Cabecera-antimalware-midway-2

Como muchos de vosotros sabréis, durante los últimos días los medios de comunicación se han hecho eco de una serie de infecciones en organismos como La Ser o Everis debido a un ransomware que ha cifrado la gran parte de los ficheros almacenados en sus puestos de trabajo e incluso de su infraestructura.

Este tipo de situaciones se han generado de forma masiva durante los últimos meses debido, en gran parte, al resurgir de un viejo conocido como Emotet, que durante la segunda quincena de septiembre arrancó una campaña específica de infección en Europa y que ha causado estragos en muchas empresas nacionales durante este periodo de tiempo.

Durante este último mes, en Midway hemos ayudado a muchas empresas a gestionar estas situaciones de crisis y garantizar la correcta eliminación de dicho ransomware, no solo mediante la limpieza automatizada de las amenazas, sino además estableciendo planes de acción específicos para prevenir al máximo posibles futuras infecciones que utilizan los mismos vectores de ataque.

Lo que nos gustaría compartir con vosotros en esta entrada del blog son una serie de medidas que os rogamos encarecidamente que realicéis, ya que podrían reducir en un porcentaje muy elevado futuras infecciones y movimientos laterales dentro de vuestra empresa.

Antes de comenzar, es importante que tengamos claro cuáles son las fases que se siguen para infectar un equipo de una empresa y luego extenderse lateralmente para infectar más equipos:

Antimalware-midway

Estas recomendaciones que os vamos a comentar van enfocadas a mitigar la primera parte del proceso de infección ya que, haciendo esto, vamos a prevenir en gran medida el “disparador” de toda la secuencia:

1. Deshabilitar Powershell. Es algo que podemos hacer mediante una GPO a través de las directivas de restricción de Software (SRP) aplicando dicha política a la OU/OUs donde se encuentren todos los equipos de nuestra organización:

  • Navegamos hasta Computer Configuration ➜ Windows Settings ➜ Security Settings
  • Pulsamos con el botón derecho sobre Software Restriction PoliciesNew Software Restriction Policies
  • Sobre el nodo de Additional Rules, pulsamos con el botón derecho y New Path Rule e introducimos la ruta donde se encuentra almacenado el ejecutable de Powershell C:\Windows\System32\WindowsPowerShell
Antimalware-midway2
Figura 1: Añadir ruta donde powershell se encuentra almacenado
  • Sobre el nodo de Software Restriction Policies, pulsamos sobre Enforcement ➜ Properties y seleccionamos las opciones que se pueden ver en la imagen a continuación.
  • En caso de que tengamos aplicaciones o algún software de instalación que se apoye en Powershell y que utilice algún usuario que es administrador local para ello (no recomendado), es necesario seleccionar la opción en naranja ➜ All users except local administrators. Para desplegar aplicaciones tanto con Microsoft System Center Configuration Manager como con otra herramienta que utilice el contexto de SYSTEM, o si no se realizan despliegues automáticos de aplicaciones, es necesario seleccionar la opción en verde ➜ All users.
Antimalware-midway3
Figura 2: Definiendo el alcance de la restricción

NOTA: Destacar que esta GPO puede ser evitada mediante la copia de powershell.exe a otra ruta diferente del sistema operativo, pero en este caso un malware que ejecuta powershell a través de una macro embebida es poco probable (aunque no imposible) que se pare a copiar powershell a otra ubicación diferente antes de ejecutarlo. Lo ideal es realizar una combinación de Path + File Hash, pero esta última requeriría algo más de mantenimiento debido a que en algunas actualizaciones el fichero powershell.exe podría cambiar y por lo tanto su hash sería diferente.

2. Deshabilitar Macros en Office. Como mínimo en Word y PowerPoint. Como Excel podría tener impacto en determinados procesos legítimos de vuestra empresa, se recomienda realizar un análisis y excluir a aquellos usuarios que sí necesitan usar macros en Excel. Para conseguir esto, simplemente tenemos que crear la siguiente GPO y vincularla las OU/OUs donde estén todos los usuarios de nuestra organización con la siguiente configuración:

  • Navegamos hasta User Configuration ➜ Preferences ➜ Windows Settings ➜ Registry
  • Pulsamos con el botón derecho en Registry y seleccionamos la opción de New ➜ Registry Item

NOTA: La versión de Office para la que aplica esta GPO es para Office 2016 (16.0) en la columna Key. En caso de querer aplicar esta configuración para versiones más antiguas de Office simplemente hay que cambiar el 16.0 en cada clave del registro por el numero adecuado. Para saber el número que corresponde con cada versión de office se puede consultar el siguiente listado:

  • Office 2010 – 14.0
  • Office 2013 – 15.0
  • Office 2016 y Office 2019 – 16.0

3. Cloud Delivery Protection y Automatic Sample Submission. En caso de que uséis Windows 7, 8 o 10 con Defender instalado, activad esta opción para subir un fichero con posibilidad de ser sospechoso al Cloud de Microsoft y confirmar que se trata o no de un fichero malicioso. Más información en el siguiente enlace.

4. Known Folder Move (KFM) en OneDrive. En caso de que uséis Windows 10 y tengáis Office 365 como plataforma de productividad, activad la característica gratuita de OneDrive que os permitirá realizar una copia automática de vuestra información relevante (Escritorio, Descargas, Imágenes, Documentos, etc.) en OneDrive y que, en caso de cifrado, podréis recuperar rápidamente.

Si además contáis con Windows 10 versión 1709 o superior, activad la característica de Ransomware Protection, que automatiza todo el proceso de recuperación. Más información de su funcionamiento y configuración en el siguiente enlace.

Ya sabéis que en Midway siempre estamos mejorando día tras día para que, a través de la implementación de medidas de seguridad básicas y sin realizar grandes inversiones, nuestros clientes puedan ser capaces de reducir al máximo posible las infecciones en sus entornos corporativos utilizando cualquiera de las soluciones de seguridad de Microsoft 365 y Microsoft Azure.

Si tienes cualquier tipo de duda, estas afectado por algún tipo de malware o simplemente quieres que te asesoremos y te ayudemos en la remediación y/o implementación de planes de acción específicos para aumentar la seguridad de tus sistemas, no dudes en contactar con nosotros.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *