas de un secuestro de la información, la única forma de recuperar nuestros datos será disponer de una copia de seguridad. Revise que se tiene implantada una buena política de backup y, lo más importante, que se está cumpliendo. De nada sirve copiar siempre sobre el mismo dispositivo o medio.

Es importante resaltar que, incluso siguiendo todas estas recomendaciones y más, la seguridad al 100% no existe y, si somos el objetivo de uno de estos grupos de delincuentes, lo único que podemos esperar es que se den cuenta de que el esfuerzo que tienen que dedicar para convertirnos en sus víctimas es superior a la recompensa que por ello puedan obtener.

¿Qué debemos hacer si somos atacados?

Si se produce el ataque, se debe apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red. Existen herramientas facilitadas por los fabricantes de soluciones de seguridad que posibilitan en algunos casos la recuperación de la información, pero la constante evolución de Cryptolocker hace que hasta el momento, no hayan resultado demasiado efectivas. Por lo tanto, como se describe anteriormente, en caso de sufrir un ataque, la única vía segura de recuperar la información será a través de las copias de seguridad, conviene destacar la importancia de disponer de una adecuada política de seguridad en la empresa.

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

No hay comentarios

    X