¿Cómo funciona el ransomware DearCry?
En marzo de 2021, Microsoft publicó parches para cuatro vulnerabilidades críticas en los servidores Microsoft Exchange. Estas vulnerabilidades fueron explotadas activamente en diversas campañas de ataque. DearCry es una variante de ransomware diseñada para explotar estos servidores vulnerables de Microsoft Exchange.
El malware realiza una enumeración de unidades para identificar todos los medios de almacenamiento accesibles desde una máquina infectada. Para cada una de estas unidades, el ransomware DearCry cifrará determinados tipos de archivos (basándose en las extensiones de los archivos) utilizando AES y RSA-2048. Una vez cifrado, DearCry mostrará una nota de rescate indicando a los usuarios que envíen un correo electrónico a los operadores del ransomware para saber cómo descifrar sus máquinas.
Cómo protegerse contra el ransomware DearCry
Cuando se muestra la nota de rescate de DearCry, el daño ya está hecho. La mejor forma de responder a DearCry -o a cualquier tipo de ransomware- es detectar y bloquear el ransomware antes de que pueda comenzar el cifrado de los datos.
El despliegue de protecciones antiransomware es el método más eficaz para lograrlo. Herramientas como la emulación de amenazas de Check Point utilizan análisis de comportamiento para identificar las señales de advertencia de un ataque de ransomware, lo que permite al usuario remediar la amenaza antes de que se produzca ningún daño. Dado que todo ransomware necesita realizar ciertas acciones (como cifrar archivos) para lograr sus objetivos, este enfoque es eficaz contra todos los tipos de ransomware.
Sin embargo, las protecciones dirigidas a un tipo específico de ransomware pueden ayudar a mejorar la velocidad y la eficacia de la respuesta de una organización. Además de la protección genérica Threat Emulation para ransomware (que bloquea con éxito DearCry), Check Point ha lanzado dos protecciones dedicadas para los siguientes productos:
Estas herramientas de detección dedicadas hacen que sea más rápido y fácil detectar y erradicar una posible infección de DearCry en los sistemas de una organización.
Mejores prácticas para la prevención del ransomware
Para protegerse contra el ransomware DearCry, las protecciones selectivas (como las desplegadas en Emulación de amenazas y Harmony Endpoint) son las soluciones más eficaces para un ataque activo. Las protecciones más generales contra el ransomware también pueden detectar esta amenaza y son vitales para identificar y bloquear los ataques de ransomware de día cero.
Sin embargo, las organizaciones deben implementar una defensa en profundidad para minimizar el coste potencial y el impacto de los ataques de ransomware. Algunas de las mejores prácticas para la prevención del ransomware incluyen:
- Gestión de parches: El ransomware DearCry aprovecha una vulnerabilidad crítica en los servidores Microsoft Exchange. Mantener el dispositivo parcheado y actualizado es esencial para minimizar los posibles vectores de entrada que puede aprovechar un atacante.
- Educación de los empleados: El ransomware suele distribuirse mediante phishing y otras técnicas que se aprovechan de los empleados. Formar a los empleados para que reconozcan y respondan adecuadamente a este tipo de ataques puede reducir drásticamente el riesgo de una organización de sufrir ransomware y otros tipos de ataques.
- Seguridad del correo electrónico: El correo electrónico es uno de los principales vectores de infección de todo tipo de malware, incluido el ransomware. Una solución de seguridad para el correo electrónico puede utilizar el aprendizaje automático y la emulación sandbox para identificar y eliminar el contenido malicioso de los correos electrónicos antes de que lleguen a la bandeja de entrada del usuario.
- Acceso remoto seguro: La pandemia del COVID-19 convirtió a las redes privadas virtuales (VPN) y al protocolo de escritorio remoto (RDP) en algunos de los mecanismos de entrega más populares para el ransomware. Proteger la infraestructura de teletrabajo de una organización puede ayudar a bloquear este posible vector de ataque.
- seguridad de terminales: El ransomware puede distribuirse a través de diversos medios. Una solución de seguridad de terminales capaz de detectar y bloquear el ransomware y otros tipos de contenido malicioso puede ayudar a minimizar la exposición de una organización a estas amenazas.
Bloqueo de los ataques de ransomware con Check Point
El panorama de las amenazas del ransomware está en constante evolución. DearCry es una de las iteraciones más recientes de una amenaza que existe desde hace años, y explota una vulnerabilidad descubierta recientemente en un producto muy utilizado. Las organizaciones necesitan soluciones específicas contraransomware capaces de mantenerse al día y mitigar las últimas amenazas de ransomware.
El ransomware ataca al terminal, por lo que éste debe ser el centro de cualquier estrategia antiransomware. Harmony Endpoint de Check Point es una solución completa de seguridad de terminales que ofrece protección integral contra el ransomware, incluyendo tanto detección general basada en el comportamiento como protecciones dirigidas a variantes específicas.
Su soporte para la caza de amenazas -mapeado según el marco MITRE ATT&CK- también permite al equipo de seguridad de una organización buscar e investigar de forma proactiva posibles amenazas e incursiones dentro de su red. Para obtener más información sobre la caza de amenazas con Harmony Endpoint, consulte este tutorial.
Harmony Endpoint proporciona una protección completa contra amenazas como el ransomware DearCry. Para obtener más información sobre sus capacidades, consulte este recorrido por el producto. También puede solicitar una demostración personalizada para comprobar por sí mismo la potencia de Harmony Endpoint.
Comentarios