Qué hacer si me ataca un Ransomware

Cómo saber que Ransomware me ha infectado

Los estudios realizados a diferentes víctimas de algún ransomware evidencian que existen varias señales que se repiten al mirar a través de los registros de telemetría correspondientes a semanas anteriores.

Un minucioso análisis del comportamiento del sistema en los días previos al momento del ataque, ha mostrado anomalías que por sí solas no representan ningún peligro; pero que en el contexto inapropiado sí actúan maliciosamente. Se trata de herramientas de administración de red legítimas, las cuales se utilizan por los ciberdelincuentes para preparar el escenario idóneo para el ataque.

La buena noticia es que estas pequeñas anomalías sí pueden ser detectadas y consideradas como un importante indicador de posibles amenazas en la seguridad informática de la futura víctima.

Sin más, estas son 5 señales que indican un posible ataque de ransomware:

Escáner de red, principalmente en un servidor

Generalmente, los atacantes empiezan a buscar acceso a un servidor para encontrar información necesaria como el nombre de dominio y/o de la empresa; el tipo de derechos de administración que posee el ordenador en cuestión, entre otros. Esto, siempre que se trate de Mac o Windows.

Luego proceden a ampliar la búsqueda para saber qué datos o recursos se encuentran disponibles en la red, y a cuál o cuáles de ellos pueden acceder. Ante cualquier intervención inusual de un escáner de red, como AngryIP o Advanced Port Scanner; lo mejor es buscar ayuda inmediatamente y empezar a investigar inmediatamente.

Herramientas que inhabilitan el software antivirus

Una vez que el atacante logra conseguir los derechos de administración de la red, lo más común  es que intente inhabilitar la acción protectora de cualquier software de seguridad con aplicaciones diseñadas especialmente para esa función, como Process Hacker, IOBit Uninstaller, GMER, PC Hunter, entre otras.

Si bien se trata de herramientas completamente legítimas, pueden significar un gran peligro para la seguridad informática de una empresa cuando se utilizan por personal no autorizado. Ante la aparición repentina de esta señal, lo más recomendado es, sin duda, proceder a un análisis profundo lo más rápido posible.

Presencia de MimiKatz

Cualquier detección de MimiKatz debe ser estudiada siempre. Alguien del equipo de administración debería ser capaz de responder por el uso de MimiKatz, de lo contrario sería una señal de alerta rápida. Se trata de una herramienta que permite obtener credenciales y por esa razón es muy utilizada para hacer piratería.

A veces también se utiliza Microsoft Process Explorer, una herramienta legítima que permite volcar LSASS.exe de la memoria y crear un archivo .dmp. Esto hace más efectivo aún el ataque, ya que traslada a un entorno propio los datos para usar MimiKatz en la máquina de prueba del atacante.

Patrones de comportamiento sospechoso

Una detección que ocurre diariamente y a la misma hora o que responde a un patrón cualquiera suele ser una señal de que algo puede estar sucediendo, aun cuando se detecten y eliminen los archivos maliciosos. Generalmente el hecho de que el ataque vuelva regularmente significa que existe otro ataque aún más peligroso, el cual aún no ha sido aún detectado.

 

Prueba de ataques

A veces el atacante usa alguna computadora para hacer una prueba que le permite medir la eficiencia de sus métodos de implementación, así como la correcta ejecución del ransomware. Cuando el software de seguridad detecta y detiene el ataque, la prueba suele repetirse con otra técnica. Muchas veces esto ocurre horas antes del verdadero  ataque, por eso es muy importante reaccionar rápido ante fenómenos de este tipo.

 

Si estas 5 señales están presentes en tu computadora, entonces presta mucha atención a este ciberataque siguiendo las recomendaciones de nuestro experto:

“Ser atacado por un Ransomware es uno de los grandes retos que a veces nos toca enfrentar; sin embargo, podemos tomar las previsiones adecuadas para evitar estos ataques, entre las cuáles tenemos: asegurarse de que tus firewalls estén activados, evita visitar sitios web sospechosos y no hacer clic en enlaces maliciosos que lleguen desde el correo electrónico. Un programa de antivirus también puede ayudar a que tu empresa esté a salvo de cualquier ataque cibernético”. Explica José Domingo Abogabir, CEO y Director General de Measured Security.

Tags: