De acuerdo con Panda Security, denominamos ‘ataque Zero Day’ a cualquier malware lanzado aprovechando la ventana de oportunidad producida por vulnerabilidades recién descubiertas: es decir, un ataque rápido desplegado por cibercriminales antes de que los proveedores de seguridad hayan sido capaces de reparar la vulnerabilidad… o incluso de que hayan oído hablar de su existencia. Por tanto este tipo de ataque goza de una notable capacidad destructiva (cuando decide usarlas en su propio beneficio). También son un recurso muy utilizado por determinados gobiernos para socavar sistemas críticos de otros países o de las empresas originarias de los mismos.

Defender sus dispositivos de un ataque no es sencillo. Su protección debe incluir una amplia gama de mecanismos de defensa que incluya un antivirus/anti-malware tradicional, firewall personal, filtrado Web y de correo, y control de dispositivos. Además, toda protección debe proporcionar defensas adicionales contra amenazas difíciles de detectar, como ataques dirigidos y de día cero.

Es importante tener en cuenta otro aspecto de las vulnerabilidades Zero Day: si los hackers que la descubren deciden no difundirla y eligen un método discreto para explotarla, los usuarios pueden pasar semanas, meses o años expuestos a una vulnerabilidad que desconocen (ésta es la base de las APT o ‘amenazas persistentes avanzadas‘).

El más temible ataque de día Cero, El Ransomware. Lo próximo y peor aún, el Ransomworm.

EL RANSOMWARE

Ha escuchado de Ransomware, cierto? Si no es así y es la primera vez que escucha este término, le amplío la información a través de la descripción obtenida de uno de nuestros aliados en seguridad, Panda Security. El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate. Uno de los Ransomware más famosos fue el Virus de la Policía. La vergüenza, la necesidad de recuperar sus datos y la presión ante un mensaje alarmante y desconocido, son algunos de los factores que provocan que algunos de los afectados por este tipo de virus terminen pagando el rescate de su ordenador.

Watchguard nos facilita una clasificación del Ransomware:

• Scareware: Asusta para obtener de la víctima un pago por falsos software o servicios.
• Locking Ransomware: Dificulta al usuario usar e interactuar con el ordenador.
• MBR Ransomware. Muy dañino, cambia el Master boot record del disco duro e impide arrancar el equipo hasta que realice un pago.
• Ransomware Policía: despliega un mensaje falso que le informa que esta cometiendo un delito y que debe pagar para evitarlo.
• SMS Ransomware: demanda el pago de mensajes de texto a una tarifa premium para recuperar su sistema
• Crypto Ransomware: Muy dañino, encripta (codifica) sus datos y solicita un pago para desencriptarlo.

Pues ahora comenzará a escuchar el término RANSOMWORM: se trata de la unión entre las capacidades de cifrado del ransomware y las de expansión de los gusanos de red, ¿Imagina el daño que puede causarle a una organización, escuela, universidad o pyme? sería relativamente sencillo (y ya ha ocurrido) que un estudiante o trabajador se infecte en su casa y traiga el malware en un usb (sin darse cuenta) a su escuela o a la empresa donde trabaja. Ya hemos tenido conocimiento de organizaciones que han tenido que pagar rescates de varios miles de Euros al haber sido atacadas por este tipo de gusano. Por tanto los datos son el elemento más importante pero a la vez menos valorado y para poder cuantificarlo sólo le hago 2 preguntas a nuestros clientes:

• ¿Cuánto tiempo le ha llevado crear esos datos?
• ¿Cuanto tiempo puede trabajar sin esos datos?

Visto de esta manera, generalmente sí se percibe el valor de nuestros datos. En nuestro caso tenemos información que se ha ido recopilando desde hace más de 20  años en el sector y sinceramente sería imposible poder generar una factura, un presupuesto o buscar un manual o refrescar una formación si dispusieramos de la información en cualquier dispositivo y al instante, además debidamente asegurada y con sistemas de backup automatizados y correctamente configurados. El problema de la información es que es un intangible al que es difícil ponerle valor y que sólo se hace tangible cuando no disponemos de ella.

La revista PYMES en su edición de Abril 2017 nos ofrece una visión de la práctica, cada vez más extendida, del secuestro de la información en la pequeñas y medianas empresas a través de técnicas de Encriptación. Según comentan en su artículo «El secuestro de la información o “criptolocker” crece exponencialmente en las pymes y son muchas las empresas que han tenido que pagar un rescate para recuperar sus datos, según la consultora TI Sistel. Sólo una de cada 10 empresas hace regularmente copias de seguridad, muy pocas tienen un sistema de firewall eficaz y casi ninguna dispone de un plan de contingencia en casos de desastre que les permita recuperar su información. Según Sistel, la ciberseguridad sigue siendo la gran asignatura pendiente de las medianas y pequeñas empresas». (https://revistapymes.es/criptolocker-secuestro-informacion-una-practica-afecta-vez-mas-pymes/)

NOVA Adaptive Defense: La «Única» Solución que garantiza la Seguridad de todas las aplicaciones ejecutadas.

Las soluciones tradicionales antivirus resultan eficaces para bloquear malware conocido utilizando técnicas de detección basadas en ficheros de firmas y algoritmos heurísticos. Sin embargo, no son efectivas contra los ataques de día cero y ataques dirigidos, diseñados para aprovecharse de la ‘ventana de oportunidad del malware’ a través de herramientas, tácticas, técnicas, y procedimientos maliciosos (TTPs).

La “ventana de oportunidad” es cada vez mayor, lo que es aprovechado por los hackers para introducir virus, ransomware, troyanos y otros tipos de malware avanzado y ataques dirigidos en las empresas.

La familia de productos y servicios de Adaptive Defense es la solución a este tipo de ataques. Como Partner Certificado de Panda Security, PCNOVA y su Solución NOVA Adaptive Defense ofrece un servicio gestionado de detección y respuesta en el endpoint capaz de clasificar cada una de las aplicaciones que se ejecutan en la organización de forma precisa, permitiendo ejecutar únicamente lo que es confiable.

NOVA Adaptive Defense se fundamenta en un modelo de seguridad basado en tres principios:

1. Monitorización continua de las aplicaciones de los puestos y servidores de la empresa.
2. Clasificación automática mediante técnicas de Machine Learning en una plataforma Big Data en la nube.
3. Análisis en profundidad por parte de técnicos expertos de aquellas aplicaciones no clasificadas automáticamente, con el fin de conocer el comportamiento de todo aquello que se ejecuta en vuestra organización.

Las verdaderas soluciones de seguridad deben combinar tecnologías avanzadas e inteligencia humana y computacional, es decir, machine learning en manos de expertos en seguridad. Para que una solución de seguridad sea tomada en serio, debe ofrecer el tipo de prevención, detección, visibilidad e inteligencia que pueda detener y prevenir ciberataques de cualquier tipo de forma ininterrumpida. Creemos firmemente que los que toman decisiones deben buscar los siguientes elementos claves a la hora de decantarse por una solución de seguridad para el endpoint:

• Monitorización continua, mediante el registro y supervisión de toda la actividad desarrollada por los procesos en los dispositivos y equipos para detener el software no confiable en el momento de la ejecución, detectar amenazas avanzadas en tiempo real, responder en segundos y recuperarse de forma instantánea.
• Detección de la ejecución de archivos no confiables, que permite a la empresa reducir la superficie de ataque en los equipos y dispositivos. Debe asegurarse de que la solución de seguridad que busca clasifique como confiables o maliciosas todas las aplicaciones ejecutadas en sus equipos y dispositivos.
• Automatización de la detección de amenazas. La amenaza es más veloz que cualquier equipo o dispositivo que quiera proteger. Por tanto, no permita que deleguen en usted la supervisión de la respuesta. Las soluciones de seguridad eficaces deben poder funcionar de forma autónoma y automatizada para adaptarse así al entorno operativo, que es único y característico de su organización.
• Respuesta rápida y automatizada. Las organizaciones están saturadas con el volumen de eventos y alertas generados por los sistemas, pero una vez que el cibercriminal se infiltra, el robo de información es cuestión de segundos. Por eso, la solución de seguridad elegida debe ser capaz de identificar rápidamente un ataque en curso, establecer medidas para evitar los daños y aliviar la carga del equipo. De esta forma, se reducen costes y se automatizan tareas que antes suponían días de trabajo.

Cómo funciona NOVA Adaptive Defense Antiransomware.

La protección avanzada rastrea toda la actividad de los programas ejecutados en tus equipos, detectando y bloqueando de manera inmediata los programas maliciosos. Además actúa en tiempo record ante cualquier duda o riesgo identificado gracias a la supervisión directa de los técnicos del laboratorio.

Modos de funcionamiento:

• Audit : Se rastreará toda la actividad de los programas ejecutados en los equipos pero no actuará ante ninguna detección.
• Hardening: Los programas maliciosos y potencialmente maliciosos serán eliminados. Los programas desconocidos que vienen de Internet permanecerán bloqueados hasta que nuestro laboratorio determine si se trata de malware o no. El resto de programas desconocidos inicialmente se permitirán y pasarán a ser analizados en nuestro laboratorio.
• Lock: Los programas maliciosos y potencialmente maliciosos serán eliminados. Los programas desconocidos permanecerán bloqueados hasta que nuestro laboratorio determine si se trata de malware o no. El resto de programas desconocidos inicialmente se bloquearan y pasarán a ser analizados en nuestro laboratorio. En esta modalidad nuestro servicio gestionado de seguridad estaría en capacidad (en caso de que el cliente lo requiera) de desbloquear desde el panel algún programa, en caso de que fuese fidedigno y por tanto el cliente requiriera autorizarlo.

Requiera más protección? NOVA Adaptive Defense Antiransomware + Advanced Defense 360 Móvil

En algunos casos, existen dispositivos móviles que salen de la organización y que por tanto no gozan de la protección de un Firewall o un UTM (Unified Threat Management), dispositivos de hardware que le adiciona una capa de seguridad que permite:

• Disponer de un Firewall avanzado
• Disponer de un control de Aplicaciones
• Disponer de un IPS (Intrusion Prevention System)
• Disponer de un Filtrado y Monitorización Web

También es posible agregar otra capa de seguridad que active un DLP en el Endpoint (Sistema de prevención de pérdida de datos o Data Loss Prevention)  para control la extracción incorrecta de datos a través dispositivos a conectar como Pendrives, unidades de almacenamiento externas, unidades bluetooh o dispositivos de captura de imágenes, todo con el mismo agente. Por lo tanto, sería posible permitir o bloquear:

• Unidades de almacenamiento extraíbles
• Dispositivos móviles
• Unidades de CD/DVD/Blu-ray
• Dispositivos de captura de imágenes
• Dispositivos Bluetooth
• Módems

…y además 100% Gestionado

Con NOVA Adaptive Defense recibirá (si usted lo requiere y solicita) alertas inmediatas en el momento en que se identifique malware en la red, con un informe completo detallando su localización, las máquinas infectadas y las acciones realizadas por el malware. Nuestro SERVICIO 100% GESTIONADO nos permite gestionar cuarentenas, ficheros sospechosos o desinfecciones y reinstalaciones de los equipos infectados. NOVA Adaptive Defense clasifica todas las aplicaciones de forma automática mediante técnicas de Machine Learning en entornos Big Data bajo la continua supervisión de los técnicos especializados, que controlan en todo momento el proceso.

Además, su exclusivo Análisis Forense le permitirá visualizar mediante grafos de ejecución los eventos desencadenados por el malware, obteniendo información visual del destino de las comunicaciones del malware, los ficheros creados y mucho más con los Mapas de Calor.  Aún más, con NOVA Adaptive Defense podrá localizar el software con vulnerabilidades conocidas instalado en su red para eliminarlo o actualizarlo.

Requisitos para la puesta en marcha de NOVA Adaptive Defense

El agente puede ser instalado en dispositivos con sistema operativo Windows, Linux e incluso en dispositivos móviles con Android.

Instalación del Agente:

• Equipos: Desde Windows XP SP2 a Windows 10 (plataformas de 32/64 bits). (Próximamente MAC OSX, Linux y Android)
• Servidores: Desde Windows 2003 a 2012 (bajo cualquier configuración o arquitectura).

Requisitos de Software:

El agente del servicio Adaptive Defense  es una aplicación que requiere la instalación de los siguientes componentes estándar:

Windows:

• .NET Framework, versión 2.0 SP2 o posterior. Por ejemplo .NET Framework 3.5 SP1. El instalador comprobará si se encuentra instalado o no, pero no lo instalará en caso de que no lo encuentre.
• Visual C++ 2008 Redistributable Package. El instalador comprobará si está instalado o no, y lo instalará en caso necesario: (http://www.microsoft.com/es-es/download/details. aspx?id=5582).

• Certificados Raiz Windows Actualizados.

Si tiene una urgencia por ataques de Día Cero tipo Ransomware o decide estar preparado para que no sea una víctima de este tipo de malware, sólo tiene que rellenar el siguiente formulario y con ello conseguirá NOVA Adaptive Defense por 30 días COMPLETAMENTE GRATIS.

[jotform id=»61704784792365″]

Esperamos haber aclarar y mejorar su conocimiento de este silencioso pero importante problema de Seguridad informática, los ataques «Zero Day».  Estamos convencidos de que podemos protegerle como Proveedores de Servicios de Seguridad Gestionados, será un privilegio poder atender, gestionar y mejorar la seguridad de su infraestructura informática.

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa