Los sistemas afectados son: Microsoft Windows Vista SP2 Windows Server 2008 SP2 y R2 SP1 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2012 y R2 Windows 10 Windows Server 2016
Microsoft ya publicó las actualizaciones de seguridad a aplicar en estos sistemas ope-rativos. En el boletín MS17-010 se puede encontrar más información.
El CCN-CERT propone como medidas de prevención y mitigación lo siguiente: Actualizar los sistemas a su última
ver-sión o parchear según informa el fabricante.
Para los sistemas sin soporte o parche se recomienda aislar de la red o apa-gar según sea el caso.
Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizacio-nes.
Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad
En que consiste el ataque de Wanacry
C O N T E N I D O
En que consiste el ataque de Wanacry
1
Prevención de Infec-ciones por Rasom-ware 2 En caso de infección por Rasomware 3 Quienes Somos 4
B o l e t í n d e
S i s t e m a s
J U N I O D E 2 0 1 7 B O L E T Í N N O . 1 8El reciente ataque que afectó a empresas de distintos países llamado WannaCry es un software malicioso que combina un tipo de gusano informático especializado en propagarse por la web, con un progra-ma (ransomware), que cifra archivos al-macenados en los computadores y exige un rescate por descifrarlos.
Este ataque masivo afectó a sistemas Windows cifrando todos sus archivos y los de las unidades de red conectadas, infectando al resto de sistemas Windows que haya en esa misma red.
Según el CCN-CERT de España, la vulne-rabilidad es de gravedad alta y se originó en un agujero del sistema operativo de Microsoft Windows, donde podría per-mitir la ejecución remota de código a través de SMB, el cual es un protocolo de red que permite compartir recursos, entre nodos de una red de equipos con sistema operativo Microsoft Windows, dicha vulnerabilidad fue publicada el día 14 de marzo.
P Á G I N A 2
Prevención de Infecciones por Rasomware
A continuación presentamos medidas pu-blicadas por el CERT de España, de las cuales se hizo énfasis en las más importan-tes para prevenir, detectar y/o mitigar par-cialmente la acción de un ransomware:
1. Generar copias de seguridad perió-dicas de todos los datos importan-tes, mantenerlas aisladas y sin co-nectividad con otros sistemas. 2. Actualizar los últimos parches de
seguridad, tanto para el sistema operativo como para el software instalado.
3. Mantener actualizado el antivirus. 4. Disponer de una configuración de
los cortafuegos a nivel de aplicación basado en listas blancas de aplicacio-nes permitidas.
5. Disponer de sistemas antispam a nivel de correo electrónico y esta-blecer un nivel de filtrado alto. 6. Establecer políticas seguridad en el
sistema para impedir la ejecución de archivos desde directorios utilizados por el ransomware (App Data, Local App Data, etc.
7. Bloquear el tráfico relacionado con dominios y servidores mediante un
IDS/IPS, evitando así la comunica-ción entre el código dañino y el servidor de mando y control. 8. No utilizar cuentas con privilegios
de administrador, para reducir el impacto de la acción de un ransomware.
9. Mantener listas de control de acce-so para las unidades mapeadas en red y restringir los privilegios de escritura en red.
10. Instalar bloqueadores de Javascript para el navegador, por ejemplo "Privacy Manager", que impide la ejecución de todos aquellos scripts que puedan suponer un daño para el equipo.
11. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecu-tables que pudieren hacerse pasar por otro tipo de fichero.
12. Se pueden utilizar herramientas como "Anti Ransom", que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando honey files).
13. El uso de maquinas virtuales evitará en un alto porcentaje casos de in-fección por ransomware, debido a las técnicas debug y anti-virtualización comúnmente presen-tes en este tipo de código dañino, se ha demostrado que en un en-torno virtualizado su acción no llega a materializarse.
14. Establecer una defensa en profun-didad
Sabias que!
Sabias que!
Es muy importante en la Es muy importante en la defensa de todos los sistemas defensa de todos los sistemas frente a infecciones y ataques frente a infecciones y ataques es que todos los usuarios es que todos los usuarios estén alerta y adecuadamente estén alerta y adecuadamente informados sobre las informados sobre las técni-cas más utilizadas por los cas más utilizadas por los cibercriminales y ofrecer un cibercriminales y ofrecer un conjunto de pautas para conjunto de pautas para reducir la superficie de reducir la superficie de ata-que de dichas acciones que de dichas acciones
dañi-nas. nas.
B O L E T Í N D E S I S T E M A S
Sabias que!
Sabias que!
Uno de los factores críticos Uno de los factores críticos en las infecciones por en las infecciones por ransomware son las ransomware son las perso-nas?
nas?
En la mayoría de los casos, En la mayoría de los casos, los atacantes utilizan la los atacantes utilizan la denominada Ingeniería denominada Ingeniería So-cial para engañar a sus cial para engañar a sus vícti-mas y llevar a cabo sus mas y llevar a cabo sus ataques. Un buen ejemplo ataques. Un buen ejemplo de ello son los casos de de ello son los casos de Phishing .
En caso de infección por Rasomware
Después de detectada la infección pue-de seguir los siguientes pasos:
Desconectar el equipo de la red:
Cuya finalidad es evitar que el cifrado alcance contenido almacenado en las unidades de red accesibles desde el equipo infectado y que el código da-ñino pueda contactar con su servidor de mando y control.
Análisis de Procesos en ejecución:
Esta actividad es de mayor cuidado pues el rasomware se camufla con el nombre de un proceso legitimo, pero si se llega a identificar el proceso que accede de forma masiva al disco, hay finalizarlo. Si no se ha identificado el proceso se pueden tener en cuenta detalles como:
Procesos de aplicaciones que no se están ejecutando realmente, ya que puede ser el proceso dañino el que se está ejecutando.
Identificación de procesos repeti-dos, ya que deben tener un único numero de identificación y perte-necer a un mismo árbol, de no ser así puede ser el proceso dañino. Procesos que abren gran cantidad
de archivos y consumen excesiva-mente la CPU y el disco.
Eliminación del código dañino: su
eliminación puede ser sencilla por lo que los antivirus ya detectan este tipo infecciones.
Recuperación de Archivos: Se
pue-de empezar por ipue-dentificar el tipo pue-de
rasomware a través de unos de los enla-ces destinados para tal fin como lo es https://www.nomoreransom.org , además puede indicar si es posible descifrar los archivos secuestrados.
Las herramientas de recuperación y claves maestras son liberadas por distintas orga-nizaciones como: Kaspersky, Intel Secu-rity, McAfee, Panda SecuSecu-rity, Sophos, Hit-Man, CERT, NoMoreRansom,
blee-pingcomputer, entre otros.
Para mitigar los efectos de la infec-ción: El CERT recomienda intentar
recu-perar los archivos, se pueden acudir a opciones como restauración del sistema, por lo que en sistemas operativos Win-dows se pueden activar las Shadow Co-pies, que es el servicio responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder rea-lizar una restauración del sistema, es lo que normalmente se conoce como "punto de restauración del sistema".
Sabias que!
Sabias que!
En los sistemas operativos En los sistemas operativos como Windows XP a como Windows XP a Win-dows 7, está disponible una dows 7, está disponible una tecnología denominada tecnología denominada Sha-dow Copies, que permite al dow Copies, que permite al usuario realizar, manualmente usuario realizar, manualmente o de forma automática, copias o de forma automática, copias de los ficheros almacenados de los ficheros almacenados en el equipo incluso aunque en el equipo incluso aunque estén en uso.
estén en uso.
A partir de Windows 8, la A partir de Windows 8, la funcionalidad que permite funcionalidad que permite hacer distintas copias de los hacer distintas copias de los ficheros se denomina File ficheros se denomina File History y consiste en el History y consiste en el alma-cenamiento de las copias de cenamiento de las copias de seguridad en un medio seguridad en un medio extra-íble
P Á G I N A 4
Sabias que!
Sabias que!
B O L E T Í N D E S I S T E M A S
Puedes proteger tus datos bancarios al realizar com-pras en línea si:
Verificas que la URL del comercio es legítima.
Tienes en cuenta la fecha de creación del sitio web; es mas confiable cuando lleva bastante tiempo en el mer-cado.
Las tiendas electrónicas de confianza generalmente actualizan sus plataforma de venta, por lo que se debe evitar ingresar a sitios de poca calidad, o con conteni-do desactualizaconteni-do.
Elige comercios que no almacenen los datos de tu tar-jeta de crédito o débito lo que se puede consultar en las políticas de privacidad del sitio.
Puedes preferir tiendas que cuenten con sistemas de pago administrado por terceros de confianza con PSE o PAYU.
Puedes proteger la información de tu dis-positivo móvil si:
Tiene habilitado el uso de contraseñas, estas deben de ser robustas y no se deben de compartir con alguien más.
No compartes fotografías, videos, mensa-jes, con desconocidos, ni almacenar foto-grafías o videos que informen sobre datos personales.
Desactivas el dispositivo bluetooth cuando no se esté utilizando, ya que pueden acce-der intrusos.
Tienes cuidado al conectar el móvil a redes públicas abiertas, pues es en estas redes ocurren ataques contra la privacidad y la información.
Somos una compañía fundada en diciembre de 1997, que busca escalar
posiciones en el mercado y convertirse en una de las empresas de
audi-toría y consulaudi-toría más importantes del país, desarrollando nuestro
traba-jo con los más altos estándares de calidad.
Debido a esto, nuestra firma alcanzó la certificación de Gestión en
Cali-dad ISO 9001:2008 el 22 de marzo de 2006, en los servicios de
REVISO-RÍA FISCAL, AUDITOREVISO-RÍA EXTERNA, AUDITORIA DE SISTEMAS, y AUDITOREVISO-RÍA
EXTERNA DE GESTIÓN Y RESULTADOS. El pasado 27 de abril de 2015 la
compañía alcanzo la re certificación de sus Servicios mediante auditoría
efectuada por el ente certificador – ICONTEC.
Nuestra compañía realiza un trabajo integral orientando a ofrecer
servi-cios y asesorías de carácter interdisciplinario basados en las
característi-cas de operación y gestión de nuestros clientes.
Nuestros Servicios:
Certificados por ISO 9001:2008:
REVISORÍA FISCAL
AUDITORÍA EXTERNA
AUDITORIA DE SISTEMAS
AUDITORÍA EXTERNA DE GESTIÓN Y RESULTADOS
Otros Servicios:
Asesoría Jurídica, Asesoría y Planeación Tributaria, Desarrollo,
implementa-ción y evaluaimplementa-ción de procedimientos y manuales de funciones.
Desarrollo, implementación y evaluación de sistemas de control interno.
Oficina principal :
Carrera 49 No. 103 – 07
Teléfonos: 6915133 – 2182217
Bogotá D.C. - Colombia
Oficina en Tunja:
Calle 20 No. 13-10 oficina 212 B ( C.C
Plaza Real)
Teléfonos: (8) 743 70 96
Tunja, Boyacá. - Colombia
P Á G I N A 6
B O L E T Í N D E S I S T E M A S
Referencias
Buenas Prácticas CCN-CERT BP-04/16
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2091-ccn-cert-bp-04-16-ransomware -1/file.html https://support.microsoft.com/es-co/help/4013389/title https://es.wikipedia.org/wiki/Server_Message_Block https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html http://www.eleconomista.es/tecnologia/noticias/8354905/05/17/Un -ciberataque-masivo-de-ransomware-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html http://caracol.com.co/radio/2017/05/15/nacional/1494859344_503511.html http://caracol.com.co/radio/2017/05/15/tecnologia/1494850526_259183.html http://internacional.elpais.com/internacional/2017/05/12/actualidad/1494614865_890383.html http://elpais.com/elpais/2017/05/24/opinion/1495628397_357618.html http://internacional.elpais.com/internacional/2017/05/15/actualidad/1494855826_022843.html http://soportecpanama.com/wannacry-el-ransomware-del-ataque-a-telefonica-2/ http://soportecpanama.com/wannacry-el-ransomware-del-ataque-a-telefonica-2/
