Kriter Blog

Recomendaciones CCN-CERT ante los ataques ransomware

Recomendaciones CCN-CERT ante los ataques ransomware

En nota publicada el 27.6.17 a las 20:35h  el CCN-CERT ante la nueva campaña ransomware detectada, hace las siguientes recomendaciones, con un nivel de alerta muy alto:

-El CCN-CERT recomienda la actualización a los últimos parches de seguridad de Office y de Windows.

-Extremar las precauciones para evitar acceder a correos o enlaces no legítimos. Además, se recomienda deshabilitar la ejecución remota de código. En este sentido, el CERT Gubernamental Nacional recuerda que dispone de dos Informes de Buenas Prácticas de Navegación Web (CCN-CERT_BP-06-16 Navegadores web) y Correo Electrónico (CCN-CERT_BP-02-16_Correo_electrónico), en los que se recomienda:

No abra ningún enlace ni descargue ningún fichero adjunto procedente de un correo electrónico que presente cualquier síntoma o patrón fuera de lo considerado normal o habitual.

No confíe únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual contacte con el mismo por teléfono u otra vía de comunicación para corroborar la legitimidad del mismo.

Antes de abrir cualquier fichero descargado desde el correo asegúrese de la  extensión y no se fíe por el icono asociado al mismo.

No habilite las macros de los documentos ofimáticos incluso si el propio fichero así lo solicita.

No debe hacerse clic en ningún enlace que solicite datos personales ni bancarios.

Tenga siempre actualizado el sistema operativo, las aplicaciones ofimáticas  y el navegador (incluyendo los plugins/extensiones instalados).

Utilice herramientas de seguridad para mitigar exploits de manera complementaria al software antivirus.

Evite hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido es recomendable buscar información del mismo en motores de búsqueda como Google o Bing.

Utilice contraseñas robustas para el acceso al correo electrónico. Las contraseñas deberán ser periódicamente renovadas. Si es posible utilice doble autenticación.

Cifre los mensajes de correo que contengan información sensible.

- Activación de "AppLocker" para bloquear la ejecución del programa "psexec" (herramienta incluida en la suite de Microsoft de sysinternals).

- Utilizar los Indicadores de Compromiso identificados que ya se están desplegando en los sistemas de alerta temprana del CCN-CERT.

- Aplicar las medidas de seguridad dispuestas en el informe del CCN-CERT contra el ransomware, en el que se incluyen pautas y recomendaciones generales y en el que se detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos, en este tipo de ataques:

El CCN-CERT recuerda que efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino.

En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

KRITER SOFTWARE, estando de acuerdo con las anteriores recomendaciones, añadiría: 

- La vital importancia de un correcto sistema de copias de seguridad y verificar diariamente el estado satisfactorio de dichas copias.

- Siempre se tendría que disponer de una rotación en los soportes de copia, para garantizar la NO sobreescritura de copias diarias, por lo que en caso de infección, se podría restaurar a fechas anteriores al desastre.

- Es esencial, tener desconectados del sistema informático, los soportes de copias que no se utilicen, así como disponer siempre de una copia externa, fuera de las instalaciones de la empresa.

Ver la NOTA COMPLETA