Cloud Email (DMDS)
CDN

Parte 1: Combatir Ransomware y Spear-phishing

El rol del e-mail
El e-mail es el punto mas débil que eligen los ciberatacantes para penetrar las organizaciones, dado que cuentan con una serie de tácticas para engañar al usuario, y el e-mail es el vehículo más utilizado por las corporaciones y particulares para todo tipo de comunicaciones.

A través del mail se pueden descargar adjuntos maliciosos o hacer click en links que llevan a sitios que infectan la estación del trabajo del usuario.

Ambos vectores principales de ataque por e-mail, el ransomware y el spear-phishing de acuerdo a una encuesta del SANS Institute, se basan en que el usuario haga click en “algo” para terminar infectado o revelar información confidencial o hacer una transferencia bancaria o un pago equivocados.

 
Problemática para los administradores de red
Los administradores de e-mail corporativo se hacen una serie de preguntas para mantener a sus usuarios a salvo:

  • tengo una solución integral de seguridad de e-mail contratada (SEG Secure e-mail gateway), que los proteja de malware, ransomware, spearphishing, impostación, etc ?
  • cómo entrenar a mis usuarios para que no sean engañados por aquellos mails que logran traspasar  la protección perimetral, tales como el spear-phishing ?

En ambos casos, no sólo es necesario contar con una estrategia de prevención, sino también con una preparación para los casos en que los incidentes se produzcan, un plan de contingencia o IR (Incident Response).

 
Macros de Word
Una de las amenazas que más se ha extendido últimamente, derivada de la apertura de adjuntos infectados, es la de los ransomware o encryptores. Se puede tratar de archivos Word con macros que tienen un malware, que encripta el contenido del disco rígido o cualquier archivo accesible por la red, para luego pedir un rescate en forma de bitcoins.

Es importante que la configuración de Microsoft Office tenga habilitada por default la “Vista Protegida” que impide ejecutar macros, en la configuración del “Centro de Confianza”.

 
Exploits
Los ransomware suelen entrar luego de un click que ocasiona una visita a un sitio que hostea un exploit kit, como Angler, en lo que se denomina un ataque “drive-by”, que escanea el browser por vulnerabilidades. En general va a buscarlas en versiones viejas de Adobe Flash, Internet Explorer o Java Runtime.

Uno de los puntos de entrada es el e-mail, dado que los cibercriminales realizan campañas de spam y de  “malvertising” (malware como parte de publicidad online), y logran que muchos usuarios hagan click y visiten los sitios infectados, y sean infectados con el Angler exploit kit que vehiculiza malware y ransomware.

Estos sitios web o landing pages que soportan Angler, por lo general son subdominios random que son creados, redireccionados y destruidos en pocas horas, y por lo tanto son muy difícil de ser identificados como landing pages infectadas. Esto se hace posible a partir de cuentas hackeadas de sistemas donde se registran o administran dominios, como p.ej. GoDaddy (DNS Shadowing).

 

No sólo Windows PCs
Estas descargas maliciosas pueden afectar no sólo para PCs con Windows, sino Mac, Android y hasta SmartTVs. El usuario recibe un mensaje en pantalla en donde se le avisa que debe pagar un rescate para que se le envíen un procedimiento y una clave para poder recuperar sus archivos.

El target preferido sin embargo son las PCs o laptop con Windows, dada la gran cantidad que existen y por su uso extendido en las corporaciones.

 

Spear-phishing
La otra amenaza que se encuentra causando estragos, es el spear-phishing, que va dirigido a determinadas personas dentro de una organización, que tengan acceso a claves bancarias o a información de recursos humanos.

Este ataque, que no es masivo y por lo tanto no es detectado en general por los SEGs, se basa en la impostación de identidad en el remitente de un e-mail que parece provenir de dentro de la organización.

Por lo general, se trata de una orden para realizar una transferencia bancaria, o proporcionar listas de datos de empleados.

 

Entrenamiento a usuarios
Para protegerse del ransomware, la primer medida es entrenar a los usuarios en verificación exhaustiva de e-mails y sitios web donde pueda haber descargas o links maliciosos, dado que se trata de mails o links que convencen o persuaden al usuario de cometer un descuido a efectuar un click indebido.

Aquí se debe poner foco no solamente en las tácticas de “social engineering” que hacen “morder el anzuelo”, sino también acostumbrar al usuario a que lea y detecte dominios mal escritos en direcciones de mail y URLs, que maliciosamente han sido elegidos con alguna letra cambiada, agregada o quitada, para hacerse pasar por un dominio conocido.

Usuario Dev

This entry has 0 replies

Comments are closed.