Parece ser que el ransomware está por todas partes y los foros sobre ciberseguridad cuentan con temas sobre cómo afrontarlo. El ransomware evita la detección por firma, su cifrado es siembre irrompible y no tiene por qué tener permisos de administrador para causar daño. Afecta a archivos compartidos en la red, desactiva los puntos de restauración, elimina las instantáneas y localiza tus copias de seguridad para borrarlas (en otras palabras, todo tipo de daño imaginable). ¿Ha llegado el momento de rendirse? La verdad es que no.
En Kaspersky Lab, tenemos una gran solución preventiva que no solo detecta el ransomware en el estado de infección, sino que también, si alguien ejecuta el archivo, la herramienta puede detectar el comportamiento malicioso, bloquear sus acciones y deshacer los cambios. Podrán encontrar información adicional en los siguientes enlaces:
- Módulo System Watcher
- Subsistema de contramedidas para el malware cifrador
Hemos visto algunos escenarios en los que esto no funcionaría. Quizá el peor sea cuando dispones de recursos compartidos en red y, de repente, un dispositivo infectado empieza a cifrar los archivos del disco compartido. Aunque monitorices el servidor, no hay nada que detectar, pues el servidor en sí no está infectado, por lo que no importa cuánto lo analices. El malware continuará con su trabajo, probablemente muerto de risa por tus intentos de prevenir el daño.
Este es exactamente el escenario que hemos intentado abordar con la actualización Kaspersky Security for Windows Server (Kaspersky Security for Windows Server Enterprise Edition). La nueva versión monitoriza la actividad compartida y, en el caso de que crea que un dispositivo está ejecutando actividad maliciosa (es decir, cifrando los datos de tu empresa, lo desconecta de la red durante 30 minutos y notifica al administrador para que tú no tengas que desenchufarlos todos y reconectarlos uno a uno para identificar el afectado.
Recuerda el planteamiento multicapa de la seguridad. Haz copias de seguridad con regularidad. Impide que te lleguen correos basura. Detén al malware conocido (las firmas son la manera más fácil para ello, por lo que debes tenerlas en cuenta). Comprueba con la inteligencia en la nube. Utiliza un entorno de pruebas. Deja que el cortafuegos actúe por ti.
Asegúrate de que la aplicación de control de privilegios impide que las aplicaciones accedan a tu información personal a no ser que cuenten con permiso expreso. O, puedes ir a por todas y activar el modo de denegación por defecto. Monitoriza los progresos que has permitido que ejecuten intentos de explotación y actividades maliciosas. Deshaz los cambios maliciosos si algo sale mal. Asegúrate de que cada nodo de la red esté protegido (el servidor proxy, el servidor de correo, el servidor SharePoint, el almacenamiento del dispositivo o el de archivos). No querrás que algo malicioso se cuele por tu red a la espera de que un malware lo active.