Defensa contra amenazas tipo Cryptolocker

Defensa contra amenazas tipo Cryptolocker

Watchguard APT Blocker, protección perimetral contra malware avanzado

 

Las amenazas avanzadas persistentes (APT por sus siglas en inglés), se aprovechan de la curiosidad y desinformación de los usuarios,para realizar una infección con malware avanzado que les permita obtener la información que buscan. En toda empresa siempre hay un eslabón más débil, por lo que siempre estudian a la empresa con detenimiento para encontrarlo.

Las empresas pequeñas y medianas son cada vez más objeto de este tipo de ataques pues los mismos se han profesionalizado y cuentan con herramientas que lo
automatizan. En un ataque, el objetivo en la inmensa mayoría de las ocasiones es el beneficio económico.
La sencillez sumado a las carencias en seguridad de la pequeña y mediana empresa, hacen que atacarles sea muy rentable.

Todos nosotros cerramos con llave la puerta de entrada de nuestras casas, aunque no tengamos cuadros valiosos, joyas, o coches de lujo.
Las medidas que ponemos, son, por supuesto, proporcionales al contenido. Toda empresa, por muy pequeña que sea, tiene información que es crítica y
necesaria. Contar con una solución que les ayude a protegerse debiera ser una prioridad, como lo es, cerrar la puerta en casa.

Cualquier empresa debe contar con una política de seguridad que cubra la parte perimetral, los puestos de trabajo, y los propios usuarios
(claves, sin duda). La parte perimetral es la primera a tener y nuestro consejo es que se tenga en cuenta los siguientes cinco consejos:
1) Disponer de una defensa en profundidad para cubrir diferentes vectores de ataque (IPS, AV, Control de aplicaciones, URL filtering, …). Los ataques no
usan únicamente un medio por lo que una solución de antispam, o impedir el acceso a páginas web con mala reputación son una buena ayuda.
2) Protección contra malware avanzado. Los antivirus son insuficientes pues el malware muta para evitar ser reconocido con firmas. Es imprescindible
contar con una solución que ejecute el fichero en entornos de simulación/emulación para garantizar que no se va a producir ningún tipo de infección

 

 

88
3) Soluciones contra phishing: antispam + concienciación de usuarios. Al final, todo malware ha de ser introducido en la red y para ello se explota
la curiosidad del usuario más débil de la cadena. 4) Bloqueo de canales de comunicaciones para evitar conexiones del malware
5) Herramientas de visibilidad que muestren en todo momento qué sucede en la red (de media, las empresas tardan 80 días en darse cuenta que han tenido
una brecha de seguridad por no contar con las herramientas adecuadas)

 

 

image002

 

Recientemente ha habido un nuevo ataque dirigido principalmente contra la pequeña y mediana empresa en el que enviaban un correo electrónico
a personas de departamentos de administración y logística, haciéndoles creer que tenían un paquete pendiente de recibir:

 

 

image003

 

Al entrar en el enlace, les redirigía a una página web falsa con el mismo aspecto que la de Correos:

 

 

image004
Introduciendo el captcha, el usuario se descargaba el malware Cryptolocker que procedía a realizarle una encriptación de todos sus datos. Como se ha mencionado anteriormente, un ataque de estas características evita ser detectado por los antivirus. Las personas que lo realizan compran en el mercado negro una versión con una ligera variación para que la firma no coincida, evitando ser detectado. Por nuestra parte, 24 horas después del ataque procedimos a comprobar cuántos antivirus eran ya capaces de detectarlo:

 

 

image005

 

 

Únicamente 3 de 57 lo hacían (normalmente es cero pero por el tipo de ataque tan masivo, los propios fabricantes de antivirus han tenido conocimiento antes). Es por ello que los anitivirus son una herramienta insuficiente (que no innecesaria) para estar correctamente protegidos. WatchGuard cuenta con una solución para detectar y
proteger el perímetro contra malware avanzado. Se trata de una solución que realiza simulaciones con los archivos que se tienen dudas para comprobar qué es exactamente lo que haría dentro de un equipo real de un usuario. Para comprobar la eficacia del servicio de APT Blocker, se activó el mismo y se
realizó de nuevo la descarga. Nada más hacerlo, y dado que el malware era nuevo y no había sido aún analizado nunca, el archivo se subió al entorno cloud para realizar su simulación (este proceso nunca se hace en el propio equipo, evitándose así penalizar el rendimiento del UTM).

A los pocos minutos notificó que era malware con riesgo alto. Se trató de descargar el archivo de nuevo, y el sistema ya lo bloqueaba indicando su criticidad:

 

image006

 

 

Gracias, por tanto, a la solución de APT Blocker, se pudo bloquear este ataque (como así ha resultado en muchos clientes de WatchGuard) que con una solución tradicional de antivirus no habría sido posible.

 

Guillermo Fernández

Sales Engineer WatchGuard España

No Comment

Comments are closed.

Partners