PUNTS CLAU A TENIR EN COMPTE PER PREVENIR ELS DANYS PROVOCATS PEL RANSOMWARE

/in /per

La importància de les còpies de seguretat

Partint de la base que la finalitat principal d’el ransomware és xifrar la informació de les seves víctimes per fer-la inaccessible a menys que es pagui un rescat, comptar amb còpies de seguretat que poder restaurar en cas de patir un incident d’aquest estil és vital. No obstant això, moltes empreses no disposen encara de còpies de seguretat de la informació que és vital per seguir treballant amb normalitat o aquestes no es troben en bon estat.

A més, els delinqüents solen tenir com a objectiu també les còpies de seguretat, de manera que si aquestes són accessibles des de la xarxa que pateix aquest atac, és més que probable que també acabin sent xifrades pel ransomware. Per aquest motiu és important comptar amb diverses còpies de seguretat actualitzades en diferents ubicacions, preferiblement que no estiguin connectades a la xarxa corporativa.

A més de comptar amb aquestes còpies de seguretat és important comprovar que s’estan fent bé, el seu estat i saber com restaurar-les de forma efectiva. No serveix de res comptar amb un o diversos backups si després no sabem o no podem restaurar per recuperar-nos d’un incident de seguretat i seguir treballant amb normalitat.

Tampoc hem d’oblidar que el xifrat de la informació és només una part dels atacs que solen involucrar el ransomware. Els delinqüents també poden robar la informació confidencial de l’empresa abans de xifrar i amenaçar amb difondre-si no accedeixen a el pagament de l’rescat sol·licitat, el que ens porta a revisar també altres aspectes claus de la seguretat.

 

Protegir l’accés a la informació

Si els delinqüents aconsegueixen robar i xifrar la informació és perquè primer aconsegueixen accedir-hi. Per aquest motiu és important limitar l’accés a la informació més important únicament a aquells usuaris que necessitin accedir-hi i limitar aquest accés a la resta d’usuaris. Això es pot aconseguir aplicant polítiques de permisos més restrictives del que se sol trobar en la majoria de les empreses i incorporant solucions com el doble factor d’autenticació, de manera que encara que les credencials d’un usuari es vegin compromeses, no puguin ser utilitzades per un atacant per accedir a la xarxa interna de l’empresa i que aquest pugui robar i xifrar la informació.

Precisament, perquè una filtració d’informació confidencial no suposi un problema en cas que es produeixi, hi ha solucions que permeten el xifrat segur i eviten que un delinqüent ens pugui extorsionar amb fer pública la informació robada, ja que no es pot accedir-hi si no es coneix la clau de seguretat establerta prèviament. De la mateixa manera, segmentar adequadament les diferents xarxes de l’empresa evita que els delinqüents accedeixin a seccions de la companyia que contenen informació important només infectant el sistema d’un usuari que treballa en un departament que no hauria de tenir accés a aquestes dades.

D’aquesta manera, amb la creació i manteniment de còpies de seguretat i el xifrat segur de les dades s’eliminarien les dues principals bases amb què compten els delinqüents a l’hora d’extorsionar les empreses que han estat víctimes d’aquest tipus d’atacs. No obstant això, es pot millorar més la seguretat per evitar fins i tot que l’atac arribi a bon port fins en les seves fases inicials.

 

Vigilant l’email i els accessos remots

Fins a aquest punt hem parlat de mesures que ajuden a mitigar l’impacte produït per un ransomware i de el robatori i filtració d’informació que sol venir associada. No obstant això, és possible incorporar mesures i processos de seguretat que permeten la detecció d’aquest (i molts altres) tipus d’incident abans si més no que pugui començar a causar problemes.

A la part de l’correu electrònic és important que el servei estigui degudament configurat i compti amb les suficients mesures de seguretat per detectar possibles enllaços o fitxers adjunts sospitosos abans que aquests siguin oberts pels usuaris.

Per la seva banda, a l’hora de protegir l’accés remot, es poden afegir capes d’autenticació addicionals, tant si s’utilitza una VPN per accedir a la xarxa interna com si estem fent servir RDP per treballar remotament en sistemes que es troben dins de la xarxa corporativa. Això dificulta l’accés remot dels atacants, ja sigui perquè aconsegueixen les credencials dels usuaris mitjançant tècniques de phishing o robándolas usant troians i eines de control remot de forma maliciosa.

Monitoritzant vulnerabilitats i comportaments sospitosos

Es veu que en incidents recents, no només és important mantenir actualitzat el nostre sistema operatiu, sinó també totes les aplicacions que utilitzem en els equips de la nostra xarxa corporativa.

Així mateix, és important conèixer què està passant en els equips de la nostra xarxa i buscar comportaments sospitosos fins i tot d’eines pròpies de sistema, com PowerShell. Fa anys que els delinqüents van aprendre a fer servir aquest tipus d’eines per tractar de no aixecar sospites durant els seus atacs, de manera que disposar d’una solució que sigui capaç d’alertar quan es detecten, a l’una de comptar amb especialistes que sàpiguen identificar i catalogar aquest tipus d’esdeveniments sospitosos, resulta indispensable a l’hora de bloquejar a temps tot tipus de ciberatacs.