El CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país. No es la primera vez que el CCN-CERT, Centro Criptológico Nacional, publica guías sobre seguridad informática y sobre cómo protegerse de las principales amenazas que aparecen en la red.





En esta ocasión, el CCN-CERT se ha centrado en el ransomware, el que probablemente es el tipo de malware más peligroso de los últimos años y que, por desgracia, cada vez es más habitual, más agresivo y cuenta con un mayor número de variantes, prácticamente imposibles de detectar por los sistemas de seguridad actuales.



Si algún usuario aún no lo conoce, el ransomware es un nuevo tipo de malware que se encarga de cifrar los archivos con una clave privada y pide el pago de una cantidad de dinero (bastante alta, por lo general) a cambio de la clave de manera que, o se paga dicha cantidad a cambio de la clave (un rescate) o los datos se pierden para siempre. Uno de los primeros ransomware conocidos ha sido el famoso virus de la policía, un malware que bloqueaba el ordenador e intentaba engañar al usuario con una falsa denuncia de que realizara un pago o, de lo contrario, su ordenador quedaría bloqueado y tendría que pagar más adelante una multa mucho más cara. Este malware no suponía ningún peligro para los datos, sin embargo, en poco tiempo este malware fue mejorado y se le introdujo un módulo de cifrado que se encargaba de cifrar los datos de manera que, o se pagaba el rescate, o estos se perdían para siempre.

Con el paso del tiempo, este tipo de software no deseado ha ido mejorando su algoritmo y ocultando, cada vez más, tanto el servidor de control como la cartera de Bitcoin donde hay que realizar el pago, pago que no siempre nos garantiza la recuperación de los datos.

Para ayudar a protegernos de este malware, el CCN-CERT ha publicado un documento, bajo el nombre “Informe de Amenazas IA-01/16 Medidas de seguridad contra Ransomware“, con el que quieren ayudan a evitar ser víctimas de este malware y cómo poder hacer frente a esta amenaza en caso de que, finalmente, terminemos víctimas de ella.

El Sistema de Alerta Temprana en Internet (SAT-INET) detectó el pasado año un 150% más de ataques informáticos de este tipo (un total de 500) respecto a 2014 (200).

Podemos descargar el informe de seguridad contra el ransomware de forma totalmente gratuita desde la web principal del CCN-CERT.

• https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1384-ccn-cert-ia-01-16-medidas-de-seguridad-contra-ransomware/file.html

Tabla de ransomware posible de descifrar

Cómo evitar infectarnos y cómo responder ante un ataque de ransomware

Según este documento de seguridad, la forma más habitual de distribuir ransomware es a través del correo electrónico, donde un pirata informático utiliza técnicas de ingeniería social para hacer que el receptor del correo electrónico descargue y ejecuta un archivo adjunto en el correo, archivo que se encargará de descargar el software no deseado e infectar el equipo.

Otras formas de infectarse es a través exploits que aprovechan vulnerabilidades en software desactualizado, mediante otro malware controlado por un pirata informático y a través del protocolo RDP, donde un pirata informático puede conectarse de forma remota a nuestro PC e instalar manualmente el malware.

Según el documento, también debemos tener en cuenta 13 medidas para prevenir, detectar y/o mitigar parcialmente la acción de un ransomware:

• Realizar copias de seguridad de los archivos más importantes.
• Mantener el sistema actualizado siempre con los últimos parches de seguridad.
• Disponer de un antivirus actualizado, así como de un firewall actualizado.
• Disponer de un filtro antispam en el correo electrónico.
• Configurar políticas seguridad en el sistema para impedir que se ejecuten programas desde directorios utilizados por malware.
• Bloquear todo el tráfico con dominios conocidos utilizados por los servidores C&C.
• Configurar una segunda línea de defensa en Windows con programas como EMET.
• Si es posible, evitar el uso de cuentas de administrador.
• Controlar el acceso a las diferentes unidades de red.
• Utilizar extensiones que bloqueen el Javascript en los navegadores.
• Mostrar siempre las extensiones de los archivos, pudiendo detectar fácilmente aquellos con la conocida “doble extensión”.
• Podemos instalar algunas aplicaciones específicas para detectar y bloquear el malware según su comportamiento.
• El uso de máquinas virtuales reduce la repercusión de este malware.

En caso de ser víctima de este malware, lo mejor es comprobar si nuestra versión ha sido comprometida y permite la recuperación de los archivos con algún programa específico y, de no ser así, se recomienda no pagar nunca ya que es probable que perdamos tanto nuestros datos como nuestro dinero.

Fuente:
http://www.redeszone.net/2016/02/08/el-ccn-cert-esta-preocupado-por-el-ransomware-y-publica-una-guia-para-defenderse-de-el/