Bretxes de seguretat: protegeix-te davant el ransomware

El ransomware és una ciberamenaça amb gran impacte sobre dades de caràcter personal tant en el sector de les pimes com per a grans empreses. T’expliquem com protegir-te.

Volem conscienciar sobre la necessitat de prendre mesures tècniques i organitzatives per a evitar que es produeixin bretxes de seguretat. Aquest foment de la conscienciació es realitza en el marc del principi de responsabilitat activa de Reglament General de Protecció de Dades, especialment en el cas d’usuaris particulars i pimes que amb freqüència solen disposar de menys recursos per a dedicar a aquestes qüestions.

Encara així, malgrat aplicar les mitjanes de seguretat oportunes, les bretxes de seguretat poden ocórrer, per la qual cosa les organitzacions han d’estar preparades per a ser capaces de detectar-les i actuar per a minimitzar i evitar el mal als drets i llibertats de les persones.

Una de les mesures en les quals es materialitza el principi de responsabilitat activa del RGPD és en la obligació de notificar les bretxes de seguretat a l’autoritat de control, tret que sigui improbable que la fallida suposi un risc per als drets i llibertats dels afectats, dins de les 72 hores següents al fet que el responsable sigui conscient que el fet s’ha produït.

A més, en els casos en què sigui probable un alt risc per als drets o llibertats dels afectats, també se’ls haurà de comunicar la bretxa a aquests.

L’objectiu de la comunicació als afectats és permetre que puguin prendre mesures per a protegir-se de les conseqüències.

Un 10% de les notificacions de bretxes de seguretat rebudes en l’AEPD indiquen que el motiu de la bretxa és el xifrat d’equips mitjançant alguna mena de ransomware, i a vegades el vector d’atac és l’accés mitjançant serveis d’escriptori remot.

És habitual que usuaris de pimes i grans empreses necessitin tenir accés des d’internet a un servidor o qualsevol altre equip de la seva xarxa per a executar determinades aplicacions, fer tasques de manteniment o de suport. A vegades, també necessiten proporcionar accés a altres organitzacions que els presten un servei determinat.

Des de Windows NT 4.0, Microsoft incorpora el protocol d’escriptori remot (Remote Desktop Protocol – RDP) que proporciona accés remot a la interfície gràfica de l’equip i permet resoldre la necessitat anteriorment descrita. És un servei habitualment usat en servidors que tenen instal·lat el sistema operatiu Windows, encara que també s’utilitza en altres sistemes operatius, per a evitar haver de desplaçar-se físicament on es troba l’equip.

Coneixent l’adreça d’internet de l’equip (IP o nom DNS) i amb unes credencials vàlides, es pot accedir a la interfície gràfica de l’equip que tingui habilitat el servei i que per defecte utilitza el port de comunicacions 3389 TCP.

Una pràctica no recomanada, però molt habitual per la seva senzillesa d’implementació, és redirigir els ports en l’encaminador del proveïdor d’internet per a permetre aquest accés remot a algun equip de l’organització. En permetre aquesta connectivitat s’està exposant un servei normalment protegit només per usuari i contrasenya.

En un entorn controlat de proves en el qual se simulin les condicions anteriorment descrites, es pot comprovar que en menys d’una hora l’exposició del servei és detectada i es realitzen centenars d’atacs per força bruta.

La forma en la qual es produeix aquest atac és tradicionalment mitjançant phishing, en el qual a través de el enviament d’un correu suplantant a l’emissor es remet un malware com a fitxer adjunt que acabarà xifrant els arxius de l’equip. En els últims anys han cobrat una especial importància els atacs de tipus ransomware en els quals es busca xifrar informació per a posteriorment sol·licitar un rescat per la contrasenya de desxifrat. Encara que sembli una activitat en descens, continua sent una gran amenaça a tenir en compte especialment en el cas de les pimes, un dels seus grans objectius.

Però en l’actualitat també s’utilitzen altres tècniques, com per exemple alguns ransomware com Crysis/Dharma o Matrix el vector d’entrada dels quals és precisament el protocol d’escriptori remot. Utilitzant cercadors com SHODAN, troben equips accessibles que tinguin contrasenyes febles i usuaris per defecte habilitats com a “convidat”, “còpia de seguretat”, etc. Una vegada accedeixen a l’equip procedeixen a deshabilitar sistemes de protecció com a instantànies de volum o punts de restauració i xifren tota la informació del sistema demanant un rescat per a lliurar la contrasenya de desxifrat.

Quan se sofreix un atac d’aquest tipus se sol pensar únicament que s’ha sofert una bretxa de disponibilitat fins que s’aconsegueix recuperar la informació, habitualment des de les còpies de seguretat, si es disposa d’elles. Però no sempre es té en compte que han estat compromesos diferents comptes d’usuari que poden pertànyer a un domini, que s’ha pogut accedir a altres equips de l’organització i aconseguir credencials diferents a les del servidor afectat, a més es desconeix si el malware ha pogut enviar alguna informació emmagatzemada en els nostres sistemes cap a l’exterior.

La primera mesura preventiva a dur a terme per a evitar aquests atacs és no exposar els serveis d’escriptori remot directament a internet mitjançant la redirecció de ports, en considerar-se una pràctica insegura.

Seria recomanable establir almenys un servei com Remote Desktop Gateway, o millor encara implementar un sistema de xarxa privada virtual (Virtual Private Network – VPN) en la qual es consolidin els accessos des de l’exterior. D’aquesta manera tindrem un únic sistema exposat que és el que haurem de vigilar amb major diligència. A més, no hem d’oblidar recomanacions bàsiques com deshabilitar comptes d’usuari innecessàries o credencials simples, tenir els sistemes actualitzats i implementar sistemes de doble autenticació.

Com a mesura correctiva, disposar de còpies de seguretat de les dades és la mesura més eficaç.

Per a més informació sobre mesures preventives i com actuar davant un ransomware que hagi xifrat els teus dispositius, des de l’Agència Espanyola de Protecció de Dades et recomanem consultar la guia sobre Ransomware publicada per INCIBE, el informe de bones pràctiques del CCN-CERT i les recomanacions de mesures de seguretat davant ransomware també del CCN-CERT .

Font: AEPD