Por Teresa Wingfield
Los nuevos ransomware de servidores como el caso de SamSam y Maktub están a la caza de víctimas. Anteriormente, el ransomware, se instalaba por medio de acciones determinadas como hacer clic en un enlace o abrir un archivo, ahora, estamos hablando del ataque a servidores vulnerables como aquellos con software sin parches y aplicaciones caducadas, tal es el caso de SamSam, el cual se ha propagado principalmente atacando a servidores de aplicaciones JBoss sin parches.
Funciona así: La nueva cepa de ransomware cifra los archivos en el servidor puesto en riesgo y penetra en la red para atacar a otros sistemas. Una vez que sus datos han sido secuestrados a las víctimas se les pide que efectúen pagos, normalmente en Bitcoins, para obtener una copia del software de descifrado junto con una clave privada.
¿Cómo prevenirlo?
1. Implementar un antivirus tanto para servidores físicos como virtuales que logre hacer un registro de archivos, mensajes y remitentes en tiempo real, empleando así millones de sensores alrededor del mundo, Ej. Blacklisting es el nombre del software de antivirus de Intel Security, que gracias a la enorme base de datos con la que cuenta, respalda dichas necesidades, pues al escanear su servidor, pondrá en cuarentena y suprimirá los archivos que coincidan con malware o ransomware conocido.
2. Monitorear la conducta del código del servidor con el fin de detectar a tiempo entradas sospechosas mediante el análisis de movimientos o actividades. HIPS, Sistema de Prevención de Intrusiones en Host, es una de las soluciones de seguridad, los hackers cada día incrementan el uso en las muestras de malware únicas para atacar a las organizaciones, para ellos resulta fácil, simplemente alteran un poco la formula y ya tienen un nuevo malware.
3. Blindar el servidor con un sistema de control que permita la ejecución del software bueno e impidiendo la entrada del ransomeware. Ej. whitelisting o lista blanca
4. Monitorear proactivamente la integridad de los archivos por medio del control de Cambios, los atacantes suelen ocultar su actividad de ransomware modificando la configuración de las herramientas de detección. Un sistema como este, podrá notificar los cambios tan pronto como se produzcan, con el fin de contener la propagación del cifrado de ransomware o de impedir su entrada.
0 Comentarios
Deje su comentario