RANSOMWARE - Vectores de ataque y entrada en nuestros sistemas

Ésta semana he ido sumando CPE's a mi certificación de ciberseguridad y he asistido a un webinar muy interesante sobre Ransomware. Para quien no conozca este tipo de ataque se resume en que un grupo de individuos SECUESTRA tus datos mediante el cifrado de los mismos.

Para poder recuperar los datos se necesita la llave de cifrado, que es justo por lo que los secuestradores piden un rescate. 

Para todos aquellos que SABEN que jamás les pasará a ellos, un dato: el botín que se llevaron el año pasado fue de 363 millones de dólares. 

Solo en el ejercicio de 2022

Los 4 vectores principales de entrada principales de este tipo de ataque son: 

Páginas web maliciosas:

Todos conocemos la cantidad de páginas web, anuncios, pop-ups y phising de webs oficiales que nos llevan a creer que es la web oficial y seguimos las instrucciones que nos indican sin percatarnos de que nos están engatusando.

Siempre puedes consultar a un experto o al proveedor directamente

Mensajes de correo electrónico:

Ojo con los remitentes de los correos electrónicos. A veces los nombres llevan a error o se parecen tanto a los originales que es muy difícil distinguirlos. Antes de acceder o seguir cualquier link adjunto en un correo electrónico, hay que verificar por otra vía si ese correo es real. 

Una llamada telefónica o un mensaje de chat  preventivo nos puede ahorrar un disgusto. 

No se abren adjuntos, caca.

Acceso remoto por RDP:

Hasta hace bien poco los accesos remotos a los servidores estaban publicados en Internet a pelo. De forma que cualquier escaneador de puertos abiertos en Internet como Shodan eran capaces de detectar estos servidores. A base de fuerza bruta se puede llegar a entrar y ya estás perdido. 

También cuentan los accesos mediante software como Teamviewer, Anydesk,... que pueden ser usados como vectores de acceso a nuestros servidores.

Lo mejor es poner pasos entre medias como el acceso mediante VPN con doble factor de autenticación o sistemas aún más robustos.

Aunque sea el Rey de los bretones...

Dispositivos USB:

Los dispositivos que se conectan por USB suelen tener un launcher automático que se suma a los protocolos de los sistemas operativos que los leen de forma automática al detectarlos como nueva conexión.

Es en esos ejecutables tan pequeños dónde se puede esconder un programa que cifre los datos de tu equipo.

Hay opciones muy interesantes como la de reconfigurar el sistema operativo para que no los ejecute de forma automática, desactivar su uso o utilizar alguna herramienta end-point que analice los dispositivos conectados por puerto USB. 

Bola extra (Ingeniería social) o el timo de la estampita: 

Siolemos olvidar uno de los vectores de ataque más importantes y usuales que es la ingeniería social.  Al no ser un tema técnico, parece menos importante, pero incluso un avezado profesional de la seguridad puede verse "engañado" por una llamada telefónica o incluso una videollamada. 

La integración del deepfake en la edición de video y audio da literalmente MIEDO.

"Ti juru qui soy il CIO"