La realidad demuestra que evoluciona mucho más rápido y con mayor complejidad que los virus. En este informe nos concentramos en repasar su estado actual y definir contramedidas específicas para un problema que las herramientas no logran controlar con eficiencia.
Las nuevas técnicas que utilizan este tipo de malware involucran acciones como su instalación sin acciones determinadas por parte de los usuarios, como hacer clic en un enlace o abrir un archivo. Los nuevos Ransomware atacan a servidores vulnerables como aquellos con software sin parches y aplicaciones obsoletas, como es el caso de SamSam, el cual se propagó atacando a servidores de aplicaciones JBoss sin parches.
La nueva generación de Ransomware cifra los archivos en el servidor puesto en riesgo y penetra en la red para atacar a otros sistemas. Una vez que sus datos han sido encriptados, a las víctimas se les pide que efectúen pagos, normalmente en Bitcoins, para obtener una copia del software de descifrado junto con una clave privada.
MEDIDAS DE PREVENCIÓN PARA SERVIDORES SEGÚN INTEL SECURITY
Blacklisting – El software de antivirus de Intel Security para servidores físicos y virtuales está respaldado por una enorme base de datos que registra la reputación de archivos, mensajes y remitentes en tiempo real, empleando millones de sensores en todo el mundo. Después de escanear un servidor, lo pondrá en cuarentena y suprimirá los archivos que coincidan con malware o Ransomware conocido.
Sistema de Prevención de Intrusiones en Host (HIPS) – Los hackers usan cada vez más muestras de malware únicas para atacar a las organizaciones. Simplemente cambian un poco su estructura y ya tienen nuevo malware. HIPS resuelve este problema mediante el monitoreo de la conducta del código en su servidor, en busca de actividad sospechosa mediante el análisis de eventos.
Whitelisting – Debido a que la lista blanca o whitelisting permite que se ejecute sólo el software bueno, es altamente efectivo en la prevención de ejecución de Ransomware en su servidor.
Control de Cambios – Los atacantes suelen ocultar su actividad de Ransomware modificando la configuración de las herramientas de detección. El monitoreo proactivo de la integridad de archivos disponible en el control de cambios de Intel Security puede notificarle los cambios tan pronto como se produzcan para contener la propagación del cifrado de Ransomware o puede detenerlos para impedir el Ransomware.
CLAVES PARA EL CANAL
Es importante que el canal tenga presente que el hecho de que los clientes pueden estar a salvo del Ransomware solo con un Antivirus actualizado es un error.
Otro punto interesante para encarar el negocio, es comprender que si bien es una medida trabajosa el uso de whitelisting demostró ser reactivo pero eficiente para no volver a ser víctima de las amenazas que ya se conocen.
Finalmente, el canal debe saber que ya no se puede dudar sobre la conveniencia o no de colocar antivirus en todos los servidores. Aunque estén rodeados de otras capas de seguridad antimalware, el Ransomware de última generación puede llegar a ellos.
Compartir nota:
