Cómo proteger a su organización y trabajadores remotos contra ransomware


Los correos electrónicos de phishing y el acceso no seguro al protocolo de escritorio remoto son dos tipos comunes de métodos de ataque utilizados para propagar el ransomware, dice la firma de incumplimiento cibernético Beazley Breach Response Services.

Ransomware: un experto en seguridad explica qué nos hace vulnerables y cómo prevenirlo
Los ataques de ransomware todavía están sucediendo, y más empleados necesitan capacitación sobre cómo prevenirlos.

El ransomware es una seria amenaza para las organizaciones bajo cualquier circunstancia. Pero a medida que el coronavirus se propaga y más personas trabajan desde casa, los ciberdelincuentes están explotando la situación para golpear a más víctimas potenciales. Las últimas campañas de ransomware están dirigidas a empresas y sus trabajadores remotos a través de métodos tales como correos electrónicos de phishing y vulnerabilidades en el Protocolo de escritorio remoto (RDP) de Microsoft. Pero hay formas de fortalecer su defensa contra estos ataques de ransomware, según lo descrito por Beazley Breach Response Services.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Lanzado el lunes, Beazley's Informe de incumplimiento de 2020 Encontró un aumento dramático en el ransomware mucho antes de que surgiera el brote de coronavirus. En general, en 2019, el número de ataques de ransomware reportados a Beazley por los clientes de la empresa aumentó un 131% desde 2018. Ciertas variantes de ransomware, incluidos Ryuk y Sodinokibi, se lanzaron en combinación con troyanos bancarios como Trickbot y Emotet. Como tal, las organizaciones seleccionadas no solo tenían que lidiar con los datos rescatados, sino también determinar si la información había sido robada.

Al observar los métodos utilizados para propagar malware, los correos electrónicos de phishing son un vector común. Los correos electrónicos con archivos adjuntos maliciosos o enlaces a sitios de robo de credenciales han provocado una gran cantidad de incidentes, según Beazley. Aunque ciertas defensas están disponibles, incluidos los filtros de correo electrónico y los niveles adicionales de autenticación, todavía no se usan ampliamente, lo que deja a muchas organizaciones vulnerables.

El Protocolo de escritorio remoto de Microsoft es otra tecnología común lista para la explotación, especialmente ahora que hay más personas trabajando remotamente a raíz del coronavirus. Los hackers usarán ataques de fuerza bruta para intentar obtener las credenciales de inicio de sesión de un empleado con acceso remoto al escritorio. Si tiene éxito, el ataque puede dar acceso al hacker a estaciones de trabajo o servidores críticos.

RDP en sí es defectuoso. Se ejecuta en un puerto estándar, por lo que puede identificarse fácilmente durante un escaneo. También se ha visto afectado por varias vulnerabilidades de seguridad a lo largo de los años, muchas de las cuales permiten a los piratas informáticos obtener acceso no autenticado a una estación de trabajo o servidor interno. Incluso cuando hay un parche disponible, como La solución de Microsoft para BlueKeep, las organizaciones no siempre son diligentes para implementarlo.

"El coronavirus ha obligado a muchos más empleados a trabajar desde casa y en este entorno presionado es muy importante que las empresas tomen las medidas correctas para reducir la vulnerabilidad de su infraestructura de TI", dijo Katherine Keefe, directora global de servicios BBR de Beazley. presione soltar. "Asegúrese siempre de que los empleados puedan acceder a su computadora utilizando una red privada virtual con autenticación de múltiples factores. Es importante incluir en la lista blanca las direcciones IP que pueden conectarse mediante RDP y asegurarse de que existan credenciales únicas para el acceso remoto, en particular para terceros."

Una estrategia más de ransomware que está ganando terreno es atacar a un proveedor en lugar de a organizaciones individuales. A medida que más empresas confían en proveedores externos para administrar servicios y activos clave, un ataque cibernético contra un único proveedor puede dirigirse a una amplia gama de clientes. Al menos el 17% de los incidentes de ransomware reportados a Beazley el año pasado provienen de ataques a proveedores externos.

Para evitar mejor que el ransomware afecte a su organización y a sus trabajadores, Beasly ofrece los siguientes consejos:

  1. Bloquear RDP. El vector de ataque RDP es el objetivo habitual de los ataques de ransomware. Deshabilite RDP donde no sea necesario. Aplique configuraciones seguras donde RDP esté habilitado, incluido el uso de contraseñas seguras (de al menos 16 caracteres de longitud) y la autenticación multifactor (MFA).
  2. Requerir MFA. Active MFA para cuentas administrativas internas y para acceso externo a todas las aplicaciones, especialmente las sensibles, como correo electrónico, RDP y VPN.
  3. Deshabilitar PowerShell. Actualice PowerShell al último marco en todas las computadoras. El registro mejorado y los controles de seguridad están disponibles con la última versión. Deshabilite PowerShell en estaciones de trabajo donde sea posible. Cuando PowerShell no se puede deshabilitar, el registro y la supervisión continua de la actividad de PowerShell son fundamentales.
  4. Sistemas de parches. Permitir parches automáticos del sistema operativo y los navegadores de Internet. Esté al tanto de las actualizaciones de software antivirus para detectar nuevas amenazas emergentes que pueden pasar desapercibidas en un sistema si el programa antivirus no está actualizado.
  5. Aplicar filtrado web. Las infecciones de ransomware pueden ocurrir a través de sitios web maliciosos o anuncios maliciosos alojados en sitios web comerciales legítimos que redirigen a un usuario a un sitio incorrecto. Aplique el filtrado a nivel de red y punto final que bloquea las conexiones a sitios maliciosos conocidos.
  6. Limitar derechos administrativos. Los derechos de administrador deben limitarse a los roles de TI que requieren estos privilegios y estar protegidos con MFA. El personal de TI debe tener cuentas no privilegiadas para las actividades cotidianas, como el correo electrónico y la navegación.
  7. Realizar capacitación en concientización de seguridad. Capacite a los empleados sobre cómo reconocer las amenazas y estafas comunes y cómo informar cualquier incidente de seguridad sospechoso. Realice periódicamente ejercicios de phishing para mejorar el conocimiento de la seguridad y preparar a los empleados para responder a los ciberataques.

Como prevenir el ransomware no siempre es posible, Beazly ofrece las siguientes tres sugerencias para ayudarlo a recuperarse mejor de un ataque:

  1. Haga una copia de seguridad de sus datos. Un plan de respaldo y restauración bien pensado es una de las contramedidas más importantes contra el ransomware. Realice copias de seguridad de los datos regularmente y mantenga copias fuera de línea y / o en almacenamiento en la nube Use credenciales únicas para asegurar sus copias de seguridad y almacene las credenciales por separado de las credenciales de otros usuarios. Cifre las copias de seguridad, especialmente cuando se almacenan fuera del sitio en una ubicación de terceros o en un entorno en la nube.
  2. Probar copias de seguridad. Pruebe las copias de seguridad periódicamente para validar que la recuperación está en línea con el objetivo de recuperación de la organización y los objetivos de tiempo de recuperación. Implemente un monitoreo automatizado que le notifique cuando las copias de seguridad no funcionen correctamente.
  3. Desarrollar un plan de continuidad comercial. La planificación efectiva de la continuidad del negocio ayuda a identificar cómo llevar a cabo operaciones esenciales en caso de una interrupción del negocio causada por ransomware.

"Aunque estos ataques pueden ser dañinos y complejos, algunas de las medidas preventivas más efectivas son relativamente simples", dijo Keefe. "Más que nunca, las organizaciones deben asegurarse de que sus medidas de seguridad de TI sean una prioridad y estén actualizadas, que tengan acceso a asesoramiento de gestión de riesgos autorizado y experimentado, y lo más importante, que los empleados estén capacitados y alertas ante las posibles amenazas". "

Ver también

ransomware.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2018/08/06/9695843f-cee9-436e-b69b-4d3b7f788e36/resize/770x/5f75f7a1ffee5676126ca7c3eabf674f/ransomware.jpg

Imagen: iStockphoto / Zephyr18



Enlace a la noticia original