En el mes de abril 2019 una conocida empresa de hosting en los Estados Unidos estuvo sometido a un intenso ataque de Ransomware en sus servidores Windows. Miles de sus clientes han estado offline más de una semana, con pérdidas millonarias no solo para la compañía de alojamiento web sino para los clientes o usuarios finales, que han visto como su esfuerzo no solo de generar contenido sino que, todos sus contenidos, páginas web y bases de datos han sido secuestrados y encriptados, pidiendose recompensa por recuperar su propia información.Se dice que el Ransomware involucrado es GlobeImposter (de la cual hay muchas variantes y que suele tomar control de las máquinas donde se abre, generalmente en un adjunto en un correo electrónico), que se instala a través de RDP (protocolo de escritorio remoto, un vector de ataque por fuerza bruta) , también puede ser la razón por la cual el proveedor de hosting ha deshabilitado el acceso RDP a sus servidores después del ataque. Una vez que un atacante obtiene acceso administrativo a través de un ataque de fuerza bruta en un puerto RDP vulnerable, el sistema se ve comprometido y puede introducir malware y / o usar herramientas de acceso remoto para hacer casi cualquier cosa
Problemas
El problema inicial es la pérdida de información por supuesto que si, pero lo alarmante es que a pesar de suceder con tanta regularidad este tipo de intrusiones, los webmasters y dueños de sitios web no implementen de forma preventiva una política de backups o copias de seguridad. Es como los seguros de vida, es importante adquirirlos cuando se está vivo, cuando no se necesitan y no esperar a situaciones extremas para adoptarlos. Reconstruir sitios web cuando no se cuenta con copias de seguridad recientes es una labor casi que imposible. ¿Cuánto dinero está dispuesto a perder para decidirse a tomar medidas preventivas básicas como un Almacenamiento o backup remoto.
A nivel de prevención, ¿qué podemos hacer?
Lista de verificación de endurecimiento de Windows Server
Históricamente, los esfuerzos de prevención de ransomware se enfocaban donde las infecciones casi siempre se originaban : dispositivos de punto final. Pero esta estrategia puede ser inadecuada para proteger los recursos de Windows Server. La mejor manera de bloquear el ransomware es practicar la defensa en profundidad y envolver a la organización en múltiples capas de protección. Primero, equipe los puntos finales de la red con software antimalware de calidad y bien mantenido . Si bien es una buena medida preventiva, la mayoría del software antimalware se basa en firmas de malware. El nuevo malware sale a una velocidad constante, lo que hace que no sea realista depender del software antimalware basado en firmas para obtener una protección completa contra el ransomware.
A continuación, los administradores deben bloquear el uso de aplicaciones no autorizadas, scripts y archivos ejecutables en dispositivos de punto final a través de una política de restricción de software a través de la Política de grupo o Device Guard . Las herramientas de terceros pueden incluir en la lista blanca las aplicaciones autorizadas y evitar que se ejecuten otras.
Por último, ejecute la gestión integral de parches con puntos finales. Mantener el sistema operativo y las aplicaciones parcheadas evita que el malware explote fallas de seguridad.
Bloquear el servidor de Windows
Los administradores normalmente no usan navegadores web o clientes de correo en servidores de red, lo que ayuda a prevenir el ransomware. Pero si un punto final de la red sucumbe al malware, existe la posibilidad de que los contenidos del servidor también puedan ser vulnerables.
Ajustar privilegios de usuario
Windows Server es vulnerable al ransomware a través de archivos compartidos . Si el dispositivo de un usuario se infecta con ransomware, puede cifrar los datos en el dispositivo del usuario y usar los permisos para cifrar el contenido de cualquier unidad del servidor de archivos asignada a ese dispositivo.
Los administradores pueden evitar que el ransomware acceda a los archivos en los servidores de la red al evitar el uso de los servidores de archivos tradicionales. Por ejemplo, almacene archivos dentro de una biblioteca de documentos de SharePoint para ofrecer un grado adicional de protección, siempre y cuando los puntos finales de la red no tengan una unidad asignada a la biblioteca.
Comentários