Mitigación de ransomware y protección con
Symantec Endpoint Protection
y Symantec Endpoint Security

¿Qué es ransomware?

El ransomware es una categoría de software malicioso que cifra documentos, lo que los hace inutilizables, y deja el resto del equipo accesible. Los atacantes de ransomware intentan forzar a sus víctimas a pagar un rescate mediante formas de pago específicamente detalladas, después de lo cual pueden o no permitir que las víctimas accedan a sus datos.
El ransomware dirigido es más complejo que los ataques de ransomware originales e implica mucho más que la infección inicial.Los atacantes han encontrado más maneras de extorsionar a organizaciones usando el siguiente intervalo de métodos de distribución:
  • Phishing
    : Correos electrónicos enviados a empleados camuflados como correspondencia relacionada con el trabajo.
  • Malvertising
    : Se comprometen sitios web de medios para proporcionar anuncios maliciosos que contienen un marco basado en JavaScript conocido como SocGholish, que se enmascara como una actualización de software.
  • Explotación de la vulnerabilidad
    : Explotación de software vulnerable que se ejecuta en servidores públicos.
  • Infecciones secundarias
    : Se aprovechan botnets preexistentes para entrar en la red de la víctima.
  • Servicios mal protegidos
    : Se ataca a organizaciones mediante servicios de RDP mal protegidos, aprovechando credenciales filtradas o poco seguras.

Protéjase contra el ransomware usando
Symantec Endpoint Protection Manager
o Symantec Endpoint Security

Los ataques de ransomware dirigidos se pueden desglosar en las siguientes fases generales: peligro inicial, elevación de privilegios y robo de credenciales, movimiento lateral y cifrado y eliminación de copias de seguridad.La mejor defensa es bloquear muchos tipos de ataques y conocer la cadena de ataque que la mayoría de los grupos de delitos informáticos usan para poder identificar prioridades de seguridad.Desafortunadamente, la eliminación de ransomware no se puede realizar mediante las herramientas de eliminación.
En
Symantec Endpoint Protection Manager
o Symantec Endpoint Security, implemente y habilite las siguientes funciones. Algunas funciones están habilitadas de forma predeterminada.
Función
Symantec Endpoint Protection
Symantec Endpoint Security
Protección basada en archivos
Symantec pone en cuarentena los siguientes tipos de archivos: Ransom.Maze, Ransom.Sodinokibi y Backdoor.Cobalt
La protección antivirus y antispyware está habilitada de forma predeterminada.
Cómo evitar y controlar ataques de virus y spyware en equipos cliente
La política de protección contra software malicioso está habilitada de forma predeterminada.
SONAR
La protección basada en conductas de SONAR es otra defensa crucial contra software malicioso. SONAR evita que se ejecuten variantes de nombres de archivos ejecutables dobles de ransomware, como CryptoLocker.
En una política de protección antivirus y antispyware, haga clic en
SONAR
>
Habilitar SONAR
(habilitada de forma predeterminada).
Administrar SONAR
En una política de protección contra software malicioso, haga clic en
Habilitar análisis de comportamiento
(habilitada de forma predeterminada).
Diagnóstico Insight de descargas o protección intensiva
Modifique Symantec Insight para poner en cuarentena los archivos que la base de clientes de Symantec aún no ha probado que sean seguros.
Diagnóstico Insight de descargas forma parte de la
Política de antivirus y antispyware - Alta seguridad
predeterminada.
Diagnóstico Insight de descargas siempre está habilitado y forma parte de la
política de protección intensiva
. Para modificar la configuración de la protección intensiva, consulte:
Sistema de prevención de intrusiones (IPS)
:
  • IPS bloquea algunas amenazas que las definiciones de virus tradicionales solamente no pueden detener. IPS es la mejor defensa contra descargas no autorizadas, que ocurren cuando el software se descarga involuntariamente de Internet. Los atacantes a menudo usan kits de puntos vulnerables para enviar un ataque basado en Web, como CryptoLocker, con una descarga no autorizada.
  • En algunos casos, IPS puede bloquear el cifrado de archivos interrumpiendo la comunicación de comando y control (C&C).Un servidor de comando y control es un equipo controlado por un atacante o criminal informático que se usa para enviar comandos a sistemas en peligro mediante software malicioso y para recibir datos robados de una red de destino.
  • La
    reputación de URL
    evita las amenazas web en función de la puntuación de la reputación de una página web.La opción
    Habilitar la reputación de URL
    bloquea las páginas web con puntuaciones de reputación por debajo de un umbral específico. (Versión 14.3 RU1 y posteriores).
Habilitación de la prevención de intrusiones de red o la prevención contra intrusiones de navegador
La reputación de la URL está habilitada de forma predeterminada.
Introducción a la prevención de intrusiones
La reputación de URL no está habilitada de forma predeterminada.
Bloquear archivos PDF y scripts
En la política excepciones, haga clic en
Excepciones de Windows
>
Acceso a archivos
.
Utilice las listas de aceptación y denegación para evitar archivos y dominios conocidos que son maliciosos.Haga clic en
Configuración
>
Lista de denegación y Lista de aceptación
.
Descargar los últimos parches para marcos de aplicaciones web, navegadores web y complementos de navegadores.
  1. Use el Control de aplicaciones y dispositivos para evitar que las aplicaciones se ejecuten en los directorios del perfil de usuario como, por ejemplo, Local y LocalLow.Las aplicaciones de ransomware se instalan en muchos directorios además de en los directorios Local, Temp y Low.
  2. Use Endpoint Detection Response (EDR) para identificar archivos con comportamiento de ransomware:
    1. Deshabilite los scripts de macro de los archivos de MS Office que se transmiten por correo electrónico.
    2. Haga clic con el botón secundario del ratón en los endpoints detectados y seleccione
      Isolate
      (Aislar). Para aislar y volver a unir los endpoints desde la consola, se debe tener una política de firewall de cuarentena en Symantec Endpoint Protection Manager asignada a una política de integridad del host.
  • Análisis de detección: La consola de la nube proporciona una vista completa de los archivos, las aplicaciones y los archivos ejecutables que aparecen en el entorno. Se puede ver información sobre los riesgos, las vulnerabilidades, la reputación, el origen y otras características que se asocian a estos elementos detectados.
  • El uso de elementos detectados cuando EDR está habilitado. El agente de detección en SES es similar al detector no administrado en SEP, pero el agente proporciona mucha más información sobre archivos y aplicaciones individuales.
  • El control de aplicaciones controla y administra el uso de aplicaciones no deseadas y no autorizadas en el entorno.El control de aplicaciones en SES es una función diferente que en SEP.
    Introducción al control de aplicaciones
    • Para los agentes de Symantec 14.3 RU1 y versiones posteriores, use el aislamiento del comportamiento para endpoints que no usan el aislamiento de aplicaciones y el control de aplicaciones. La política de aislamiento de aplicaciones basada en comportamientos identifica cómo manejar comportamientos sospechosos que pueden realizar aplicaciones de confianza.Se reciben alertas en la consola de la nube y un mensaje en la política cuando una firma de un nuevo comportamiento o una firma de un comportamiento existente está disponible en la política. Se determina si el comportamiento es resultado de un ataque en un archivo y se especifica una acción.
Parte de Symantec Endpoint Security Complete
Protección de acceso web y en la nube
y Web Security Service
Utilice
Protección de acceso web y en la nube
y la configuración de la conexión segura de modo que, ya sea en una red corporativa, en casa o fuera de la oficina, los endpoints tengan la capacidad de integrarse con Symantec Web Security Service (WSS). NTR redirecciona el tráfico de Internet en el cliente a Symantec WSS, donde el tráfico se permite o bloquea en función de las políticas de WSS.
Mitigación de puntos vulnerables en la memoria
Protege contra vulnerabilidades conocidas en software sin parches como, por ejemplo, el servidor web de JBoss o Apache, que los atacantes aprovechan.
AMSI y análisis sin archivos
Los desarrolladores de aplicaciones de otros fabricantes pueden proteger a sus clientes del software malicioso dinámico basado en scripts y de otras vías no tradicionales de ciberataque. La aplicación de otro fabricante llama a la interfaz de Windows AMSI para solicitar un análisis del script proporcionado por el usuario y que se envía al cliente de Symantec Endpoint Protection. El cliente responde con un veredicto para indicar si el comportamiento del script es malicioso o no. Si el comportamiento no es malicioso, se continúa ejecutando el script. Si el comportamiento del script es malicioso, la aplicación no lo ejecutará. En el cliente, el cuadro de diálogo Resultados de la detección muestra el estado "Acceso denegado". Algunos ejemplos de scripts de otros fabricantes son Windows PowerShell, JavaScript y VBScript. Auto-Protect se debe habilitar. Esta funcionalidad funciona con equipos con Windows 10 y versiones posteriores.
Versión 14.3 y posteriores.
No disponible.
Endpoint Detection and Response (EDR)
EDR se centra en comportamientos en lugar de en archivos y puede consolidar las defensas contra el spear phishing y el uso de herramientas "living off the land". Por ejemplo, si Word normalmente no inicia PowerShell en el entorno del cliente, esto se debe colocar en modo de bloqueo. La interfaz de usuario de EDR permite a los clientes comprender fácilmente qué comportamientos son comunes y se deben permitir, cuáles se ven y se deben crear alertas y cuáles son poco comunes y se deben bloquear. También se pueden abordar los huecos reactivamente como parte de la investigación y de la respuesta a las alertas de incidentes. La alerta de incidentes mostrará todos los comportamientos que se han observado como parte de la infracción y proporciona la capacidad de ponerlos en modo de bloqueo desde la página de detalles del incidente.
Protección basada en la inteligencia artificial
El análisis en la nube de los ataques dirigidos de Symantec aprovecha el aprendizaje automático avanzado para detectar patrones de actividad asociados con ataques dirigidos.
Parte de Symantec Endpoint Security Complete.
Utilice herramientas de auditoría para ayudarle a obtener información sobre los endpoints tanto dentro de la red corporativa como fuera antes de que el ransomware tenga una oportunidad de propagarse.

Prácticas recomendadas para mitigar el ransomware

Refuerzo del entorno contra el ransomware
Además de habilitar la protección de SEP o SES, siga estos pasos para evitar una infección de ransomware.
Paso
Descripción
1. Protección del entorno local
  1. Asegúrese de que tiene la última versión de PowerShell
    y de que el registro está habilitado.
  2. Restrinja el acceso a los servicios de RDP.
    Permita solamente RDP de direcciones IP específicas conocidas y asegúrese de que se está utilizando la autenticación de múltiples factores. Use el Administrador de recursos del servidor de archivos (FSRM) para bloquear la capacidad de escribir extensiones conocidas de ransomware en los archivos compartidos donde es necesario el acceso de escritura del usuario.
  3. Cree un plan para considerar la notificación de otros partidos externos.
    Para garantizar la notificación correcta de las organizaciones requeridas, como el FBI u otras autoridades o agencias de aplicación de la ley, asegúrese de tener un plan para verificar.
  4. Cree un paquete con copias impresas y copias flexibles archivadas de toda la información administrativa crítica
    . Para protegerse contra el peligro de la disponibilidad de esta información crítica, almacénela en un paquete con el hardware y el software necesarios para solucionar problemas. El almacenar esta información en la red no es útil cuando se cifran los archivos de red. Implemente una auditoría y control apropiados del uso de la cuenta administrativa. También se pueden implementar las credenciales de un solo uso para el trabajo administrativo a fin de ayudar a evitar el robo y el uso de las credenciales de administrador.
  5. Cree perfiles de uso para las herramientas de administración
    . Los atacantes pueden utilizar muchas de estas herramientas para pasar lateralmente sin ser detectados por medio de una red. Una cuenta de usuario que tiene un historial de ejecución como administrador utilizando PsInfo/PsExec en una pequeña cantidad de sistemas probablemente funciona bien, pero es posible que una cuenta de servicio que ejecuta PsInfo/PsExec en todos los sistemas sea sospechosa.
2. Protección del sistema de correo electrónico
  1. Habilite la autenticación de dos factores (2FA) para evitar poner en peligro las credenciales durante los ataques de phishing.
  2. Refuerce la arquitectura de la seguridad de los sistemas de correo electrónico
    para reducir al mínimo la cantidad de correo no deseado que llega a las bandejas de entrada del usuario final, así como para asegurarse de que se están siguiendo las prácticas recomendadas para el sistema de correo electrónico, incluido el uso de SPF y otras medidas de defensa contra los ataques de phishing.
3. Realización de copias de seguridad
Haga copias de seguridad regularmente de los archivos en los equipos cliente y en los servidores. Haga una copia de seguridad de los archivos cuando los equipos estén desconectados o use un sistema en el cual los equipos conectados y los servidores no puedan escribir. Si no cuenta con software de copia de seguridad especializado, también puede copiar los archivos importantes a soportes extraíbles. Después, expulse y desenchufe los soportes extraíbles; no deje los soportes extraíbles enchufados.
  1. Implemente el almacenamiento externo de copias de seguridad
    .Organice el almacenamiento externo de al menos cuatro semanas de copias de seguridad incrementales diarias y completas semanales.
  2. Implemente copias de seguridad sin conexión que estén de forma local
    .Asegúrese de tener copias de seguridad que no estén conectadas a la red para evitar el ransomware las cifre.La eliminación se realiza mejor con el sistema fuera de las redes para evitar cualquier propagación potencial de la amenaza.
  3. Verifique y pruebe la solución de copia de seguridad a nivel de servidor
    . Esto ya debe formar parte del proceso de recuperación después de un desastre.
  4. Proteja los permisos de nivel de archivo para las copias de seguridad y para las bases de datos de copia de seguridad
    . No permita que se cifren las copias de seguridad.
  5. Pruebe la capacidad de restauración.
    Asegúrese de que las capacidades de restauración son compatibles con las necesidades del negocio.
Bloquear unidades de red asignadas al protegerlas con una contraseña y restricciones de control de acceso. Use el acceso de solo lectura para los archivos en las unidades de red, a menos que sea absolutamente necesario tener acceso de escritura para estos archivos. La restricción de los permisos de usuario limita los archivos que las amenazas pueden cifrar.

¿Qué se debe hacer en caso de ransomware?

No hay ninguna herramienta de eliminación de ransomware.Ningún producto de seguridad puede descifrar los archivos que ha cifrado el ransomware. En cambio, si sus equipos cliente se infectan con ransomware y sus datos se cifran, siga estos pasos:
  1. No pague el rescate.
    Si paga el rescate:
    • No hay garantía de que el atacante vaya a suministrar un método para desbloquear su equipo o para descifrar sus archivos.
    • El atacante usa el dinero del rescate para financiar ataques adicionales contra otros usuarios.
  2. Aislar el equipo infectado antes de que el ransomware pueda atacar las unidades de red a las cuales tiene acceso.
  3. Utilice
    Symantec Endpoint Protection Manager
    o SES para actualizar las definiciones de virus y analizar los equipos cliente.
    Las nuevas definiciones probablemente detecten y reparen el ransomware.
    Symantec Endpoint Protection Manager
    descarga automáticamente las definiciones de virus al cliente, siempre que el cliente esté administrado y conectado al servidor de administración o la consola en la nube.
    • En
      Symantec Endpoint Protection Manager
      , haga clic en
      Clientes
      , haga clic con el botón secundario en el grupo y haga clic en
      Ejecutar un comando en el grupo
      >
      Actualizar contenido y analizar
      .
    • En Symantec Endpoint Security, ejecute el comando
      Analizar ahora
      .
      Ejecución de comandos en dispositivos cliente
  4. Reinstale usando una instalación limpia.
    Si se restauran archivos cifrados desde una copia de seguridad, se pueden obtener los datos restaurados, pero es posible que se haya sido instalado otro software malicioso durante el ataque.
  5. Envíe el software malicioso a Symantec Security Response.
    Si puede identificar el correo electrónico o el archivo ejecutable malicioso, envíelo a Symantec Security Response. Estas muestras permiten a Symantec crear nuevas firmas y mejorar las defensas contra el ransomware.