Hace un par de meses comentábamos en este blog la noticia de un nuevo tipo de ransomware orientado a servidores Windows 2003 Server.
Durante esta semana, nuestros compañeros del servicio técnico
han estado atendiendo varias consultas de usuarios que han sido
afectados por una nueva versión de este malware, por lo que creemos de
interés recordar su funcionamiento y cómo evitar verse afectado.
Este ransomware no se conforma solamente
con bloquear el acceso al sistema, sino que, además, cifra todos los
archivos almacenados en el servidor, incluyendo las copias de seguridad.
Esto es especialmente grave en el caso de aquellas empresas que
almacenan todos sus datos en un único servidor y este se ve afectado por
este código malicioso.
En la mayoría de los casos que hemos
atendido hasta el momento, los ordenadores afectados han sido servidores
con sistema operativo Microsoft Windows Server 2003 con el Terminal
Server habilitado. Esto se debe a que los atacantes realizan un ataque
dirigido contra el puerto de escucha de Terminal Server (3389)
aprovechando una vulnerabilidad conocida.
A continuación, los atacantes consiguen
romper las contraseñas de alguno de los usuarios con permisos de
administrador utilizando técnicas de fuerza bruta. Una vez se ha
conseguido acceso a la máquina, se cifran todos los archivos que puedan
contener datos importantes y los almacena en un fichero .rar
estableciendo una clave AES de 256 bits.
Una vez cifrados aquellos ficheros con
datos, muestra en pantalla una ventana avisando de este hecho y
solicitando el pago de una cantidad de dinero de la que se informará por
correo, aunque ya avisa de que no será precisamente barato. Por
desgracia, hay muchas empresas que dependen de la información almacenada
en el servidor comprometido y no serán pocos los que cedan ante este
chantaje sin saber que esto les marca como objetivos prioritarios ante
futuros chantajes similares.
Para evitar futuros casos de infección
por este ransomware, desde el departamento técnico de ESET NOD32 en
España aconsejamos realizar las siguientes acciones:
- Cambiar el puerto por defecto que utiliza Terminal Server (3389) por otro que no esté en uso.
- Aplicar los parches de Microsoft disponibles para servidores Windows 2003 y superiores, especialmente, los que afecten al Terminal Server.
- Comprobar las diferentes cuentas de acceso al sistema y eliminar o deshabilitar aquellas que no sean necesarias, sobre todo las que tengan acceso al Terminal Server.
- Cambiar las contraseñas de acceso. Es fundamental utilizar contraseñas robustas (es aconsejable utilizar números, mayúsculas, símbolos y además una longitud de 12 caracteres como mínimo) para, al menos, dificultar lo máximo posible que el ataque de fuerza bruta rompa nuestra seguridad.
- Disponer como mínimo de dos copias de seguridad de nuestros datos y que estas se encuentren en lugares distintos.
- Proteger con contraseña el acceso a la configuración de los productos ESET tanto en equipos clientes como en servidores.
De esta forma dificultaremos al máximo
las posibilidades de ver comprometido algo tan crítico como nuestros
servidores y perder el acceso a la valiosa información que en ellos
solemos almacenar. Y aun en el caso de que nos veamos afectados por este
tipo de malware, siempre podremos restaurar los datos desde alguna de
las copias de seguridad realizadas.
Este tipo de incidentes nos debe hacer
recordar la importancia de seguir una serie de procedimientos y medidas
de seguridad a la hora de proteger tanto estaciones de trabajo como
dispositivos móviles o, como en este caso, servidores. Solo aplicando
este tipo de medidas evitaremos ser una presa fácil de los
ciberdelincuentes.
Fuente: Protegerse
O mejor cambiese a linux
ResponderEliminar