Desde hace algún tiempo las infecciones con virus se han convertido en un negocio, han pasado de ser simples travesuras de geeks aburridos y sin vida social, a ser parte de una trama de ataques para obtener un beneficio. Tal como explica nuestro compañero Juan Antonio Gallego en el blog de Security by Default (http://www.securitybydefault.com/2013/04/tres-grandes-amigos-blackhole.html), muchas veces el virus es la guinda del pastel, cuando se nos ha colado es que ya hemos recibido varios ataques y si vemos que nuestros archivos se han cifrado… poco podemos hacer, únicamente restaurar nuestras copias de seguridad.
En las primeras versiones de ransomware, los archivos se cifraban de una manera lo suficientemente sencilla como para poderse descifrar, habitualmente con utilidades que necesitaban de algún archivo original. Sin embargo en las últimas, se cifra con AES256, imposible de descifrar a día de hoy. Un buen ejemplo de cómo funciona AES lo podemos encontrar en la siguiente presentación ( http://www.slideshare.net/txipi/una-guia-para-entender-advanced-encryption-standard-aes-con-munecos-de-palo), AES256 es el algoritmo de cifrado utilizado profesionalmente por la mayoría de las empresas de software. En la siguiente tabla, podremos hacernos una idea de lo que se tardaría en descifrar AES256 mediante fuerza bruta con las máquinas que tenemos hoy en día.
Llegado este punto queda demostrado que, ante un cifrado como el que realizan las últimas versiones de ransomware, es imprescindible restaurar las copias de seguridad para poder recuperar nuestros archivos originales. Para intentar evitar este tipo de infecciones, debemos empezar desde el principio:
- Una buena política de backup, lo cual implica tener las copias en un lugar seguro y por supuesto NUNCA EN EL MISMO SERVIDOR. El objetivo de una copia de seguridad es tenerla disponible no solo si los datos se pierden o, como en este caso, se cifran, también es necesario tenerla disponible si se nos quema la máquina o somos víctimas de algún robo, en estos caso, almacenar las copias en un disco duro USB siempre conectado a la máquina, no es la mejor idea.
- Antes de llegar a nuestras máquinas hay que proteger nuestra red, debemos colocar elementos que la filtren y nos corten posibles ataques posteriores; por ejemplo, un buen UTM que nos filtre el tráfico.
- VPN: Si realizamos conexiones remotas debemos de continuar protegiendo nuestra red, así que es imprescindible conectarse mediante VPN. Una conexión insegura sin túnel que nos proteja es un riesgo que no es necesario correr.
- Evitar escritorios remotos directos al puerto 3389, Las últimas versiones de ransomware se han centrado sobre este puerto, atacando a todos aquellas máquinas que lo tenían abierto sin ningún tipo de protección, en muchos de los casos, una sencilla VPN hubiera evitado problemas.
- Máquinas actualizadas. Como veis, hemos hablado de varios aspectos, pero aun no hemos llegado a las máquinas que son el objetivo final, pero debemos interceptar el ataque antes de que lleguen aquí. Si el atacante consigue llegar a nuestra retaguardia, entonces debemos de tener todo cuanto más protegido, mejor: últimos parches del sistema operativo instalados, protecciones antivirus, evitar dejar abiertos puertos innecesariamente, etcétera.
Las amenazas se van complicando cada vez más, por lo tanto, las medidas de seguridad que debemos tomar, han de crecer proporcionalmente a los nuevos y cada vez más sofisticados ataques. La época en la que un simple antivirus era suficiente para mantenernos seguros, ya es historia.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: