En anteriores post hemos hablado de los principales vectores de ataque por los que puede entrar el malware en una empresa o particular. También, hemos visto como identificarlos según su comportamiento. En este nuevo post, cerramos el círculo para traeros las buenas prácticas y técnicas para desinfectar y retirar el malware, así como los consejos de prevención para intentar no volver a ser víctimas de estos ataques.
Recordemos de nuestro anterior post, que el objetivo de un atacante se puede clasificar en uno de los tres grupos siguientes: El robo o filtrado de información, el daño a la imagen de la empresa y la denegación de servicio, teniendo como objetivo trasversal el posible ánimo de lucro realizando estas acciones. Para prevenirnos de los ataques, igualmente, podemos agrupar las medidas de prevención en los siguientes puntos:
Formación y concienciación: Informar a los empleados de las buenas prácticas en el uso de contraseñas, uso del correo coorporativo, protección básica de sus dispositivos y aprendizaje en la identificación de ataques así como conocimientos de como actuar ante ellos. Recordemos que el punto más vulnerable y principal vector de ataque de una empresa no son las vulnerabilidades tecnológicas sino los propios empleados (fallo humano) por lo que es clave que estén concienciados y formados en ciberseguridad. Actualmente, la formación en ciberseguridad es un requisito del recientemente implantado RGPD.
Protección de accesos: El ciberataque puede aprovechar una vulnerabilidad a nivel de hardware o software y en concreto, a nivel de software, suelen centrarse en los considerados puntos de acceso. Por ejemplo, los puntos de acceso a una web son los formularios de contacto o los paneles login y de registro. Los puntos de acceso a un ordenador o servidor pueden ser los periféricos y dispositivos de almacenamiento externo o cualquier servicio de conexión remota al servidor (FTP, SSH, RDP, etc) así como la instalación de software no controlada y contrastada y por último, los puntos de acceso a una red son los routers y puntos wifi. La correcta protección de los accesos a estos elementos será clave para prevenir la entrada de malware.
Mantente actualizado: Como mencionamos en nuestros anteriores post, uno de los principales vectores de ataque es el software desactualizado. Es requisito primordial de una empresa contar con procedimientos y políticas de actualización tecnológica que permita asegurar que la empresa no cuenta con hardware o software vulnerable debido a la falta de actualización o aplicación de parches.
Software oficial, nunca pirata: Las facilidades que permite la red de encontrar las “versiones gratuitas” de software de pago provocan que muchas veces se descargue software gratuito considerado como pirata o ilegal en lugar de asumir los costes de licencias o productos. Este tipo de acciones, además de ser un delito, suponen asumir un riesgo que a la larga provocará un daño mayor a la empresa debido a la alta posibilidad de que el software descargado contenga algún tipo de malware, lo que se conoce como troyanos (software que aparenta ser legítimo pero que en realidad contiene código malicioso). Para prevenirlo, lo fundamental es obtener el software de los repositorios oficiales y siempre de forma legal.
Privacidad en las comunicaciones: Asegurar que la comunicación se realiza en todo momento de forma segura, comprobando por ejemplo que la introducción de credenciales o navegación se realizan a través de HTTPS (protocolo cifrado) o evitando utilizar redes públicas para acceder a información sensible como información de tu empresa, datos bancarios o similares. De esta forma, evitaremos ataques de tipo sniffing que puedan robar información esnifando nuestras comunicaciones.
Tras comentar las principales medidas de prevención, vamos a ver, teniendo en cuenta los ataques de nuestro anterior post, como combatirlos para eliminar la amenaza lo antes posible de nuestro equipo o empresa. Si te perdiste nuestro post sobre identificación de ataques, te animamos a leerlo.
Ransomware
Una vez ejecutado el ransomware, podemos pensar que solo nos quedan dos opciones, rezar por que las copias de seguridad funcionen y poder recuperar la información cifrada o pagar a los cibercriminales por el rescate que piden a cambio de devolvernos la información. A continuación, explicamos las técnicas básicas para intentar recuperarnos de un ataque ransomware:
Eliminar el malware: Algunas versiones de ransomware, una vez cifrado el equipo, desaparecen sin dejar rastro. Otras sin embargo, se quedan en un segundo plano esperando a que el usuario introduzca nueva información para cifrarla y de esta forma, estár continuamente cifrando el equipo. Por ello, lo primordial, una vez aislamos y frenamos el cifrado de información es detectar y eliminar cualquier rastro de malware mediante alguna herramienta de desinfección. Aunque ante cualquier duda, siempre será mejor formatear el equipo.
No des por perdida la información: Aunque la decisión correcta es no pagar el rescate, ya que estaríamos negociando y sucumbiendo al juego de los cibercriminales, no por ello significa que perderemos la información en caso de no tener copias de los ficheros. Si ese es tu caso, te aconsejamos no destruir los archivos cifrados ya que cabe la posibilidad de que existan herramientas que puedan descifrarlos. Esto es debido a que no todo el ransomware que circula por la red cuenta con mecanismos de cifrado robustos y por tanto su cifrado es fácil de romper. Otros en cambio, puede que guarden la clave de cifrado en tu equipo y de esta forma sea posible descifrar los archivos. Si has sido víctima de ransomware, contacta con un experto que identificará la familia de malware de la que has sido víctima y poder evaluar si en la actualidad, es posible recuperar tu información.
Aislar el equipo: Para evitar que la amenaza se extienda (ya que existen versiones de ransomware que pueden saltar entre diferentes equipos) aisla la máquina infectada de la red y no conectes pendrives o discos duros si no quieres arriesgarte a que también sean cifrados. Esta medida no elimina el malware pero evita su propagación por otros dispositivos.
Botnet
Una vez hemos identificado la posible sospecha de que somos parte de una botnet. El procedimiento para limpiar el equipo es el siguiente:
Identificación y eliminación del proceso: Si nuestra herramienta de detección o nuestra sospecha confirman que podemos estar infectados con una botnet, lo principal es identificar el proceso o servicio que está conectando remotamente con el cibercriminal. Recordemos que una botnet la forman un servidor de control (C&C) monitorizado por el ciberatacante y muchos equipos infectados que de alguna forma mantenienen la conexión con dicho servidor, por lo tanto, identificar, cerrar y eliminar el proceso o servicio que manteniene la conexión es la clave para quitarnos de la botnet. Para ello, podemos usar multiples recursos como por ejemplo:
- Las herramientas del propio sistema operativo para monitorizar los procesos (el conocido como administrador de tareas) e identificar los procesos sospechosos.
- Herramientas de monitorización en tiempo real del equipo que permitan identificar el momento exacto en el que se ha ejectuado el nuevo proceso.
- Identificar los procesos que se ejecutan automáticamente, ya que muchas veces, para mantener la conexión con los equipos los procesos se autoejecutan tras apagar o reiniciar el ordenador, pudiendo identificar a nivel técnico este tipo de comportamiento mediante el registro del sistema.
- Ten en cuenta que existe software sofisticado que puede ocultarse en el sistema y aunque se elimine el proceso de conexión, este vuelva a generar el proceso. Una técnica que ayuda a identificar este tipo de comportamiento es explorar los archivos ocultos, habilitando esta opción en el sistema operativo.
Herramientas Anti-botnet: En nuestro anterior post hablamos del plugin Anti-botnet de INCIBE el cual permite identificar infecciones de botnet. Para eliminarlo, el propio INCIBE cuenta con un apartado en su web dedicado a combatir este tipo de malware llamado servicio Antibotnet donde se recogen las principales familias y clases de botnet, su comportamiento y como combatirlas. Este servicio cuenta con un apartado de cleaners que se pueden descargar y usar en el equipo para detectar y desinfectar este malware. tiThink, ha participado activamente en el servicio antibotnet, analizando para INCIBE más de 20 cleaners gratuitos y utilizando más de 280 muestras distintas de botnet para obtener el porcentaje de desinfección, dando como resultado el portal de desinfección de botnet.
Defacement
Para eliminar un malware de una página web, recomendamos una auditoría de desinfección que garantice que no queda rastro del malware en la página. Pero hay algunos trucos y técnicas que puedes aplicar para intentar limpiar un ataque defacement:
Monitorizar los cambios en la web: Ya hablamos en anteriores ocasiones que un buen método para detectar contenido introducido sin nuestro consentimiento es utilizar monitores de actividad que registren nuevos cambios. Si tenemos un plugin de estas características en nuestra web, podremos detectar y por tanto intentar eliminar el problema sabiendo qué día, hora y qué archivos y carpetas han ocasionado la entrada del malware y posterior ataque defacement. Por otro lado, los monitores de actividad, también permiten identificar los intentos de acceso a la web y comprobar cual ha sido el vector de ataque para solucionarlo, por ejemplo, identificando un acceso del usuario administrador no contrastado que podría dar a entender que la contraseña de administración ha sido vulnerada.
Plugins anti malware: Al igual que un antivirus, en las principales soluciones de CMS (WordPress, Prestashop, Drupal, etc) podemos encontrar plugins que permitan realizar un escaneo de malware en tu sitio web para identificar el fragmento de código malicioso que ha podido vulnerar la página.
Restauración de copias de seguridad: Una medida rápida para luchar contra un cambio malintencionado en nuestra web es recuperar una versión anterior de la web mediante una copia de seguridad de la misma. Esta medida solo permite restaurar la versión sin vulnerar de la web, pero no quiere decir que la vulnerabilidad desaparezca, y puede que la web vuelva a ser atacada igualmente, por lo que es primordial no solo restaurar la web, sino identificar el vector de ataque.
Recurre a expertos
La desinfección de un malware en ocasiones no es una tarea trivial que finalice eliminando un archivo, parando un proceso o quitando una carpeta. El software cada vez más sofisticado hace que sea necesario el papel de un experto en ciberseguridad que analice el caso e identifique y retire la infección con garantias. Desde tiThink apostamos por la necesidad de este servicio y por ello, ofrecemos nuestros servicios de análisis y desinfección con la ayuda de nuestros consultores en ciberseguridad. No dudes en contactar con nosotros para estos casos.
Suscríbete a nuestro boletín de noticias para estar enterado de todos nuestros consejos y noticias en ciberseguridad. Pronto publicaremos otro post que supondrá el tercero de esta triología de post relacionados con los ciberataques donde hablaremos de las principales medidas de prevención y desinfección, así como las buenas prácticas para hacer todo lo posible por ponérselo difícil a los ciberatacantes.
