Prevención Ransomware

10 octubre 2018

Ya conocemos los virus tipo Ransomware en los que el atacante cifra nuestros archivos y nos pide mucho dinero a cambio de su recuperación. Los procedimientos de infección solían ser a través de un correo electrónico en que se nos engañaba y se nos invitaba a seguir unos pasos que provocaban la ejecución del malware. En algunos casos nos llegaba el adjunto malicioso y en otros se nos introducía en el sistema a través de la web a las que nos redirigía. Podíamos infectarnos también directamente navegando por sitios web que estaban infectados o bien sitios directamente maliciosos. Lo que estamos viendo últimamente es la proliferación de la propagación de estos virus a través de los servicios de Terminal. Es habitual tener montado el servicio de Terminal Server de Microsoft en servidores para el acceso remoto. La novedad es que sin hacer «nada», nos puede entrar el virus por tener montado este servicio sin un sistema de seguridad adicional. El procedimiento es que multitud de equipos infectados en todo el mundo por un troyano, nos ataquen al puerto del servicio del terminal para averiguar la contraseña por la «fuerza bruta» (intentando todas las combinaciones posibles de los caracteres existentes) o bien por «diccionario» (probando usuarios y contraseñas habituales) y obtengan la contraseña de acceso de Administrador para posteriormente entrar con estas credenciales e inocularnos el virus. Hemos sido testigos de un ataque con la obtención de una contraseña de 8 dígitos. Pensad que el probar contraseñas no es más que una cuestión de tiempo, si tenemos millares de equipos en todo el mundo a nuestra disposición para atacar un sistema, el resultado es que tarde o temprano se obtiene. Pues bien, la solución ante este problema es o bien eliminar el servicio de Terminal, cosa inviable en algunos casos, o bien, montar un firewall físico y habilitar el acceso a través de una VPN como paso previo al uso de este servicio. El problema que se nos planteaba es que este tipo de soluciones solían ser caras y accesibles únicamente para grandes empresas. Hoy estamos montando equipos Entry Level a un precio muy asequible que nos garantizan un nivel de seguridad análogo al que usan empresas grandes.