Y seguimos viendo ataques de ransomware en primera plana, ahora llega la variante conocida como FAIRWARE enfocada en dañar a los servidores web especialmente del sistema operativo Linux.
Todo inició como un comentario en el foro Bleeping Computer, algunos de los usuarios atacados explicaban la forma en la que se habían forzado sus máquinas para obtener acceso.
Como primer paso, los atacantes se enfocan en llegar al servidor. Una vez dentro supuestamente “cifran” los archivos y eliminan todo lo que contenga la carpeta web, borran los archivos originales y exigien el pago de un rescate en Bitcoins para recuperar la llave con el acceso a los archivos.
Pero lo más preocupante de esta variante es que deja al servidor web inservible.
Pues, al eliminar los contenidos de la carpeta www deja al servidor web sin uso, lo que puede ser una catástrofe en caso de afectar a las aplicaciones críticas del negocio, pues detendría la operación en segundos.
Ya sea que te quedaste sin conexión, o estás diseñando una estrategia para que esto NUNCA pase, es un buen momento de revisar si estás asegurando la información que aloja tu servidor de forma correcta, más ahora que la nueva variante de ransomware está impactando a servidores.
Te compartimos estos 3 elementos esenciales que el diseño de tu estrategia de seguridad debe contemplar al proteger los servidores:
1) La detección temprana de un ataque.
Detectar a tiempo es vital, si se identifica algún tipo de actividad sospechosa en la red, incluyendo los casos en los que se recurre a la fuerza bruta como la utilizada por FAIRWARE y el movimiento lateral de servidor a servidor se puede realizar el bloqueo a tiempo, reduciendo el nivel de impacto.
2) Blindaje ante ataques (SAMSAM).
Proteger a los servidores y las aplicaciones críticas del negocio ante la estrategia cibercriminal de un malware como ransomware que aproveche una vulnerabilidad como entrada al servidor es esencial. Las fuerzas deben enfocarse en el aprovechamiento de vulnerabilidades conocidas.
3) Protección de archivos empresariales.
Detener el acceso al centro de datos, pues si el malware logra entrar la propagación inicia en segundos, el objetivo aquí es minimizar con técnicas de detección y bloqueo especialmente a los servidores que alojan grandes volúmenes de datos corporativos valiosos.
Tal vez para muchos, esta noticia no sea novedad, pues al escuchar tantas variables de ransomware captando la atención de los equipos de TI. Como SAMSAM, una de las familias de ransomware que aprovechaba una vulnerabilidad de JBOSS, por ejemplo. Una más ya no causa diferencia, sin embargo esta variable tiene un toque especial al enfocarse en el servidor. Hemos afirmado en muchas ocasiones que los ataques cibercriminales de las familias de ransomware se centran en el usuario final, sin embargo no por proteger solo a los usuarios debemos dejar de lado la protección a los servidores.
Pues en ellos, se ejecutan las aplicaciones más críticas del negocio, pudiéramos decir que el servidor es la caja fuerte de la empresa pues es ahí donde se almacenan la mayoría de los datos empresariales sensibles, para los cuales la protección es que es de carácter obligatorio. A esto, hay que sumarle el hecho que los servidores se encuentren alojados en la nube, ante este caso los controles de seguridad deben tomar en cuenta todos los posibles escenarios de riesgo.
Ahora, si el pago del rescate no se efectúa a tiempo (14 días aprox) hay consecuencias, pues desde el mensaje inicial en donde se informa que fuiste vulnerado y se exige el pago del rescate los atacantes incluyen una nota de advertencia: Al no realizar el pago en tiempo no se recuperan los archivos y se darán a conocer a todo el público.
Al no existir testimonios de las víctimas que confirmen si el ransomware FAIRWARE realmente quita los archivos antes de eliminarlos, o si solamente utilizan ese mensaje para aterrar a la víctima y lograr que pague el rescate, esta variable sigue generando dudas, pero siempre es mejor prevenir que lamentar.
Por ahora no hay nadie que haya realizado el pago de rescate, sin embargo si los datos robados realmente son valiosos, creo que sin pensarlo como víctima intentaras recuperar la información a como dé lugar. ¿no lo crees?
Queremos ayudarte a enfrentar los retos que ransomware y todas sus variables, para esto preparamos una guía con las recomendaciones prácticas para evitar ser víctima de Ransomware además en conjunto con el equipo especializado de Trend Micro dedicado a analizar y crear estrategias de seguridad integral para combatir las estrategias cibercriminales que utilizan ransomware para dañar a las organizaciones, estamos generando asesorías gratuitas para evitar ser víctima de ransomware puedes agendar la tuya aquí puedes agendar la tuya aquí y mientras te visitan puedes revisar estos consejos útiles y herramientas que prepararon para ti.
¿Hay otros elementos que consideras importantes? ¿Ya estás utilizando alguna estrategia que los contemple? Cuéntanos, queremos conocer que piensas.