Hola a todos, recientemente (de manera puntual el viernes 12 de mayo de 2017) se ha puesto en alerta el mundo entero a raíz de algo que viene afectando compañías desde hace mucho tiempo, los hackers (que de acá en adelante vamos a denominar Perpetradores para generalizar) hoy en día saben de negocios también y para ellos su negocio está en este tipo de Virus, troyanos, xploits, y vulnerabilidades que se presenten en sistemas operativos todos estos entran como partes importantes para la infección y propagación en equipos de computo. que les permite obtener altísimos ingresos mientras hacen lo que hacemos muchos de nosotros, nuestro trabajo o nuestra pasión.
Queremos compartir una experiencia que tuvimos exactamente hace 7 meses con un ransomware, si bien nosotros no somos una compañía dedicada a la seguridad informatica, siempre asesoramos a nuestros clientes a que tengan una buena infraestructura que permita salvaguardar su información ante cualquier eventualidad, ya sea un daño en alguna máquina, una simple perdida de contraseña y en este caso una infección de este tipo.
En Septiembre de 2016 tras finalizar una implementación de Microsoft Dynamics CRM Onpremise con Internet Face Deployment (Acceso Externo), nuestro cliente quedó muy feliz porque ya podía acceder a su CRM desde afuera de la compañía, sin limitaciones de VPN y acceso interno por una dirección y acceso externo por otro lado… todo desde el mismo sitio. Un Gran paso para ellos y un paso muy bueno para nosotros, Nuestro cliente cuenta con un proveedor de administración de su red Externa, VPN y Firewall.
Mientras realizabamos nuestra implementación, nuestro cliente también estaba realizando la implementación de una planta telefónica en Asterisk (Linux), durante todo este proceso al proveedor de Firewall se le venció la licencia del Firewall, dejándo a nuestro cliente sin protección y por medio del Servidor de Linux, los perpetradores lograron acceder a los servidores internos de la compañía y desafortunadamente tocando 2 máquinas de windows… El servidor de aplicaciones y el Servidor donde nosotros habíamos instalado Microsoft Dynamics CRM.
Nuestro cliente nos contactó con gran preocupación porque no podían lograr el acceso a CRM, preguntándonos qué había pasado y solicitandonos revisar lo más pronto posible el inconveniente. Accedimos a realizar las revisiones sin ningún problema pues nos pareció algo extraño y al momento de acceder a revisar el servidor de CRM encontramos que todos los archivos, todos los ficheros de todo el servidor tenían la extensión .decryp… en este momento nuestra reacción fué “Huuuyyy… Santos Servidores Batman :D, se metieron a este servidor (lo Hackearon)…” procedimos a realizar la revisión en todos los servidores de nuestro cliente y al ver que solo estas 2 máquinas habían sido infectadas procedimos a informarle el motivo por el cual no podian acceder a CRM “Lamentamos informarles que sufrieron un ataque cibernético y les hackearon el Servidor X y el servidor Y, por este motivo no tienen acceso a Dynamics CRM“.
Nuestro cliente preocupado y abatido por esta mala noticia nos pidió colaboración para esto y pues las únicas opciones que tenían ante esta situación eran arriesgarse a pagar el rescate de la información de los servidores, sin éxito ya que esto es una ruleta, nosotros les ofrecimos la opción de realizar la implementación de sus servidores.
El cliente confió en nosotros y bueno, logramos tener sus servidores listos y funcionales en menos de 24 horas mientras el proveedor del Firewall realizaba la reconfiguración de un nuevo dispositivo, ya que el faloo había sido de ellos pues se venció la licencia y el Firewall se desactivó, los perpetradores lograron el acceso por medio de un sistema operativo libre que conocen muy bien.
Dura situación, es verdad pero más allá de lo duro que fue, la ventaja y la enseñanza o experiencia que queremos compartir es la siguiente:
- Siempre cuida tu Firewall, mantente al día con sus actualizaciones y su licenciamiento, en caso de que uses el de Windows, manten tu configuración actualizada y verifica constantemente los puertos que están siento intervenidos o de uso externo.
- Durante cualquier implementación de Software intenta contar con servidores independientes, así es, uno para las Bases de datos y otro para tus aplicaciones, esto te ayuda incialmente con el rendimiento de las aplicaciones y en nuestra historia realizar una implementación de esta manera, nos ayudó a salvar la información, pues los datos nos fueron tocados por los hackers (Gracias a Dios .–‘), solamente la aplicación y nuestro cliente no tuvo que realizar una inversión gigantesca sin contar con garantías para recuperar sus datos.
- No necesariamente porque se trabaje con sistemas operativos diferentes a Windows se está más expuesto a los ataques, todos los sistemas tienen sus vulnerabilidades y por esto existen las actualizaciones o hotfixes (parches) que desarrollan tanto las grandes casa de Software como los grupos de desarrolladores de los OS independientes (Linux), lo que es importante ante la elección de cualquier sistema es contar con una infraestructura ordenada y antetodo segura.
Ahora vamos a hablar un poco de este último Ransomware que está haciendo temblar al mundo informático, a nosotros no porque somos valientes! >:D (bueno realmente nos preocupa un poquito nada más :D), y por eso queremos compartir esta información para que la mayor cantidad de compañías estén a salvo o por lo menos prevenidas o preparadas para este tipo de ataques.
WannaCrypt, Wana Decryptor, WCry o popularmente conocido WannaCry, es un software tipo RansomWare (Software de Secuestro) que aprovecha una vulnerabilidad de seguridad en los sistemas operativos de Microsoft para infectar los archivos y ejecutar un proceso de encriptación de datos, mostrando un mensaje de Rescate al propietario de la máquina infectada, el rescate solicitado usualmente pide CryptCoins o BitCoins (Criptomonedas o divisas virtuales), para liberar la información, Después de cierto tiempo si el usuario no ha realizado el pago del rescate, pierde su información y tiene algunas opciones, pagar todo lo que le pidan los atacantes, probar con herramientas antiransomware/malware o por último resignarse a perder su información y formatear sus máquinas. En pocas palabras WannaCry es un RansomWare repotenciado por una vulnerabilidad de un sistema operativo común.
¿Qué puedo hacer para evitarlo?, bien puedes hacer mucho antes de que llegue a infectarte un RansomWare, en la mayoría de los casos, son cosas de sentido común informáticamente hablando, teniendo en cuenta que hoy en día se ataca más al usuario final que al mismo servidor. Vamos a hacer un listado de recomendaciones y acciones previas para evitar una infección a continuación:
- Manten siempre tus Computadores Actualizados, así es, si bien este RansomWare es generado por una vulnerabilidad, los mismos fabricantes de software saben de esta falla y constantemente están trabajando para solucionara, por eso cuando veas el mensaje de Microsoft en tu sistema Operativo “Tiene Actualizaciones Pendientes por Instalar“, hazle caso y confía en él, si no eres el responsable de sistemas de tu compañía por favor siempre asesorate con él para que te ayude con los procesos de actualización.
- Ten un muy buen antivirus, puede que sea muy obvio, pero en ocasiones algunas compañías no invierten lo que deben en su seguridad y su seguridad es un antivirus, si bien una buena infraestructura tecnológica debe contar con un Firewall, no debes dejar la seguridad dependiendo sólo de él, instala buenos antivirus en tus máquinas, hay marcas de primera línea como Symantec, Kaspersky Lab, PandaLab, Eset, Avast, incluso, puedes mientras adquieres un antivirus especializado, configura muy bien tu Microsoft Essentials, que por lo menos monitorea tu PC.
- Verifica los Puertos del Firewall, algo que hace diferentes a los perpetradores de ataques cibernéticos es su perseverancia, ellos saben y conocen el funcionamiento de un Firewall, saben cuales son los puertos de salida y cuales son los puertos de entrada; cuando tienes un Firewall no siempre es suficiente con hacer clic aquí, siguiente, siguiente, instalar configuración recomendada y ya… porque de acuerdo a tu infraestructura de red tu Firewall necesitará ciertas configuraciones adicionales ya que tu entorno no es igual al entorno de red que utilizó el fabricante para la configuración recomendada… entonces principalmente verifica los puertos externos como https 445 y http 80, 8080, además del puerto de telnet. puede que no sea necesario todos los días, pero mantente pendiente de esto. Si no eres experto en Firewalls y requieres contar con apoyo en esto, busca una compañía especializada en estos servicios y siempre, antes de poner en producción realiza pruebas con ellos.
- Cuenta de cobro pendiente, Aviso Juridico, orden de compra, visualice el extracto de su pago, solicitud de cotización, estos 3 últimos son de los tipos de correo electrónico que más nos gusta recibir a todos 😉 nos alegran el día, los 2 primeros nos alertan y nos preocupan, los perpetradores saben esto y por tal motivo, muchos de los virus se esparcen tan rápido, revisa bien tus correos electrónicos, cuando recibas una solicitud de cotización o una orden de compra debes tener claro si vendiste a quien te envía el mensaje, si no, pues verfica la extensión del archivo que te envía y no te vayas como una… como una… como una persona afanada a abrir este mensaje ya que si alguno de estos mensajes te remite archivos terminados en extensiones .exe .pdf.exe .rar.exe .uo .ae (entre otras) debes sospechar de esto en este caso si no eres la persona de sistemas, remite a él ese correo para que realice la verificación del mensaje y/o cree las reglas de eliminación en el servidor de correos de tu compañia, en su defecto borralo inmediatamente, ya que veas que su contenido trae una de estas extensiones. También ten cuidado con las imágenes, este es otro modelo de ataque, te envían mensajes con imagenes dentro de algún tipo de cuenta bancaria o algo por el estilo, tu dices ¿Ooohhh, esto que es? y bienvenido al virus cuando haces clic sobre la imagen, por esto para verificar puedes ubicar el puntero de tu mouse sobre la imagen y si ves en la parte inferior de la imagen usualmente al lado izquierdo que aparece el enlace al que te están queriendo redireccionar, si ves una dirección extraña como por ejemplo http://jkwhqjkhwjsjñlka.com/wanlalawe o como http://files.fm/wk27awe remite el correo a tu departamente de sistemas ellos deberán bloquear esa dirección en el firewall y posteriormente eliminalo de tu buzón. Además si tienes Office 365 podrás contar con una herramienta de validación de correos antimalware y demás.
- Evita usar las redes sociales en las máquinas de tu compañía, a no ser que seas un miembro del equipo de marketing que constantemente está en las redes sociales y ya estés al tanto de este tipo de amenazas, en algunas ocasiones mientras debes estár trabajando y estas en facebook y ves un vídeo o una publicación que llama la atención pummm… eres redirigido a una página con archivos tipo gif o vídeo y ten que te descargas el virus en el PC, claro que con esta recomendación no te estamos diciendo que las redes sociales son el diablo, por el contrario te decimos que por allí también atacan y bastante ya que se está en contacto con usuarios comunes y mediante contenidos llamativos se propagan las infecciones.
- Backups día tras día, Así es, de lo que más se recomienda es que tengas configurada una aplicación para realizar las copias de seguridad de todas tus máquinas y toda tu información, ahh… pero es que es caro… pero qué es más caro? perder tu información o invertir en la generación de tus copias de respaldo y seguridad? Incluso si puedes configura Windows Backup y/o Windows Server Backup en una máquina específicamente destinada para mantener tus copias de seguridad. Si no,m pues igual cuenta con Acronix o con BackupExec de Symantec, que son herramientas muy buenas o si puedes utiliza un entorno hibrido con tus servidores físicos y copias en Windows Azure.
- Por último en este listado de recomendaciones PRE ataques y demás visita el portal de Microsoft y descargate la última actualización MS17-010 Security Update en tu sistema operativo, para evitarte la busqueda acá está el link directo donde encontrarás información respecto a WannaCry y cómo combatirlo también.
Pero a mi ya me atacaron, ¿qué hago?, si ya te atacaron, hasta luego que estás con virus!… naaa mentiras!, no es cierto. Si ya sufriste el ataque pues bueno, hay menos posibilidades de prevención, pues porque ya fuiste atacado, sin embargo puedes tomar las acciones preventivas que mencionamos anteriormente en tus otras máquinas o los computadores de tus usuarios, ahora estas son las recomendaciones POST ataques.
- Desconecta inmediatamente tu cable de red, ya fuiste a abrir un correo de las caracteristicas que mencionamos anteriormente y se contagió tu PC, apagalo, desconectalo o quítale tu cable de red, de esta manera evitas la propagación de la infección en tu red y que por este ataque se contagien tus servidores. Así el tratamiento será menos traumático pues será solo a tu PC.
- Prueba herramientas de liberación, algunas de las casas de antivirus más reconocidas han venido trabajando contra los malwares y ransomwares desde hace tiempo, por esto si tu equipo está contagiado o infectado, prueba con las herramientas de desencriptación de Avast o Kaspersky. Si tienes un antivirus licenciado, puedes acceder a los portales web y usar todas estas herramientas de desinfección que la mayoría de casos te dan un aire para liberarte aunque sea un poco de la infección y recuperar archivos o datos importantes.
- No hay de otra… Tocó formatear, Nuestra principal recomendación cuándo ya haz sido atacado y ya haz agotado las opciones, no pagues ningún rescate, dirás “Pero que tal me devuelvan los datos“, nosotros te decimos “¿Pero que tal no?” ya además de perder tus datos, también estas perdiendo dinero y en la mayoría de los casos los perpetradores que usan ransomware buscan mantenerte ahí, realizando pagos y exprimiendote el dinero, te tendrán ahí hasta que ellos lo quieran, además dependiendo el tipo de ataque puede ser verdad que tengan una clave para desencriptar tus datos, como puede que simplemente hayan desarrollado el ataque y no una clave… entonces si tienes configurados bien tus backups, si tienes un servidor de gestión de copias, lo más efectivo es reinstalar y realizar una implementación nueva o reconfigurar un PC.
Bueno este ha sido nuestro “pequeño” listado de recomendaciones con el que esperamos que encuentres información relevante para cuidarte, protegerte, si te atacaron, pues recuperarte, si requieres alguna atención en cuanto a Software de seguridad, nosotros te remitiremos a nuestros partners especializados en estos temas.
Muchas gracias por visitar nuestro blog, que Dios te bendiga y Recuerda nuestra Filosofía, Solutions At Custom – Nada es Imposible
No Comments