Como muchos de vosotros sabréis, durante los últimos días los medios de comunicación se han hecho eco de una serie de infecciones en organismos como La Ser o Everis debido a un ransomware que ha cifrado la gran parte de los ficheros almacenados en sus puestos de trabajo e incluso de su infraestructura.
Este tipo de situaciones se han generado de forma masiva durante los últimos meses debido, en gran parte, al resurgir de un viejo conocido como Emotet, que durante la segunda quincena de septiembre arrancó una campaña específica de infección en Europa y que ha causado estragos en muchas empresas nacionales durante este periodo de tiempo.
Durante este último mes, en Midway hemos ayudado a muchas empresas a gestionar estas situaciones de crisis y garantizar la correcta eliminación de dicho ransomware, no solo mediante la limpieza automatizada de las amenazas, sino además estableciendo planes de acción específicos para prevenir al máximo posibles futuras infecciones que utilizan los mismos vectores de ataque.
Lo que nos gustaría compartir con vosotros en esta entrada del blog son una serie de medidas que os rogamos encarecidamente que realicéis, ya que podrían reducir en un porcentaje muy elevado futuras infecciones y movimientos laterales dentro de vuestra empresa.
Antes de comenzar, es importante que tengamos claro cuáles son las fases que se siguen para infectar un equipo de una empresa y luego extenderse lateralmente para infectar más equipos:
Estas recomendaciones que os vamos a comentar van enfocadas a mitigar la primera parte del proceso de infección ya que, haciendo esto, vamos a prevenir en gran medida el “disparador” de toda la secuencia:
1. Deshabilitar Powershell. Es algo que podemos hacer mediante una GPO a través de las directivas de restricción de Software (SRP) aplicando dicha política a la OU/OUs donde se encuentren todos los equipos de nuestra organización:
NOTA: Destacar que esta GPO puede ser evitada mediante la copia de powershell.exe a otra ruta diferente del sistema operativo, pero en este caso un malware que ejecuta powershell a través de una macro embebida es poco probable (aunque no imposible) que se pare a copiar powershell a otra ubicación diferente antes de ejecutarlo. Lo ideal es realizar una combinación de Path + File Hash, pero esta última requeriría algo más de mantenimiento debido a que en algunas actualizaciones el fichero powershell.exe podría cambiar y por lo tanto su hash sería diferente.
2. Deshabilitar Macros en Office. Como mínimo en Word y PowerPoint. Como Excel podría tener impacto en determinados procesos legítimos de vuestra empresa, se recomienda realizar un análisis y excluir a aquellos usuarios que sí necesitan usar macros en Excel. Para conseguir esto, simplemente tenemos que crear la siguiente GPO y vincularla las OU/OUs donde estén todos los usuarios de nuestra organización con la siguiente configuración:
NOTA: La versión de Office para la que aplica esta GPO es para Office 2016 (16.0) en la columna Key. En caso de querer aplicar esta configuración para versiones más antiguas de Office simplemente hay que cambiar el 16.0 en cada clave del registro por el numero adecuado. Para saber el número que corresponde con cada versión de office se puede consultar el siguiente listado:
3. Cloud Delivery Protection y Automatic Sample Submission. En caso de que uséis Windows 7, 8 o 10 con Defender instalado, activad esta opción para subir un fichero con posibilidad de ser sospechoso al Cloud de Microsoft y confirmar que se trata o no de un fichero malicioso. Más información en el siguiente enlace.
4. Known Folder Move (KFM) en OneDrive. En caso de que uséis Windows 10 y tengáis Office 365 como plataforma de productividad, activad la característica gratuita de OneDrive que os permitirá realizar una copia automática de vuestra información relevante (Escritorio, Descargas, Imágenes, Documentos, etc.) en OneDrive y que, en caso de cifrado, podréis recuperar rápidamente.
Si además contáis con Windows 10 versión 1709 o superior, activad la característica de Ransomware Protection, que automatiza todo el proceso de recuperación. Más información de su funcionamiento y configuración en el siguiente enlace.
Ya sabéis que en Midway siempre estamos mejorando día tras día para que, a través de la implementación de medidas de seguridad básicas y sin realizar grandes inversiones, nuestros clientes puedan ser capaces de reducir al máximo posible las infecciones en sus entornos corporativos utilizando cualquiera de las soluciones de seguridad de Microsoft 365 y Microsoft Azure.
Si tienes cualquier tipo de duda, estas afectado por algún tipo de malware o simplemente quieres que te asesoremos y te ayudemos en la remediación y/o implementación de planes de acción específicos para aumentar la seguridad de tus sistemas, no dudes en contactar con nosotros.