El ransomware es un software maligno que cifra archivos y exige rescate en bitcoins, afectando a organizaciones y usuarios domésticos. Este documento identifica la propagación del ransomware a través de vulnerabilidades en productos de Microsoft y ofrece recomendaciones de prevención, como la instalación de parches y antivirus. Además, sugiere acciones a seguir en caso de infección para recuperar el control de la información.

1. CÓMO PROTEGER MI
ORGANIZACIÓN DEL ATAQUE
DE UN RANSOMEWARE POR
FORTINET

2. El Ransomeware es un software malicioso que al infectar nuestro equipo,
encripta y bloquea los archivos almacenados quitándonos el control de toda
la información. El virus muestra una ventana emergente en donde pide el
rescate de los datos, el cual, debe hacerse en moneda virtual (bitcoins).
Este virus ha logrado propagarse con gran rapidez. Ataca a usuarios
domésticos, sistemas sanitarios e incluso, grandes redes corporativas.
Diversos análisis muestran que desde el 1 de enero del 2016, se han
presentado más de 4 000 ataques al día.

3. El 12 de mayo del presente año, los laboratorios FortiGuard comenzaron a
rastrear un nuevo ransomware que se propagaba con bastante rapidez
durante el día. Se trataba de un malware que se autorreproducía con mucha
agresividad y atacaba a importantes organizaciones como el Ministerio del
Interior de Rusia, universidades chinas, empresas de telecomunicaciones
húngaras y españolas, hospitales y clínica gestionadas por el Servicio
Nacional de Salud británico.
Este malware es llamado de diversas formas, tales como WCry, WanaCrypt0r,
WannaCrypt o Wana Decrypt0r. Se propagó a través de un presunto exploit de la
Agencia de seguridad nacional llamado “ETERNALBLUE”, el cual se filtró en línea el
mes pasado por un grupo de hackers conocidos como The Shadow Brokers.
ETERNALBLUE explota las vulnerabilidades en el servidor de Microsoft.

4. Productos de Microsoft afectados
• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2
• Windows 8.1
• Windows Server 2012 and Windows Server 2012 R2
• Windows RT 8.1
• Windows 10
• Windows Server 2016
• Opción de instalación de Windows Server Core

5. En marzo, Microsoft lanzó un parche especial para esta vulnerabilidad.
Durante el mismo mes, Fortinet también lanzó un Sistema de prevención de
intrusos para detectar y bloquear esta vulnerabilidad. Asimismo, se lanzaron
nuevos antivirus que detectan y detienen este ataque. Las pruebas
realizadas por terceros afirman que el antivirus Fortinet y FortiSandbox
bloquean efectivamente este malware.
Te recomendamos seguir los siguientes pasos:
• Instala el parche lanzado por Microsoft en todos los nodos de la red.
• Asegúrate de que las inspecciones Fortinet AV e IPS, así como el motor de
filtrado web están encendidos para prevenir la descarga del malware.

6. También te recomendamos seguir las siguientes medidas preventivas:
• Establece una rutina para proteger los sistemas operativos, softawares y firmwares en todos
los dispositivos. Para organizaciones grandes con innumerables equipos instalados, considera
adoptar un sistema centralizado de control.
• Instala tecnologías IPS, AV, así como filtros web y mantenlos actualizados.
• Guarda la información regularmente. Verifica la integridad de los respaldos, encríptalas y
prueba el proceso de restauración para asegurarte de que está trabajando adecuadamente.
• Escanea todos los correos entrantes y salientes para detectar cualquier amenaza, y filtra los
archivos ejecurables antes de que llegue a los usuarios finales.
• Programa los programas de antivirus y anti malware automáticamente para llevar a cabo los
escaneos regulares.
• Incapacita los macro scripts en los archivos enviados por correo. Considera utilizar una
herramienta como Office Viewer para abrir los archivos adjuntos de Microsoft Office en lugar
de suite ofimática de las aplicaciones.

7. Si tu organización ha sido infectada, te recomendamos hacer lo
siguiente:
• Separa los dispositivos infectados de forma inmediata, desconectándolos de la red lo
antes posible.
• Si la red ha sido infectada, desconecta inmediatamente todos los dispositivos
conectados.
• Apaga los dispositivos infectados que no han sido completamente dañados. Esto
puede brindar un poco de tiempo para limpiar y recuperar la información, así como
prevenir que la condición empeore.
• La información de respaldo debe estar almacenada fuera de línea. Cuando una
infección es detectada, escanea toda la información y sistemas de respaldo para
verificar de que no hayan sido infectados.
• Contacta a las autoridades inmediatamente para reportar la presencia del
ransomeware y solicita ayuda.

8. Supra Networks ofrece el servicio de Soluciones Fortinet que no solo
refuerza la seguridad de navegación sino que mejora la experiencia
del usuario, para mayor información sobre este y otros servicios,
escríbenos al formulario de contacto.
Enlace: http://www.supra.com.pe/blog/proteger-organizacion-ataque-
ransomeware/