¡Te damos la bienvenida al nuevo sysarmy --help! Para recuperar tu usuario pedí un password reset.

Ataques Ramsonware

Estimados como están .. bueno por aquí (en la empresa) un poco "preocupado" por estos ataques del tipo ramsonware que tan de moda se han puesto .. en esta oportunidad apelo a su experiencia con respecto a los puntos a tener en cuenta para evitar este tipo de ataque.

Les comento que por mi parte instale antivirus Eset Endpoint 5 en servidores w2k y 2k8, en linux AVG y Clam en otros .. cuento con backups en cinta onsite y offsite, cerré conexiones tipo teamviewer y le explique a los usuarios finales la posibilidad de que lleguen adjuntos o links extraños para que no los abran ..

Bueno .. dejo en ustedes algun dato mas que sea de utilidad para todos .. como siempre me despido a la espera de vuestros comentarios .. salu2 d4ny.-

Respuestas

  • Me parece que ya lo estas haciendo bien, con backups y divulgando a los usuarios.

    Lamentablemente por lo que vi, por ahora los antivirus no ayudan muchos contra los ransomware.

    Lo mas importante es educar a los usuarios a no abrir fotos de gatitos o pr0n que llegan a tu email SI no lo estabas esperando, no importa que el mail lo envío el primo que es "un capo con las compus".

    Y si pasa... bueno lo hiciste bien y tenes los backup del día anterior.
  • Escuché de casos en los que se empezó a expandir por shares de CIFS/Samba (el famoso "unidad compartida de Windows"), así que otro punto a tener en cuenta es mantener los shares al mínimo, con permiso de sólo lectura de ser posible para los usuarios o, mejor aún, sin shares si podés prescindir de ellos.

    Si no es posible ninguna de las dos, limitá el permiso de escritura a una unidad en particular para cuantos menos usuarios sea posible, y tratá a esa unidad como zona de peligro.
  • Un layer extra dependiendo tus posibilidades sería instalar una solución tipo Deep Freeze o GoBack: en la mayoría de los casos permiten revertir cualquier cambio en el disco de forma rápida y segura.

    Nota: no recuerdo ahora si Acronis tiene una solución similar, investigalo.
  • Lo que estas haciendo esta bien.

    Una buena practica para CIFS/Samba puede ser tener todo en un FS que permita snapshots para tener un punto de retorno en caso de ataque. Por ejemplo ZFS con FreeNAS.

    Saludos
  • Estás bien encaminado, pero sin embargo nunca safas 100% del usuario.

    Tip: Hace poco escuché un caso donde tambien habian "secuestrado" el backup completo, por lo tanto el pobre administrador si bien tenia backups con granularidad y todo no le servian de nada.
    Then, asegurate de que los backups estén aislados POSTA y que nadie tenga acceso no autorizado a ellos.

    Si te están haciendo el ransom, (o sea: ya te bajaron los pantalones y el ransom es inminente) depende del tipo y la naturaleza se suele manifestar antes de terminar. (high cpu usage, procesos raros, etc), otros no.

    Tambien escuché de un tipo de ransomware que despues en la pantalla de pago te ofrece un preview donde te desencripta los archivos un rato para que veas que sigue estando todo ahi, si te topas con ese (y no es una build nueva donde lo arreglaron): dejá un dump corriendo y cuando te llega la password y podes ver tus datos desconectás el patch y buscas en la captura la passwd.

    Saludos!
  • Esta prefecto lo que hiciste, igual yo lo que haria tambien seria poner un un servidor privado offline que haga backups del sistema cada x cantidad de dias ( el servidor al estar offline nadie tiene acceso a el desde afuera ) y obviamente tener mucha precaucion con los user que conectan pendrives o celulares a los terminales
  • Buenas,

    Creo que Ramsonware genero paranoia entre todos, nosotros lo que tambien hicimos fue un screening de extensiones conocidas de ramsonware, de manera que al querer escribir (digamos que cuando la ca*ada está en plena faena) no se lo permita. Actualmente estamos permitiendo solo files relacionados con el trabajo diario.

    Otra recomendación es que limites y "compartimentes" el acceso a las carpetas de los usuarios, de manera que si te pega, no se expanda.

    te dejo un par de links:

    https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce

    Cualquier cosa avisa!

    Slds!
  • Otra también es cambiar el Puerto de RDP que en ocasiones se propaga por ahí y con respecto al antivirus, el que logró frenar/detectar a los que hemos enfrentado fue el 360 Total Security que es gratuito!!!

    Saludos.
  • Todas las precauciones son validas, ya sea backup externo, file screening, generar conciencia a los usuarios, antispam con reglas claras, limitar la cantidad de Shares al minino necesario.

    Algo que se esta utilizando actualmente que esta teniendo muy buenos resultados es utilizar el mecanismo de "Sandboxing", aislando posibles amenazas, tenes varias alternativas de Sandbox.
Este hilo ha sido cerrado.