Ante el incremento continuado de este tipo de ataques, el CCN-CERT ha actualizado y publicado su Informe de Amenazas IA-21/14 Medidas de seguridad contra Ransomware cuyo objeto es dar a conocer determinadas pautas y recomendaciones de seguridad que ayuden a prevenir y gestionar incidentes derivados de un proceso de infección a través de Ransomware, así como el método de desinfección de cada espécimen o los pasos necesarios para recuperar los ficheros afectados.

SOBRE CCN-CERT

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN. Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad.

De acuerdo a todas ellas, el CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas.

Misiones y objetivos

• Soporte y coordinación para el tratamiento de vulnerabilidades y resolución de incidentes
• Investigación y divulgación de mejores prácticas (Guías CCN-STIC )
• Formación al personal de la Administracion especialista en ciberseguridad
• Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas

¿Qué es un CERT?

El término CERT proviene de las siglas en inglés Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio. También es conocido por las siglas CSIRT (Computer Security and Incidente Response Team) y ofrece servicios de respuesta ante incidentes y de gestión de seguridad.

“Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate”.

• El objeto del informe es dar a conocer determinadas pautas y recomendaciones de seguridad que ayuden a prevenir y gestionar incidentes derivados de un proceso de infección a través de Ransomware, así como el método de desinfección de cada espécimen o los pasos necesarios para recuperar los ficheros afectados.

• Vías de infección, medidas preventivas, restauración de ficheros y análisis de los principales tipos de ransomware, incluida su variante más agresiva como el Cryptoware, son los principales aspectos abordados en el informe. 

El CCN-CERT ha actualizado y hecho público su Informe de Amenazas CCN-CERT IA-21/14 Medidas de seguridad contra Ransomware en el que da a conocer determinadas pautas y recomendaciones de seguridad para ayudar a prevenir y gestionar los incidentes de este tipo, cada día más numerosos y agresivos.  Tal y como recoge el informe, en los últimos años, las acciones dañinas de este tipo de malware han ido evolucionando dando lugar a una nueva generación de ransomware denominados "file encryptors", cuyo principal objetivo es cifrar la gran mayoría de documentos del equipo. En este caso, la principal herramienta de extorsión será el pago de cierta cantidad de dinero a cambio de la clave que permitirá recuperar (descifrar) los ficheros originales. Las acciones ofensivas de ciertos tipos de ransomware pueden resultar muy dañinas y en un entorno corporativo pueden ser devastadoras, con consecuencias que pueden agravarse aún más si se cuenta con dispositivos de backup directamente conectados con el equipo infectado, ya que algunos tipos de ransomware comprueban cada una de las unidades montadas así como recursos compartidos de red para cifrar también su contenido.



El informe del CCN-CERT cuenta con siete interesantes capítulos:

1. Vías de infección:  Uso de mensajes de Spam/phishing, Web Exploit Kits, Por medio de otro malware, Servicios RDP

2. Medidas preventivas  Mantener copias de seguridad periódicas de todos los datos importantes, se recomienda mantener el software correctamente actualizado, se recomienda mostrar las extensiones para tipos de ficheros conocidos, No utilizar cuentas con permisos de administrador

3. Restauración de ficheros: Shadow Volume Copy

4. Restauración de ficheros: Dropbox

5. Análisis de Ransomware:

a. Cryptolocker

b. Cryptowall

c. Cryptodefense

d. Torrentlocker

e. Cryptographic Locker

f. Bat_cryptor

g. CTB-Locker

h. Zerolocker

i. Cryptofortress

6. Tabla resumen

7. Referencias

CCN-CERT (8-04-2015)

Pueden descargarse el informe en el siguiente enlace:

https://www.ccn-cert.cni.es/publico/dmpublidocuments/CCN-CERT_IA-21-14_Ransomware.pdf


Fuente:
https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3861%3Amedidas-de-seguridad-contra-ransomware&catid=62%3Acomunicados-ccn-cert&Itemid=86&lang=es