Aquest cap de setmana ens sorprenia la notícia que grans companyies d'arreu del món han patit un ciberatac global que les ha obligat a paralitzar els seus sistemes i, per tant, aturar el seu negoci. Concretament, el ramsomware (programari maliciós) WannaCry utilitzat en el ciberatac global de divendres passat va encriptar els arxius emmagatzemats de més de 200.000 ordinadors a 150 països del món. Tenint en compte que les amenaces informàtiques són cada vegada més complexes, què sabem d'aquest ciberatac i quines són les mesures de seguretat que han d'adoptar les empreses?
Què sabem d'aquest atac?
Un atac ransomware consisteix a infectar els equips, xifrant les dades i demanant un rescat per alliberar la informació. El control del dispositiu s'aconsegueix amb una campanya de Phising: mitjançant l'ús d'enginyeria social el cibercriminal imita la identitat d'una persona o entitat de confiança i convida al destinatari a obrir un arxiu que conté codi maliciós que permet a l'atacant accedir a l'equip, prendre el control de l'usuari i encriptar les seves dades. Només que un usuari de l'empresa obri el correu i executi l'arxiu, es produeix la infecció.
Ransomware és un tipus malware al que malauradament ja comencem a estar acostumats. La novetat ha estat que aquesta vegada han aprofitat una vulnerabilitat de Windows per expandir el malware a tots els ordinadors connectats en xarxa (local o Wi-Fi). Microsoft va advertir d'aquesta vulnerabilitat el 14 de març d'aquest mateix any, per la qual cosa ha infectat els equips que no s'hagin actualitzat.
Cal destacar que, encara que les notícies parlin de les grans empreses, ha estat un atac a escala global que està afectant milers de companyies de totes les mides i sectors.
Què han de fer en les empreses?
Instal·lar una actualització que corregeix l'error del sistema operatiu seguint les instruccions publicades per Microsoft: Per Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 i Windows Server 2016.
Excepcionalment, Microsoft ha publicat solucions per a versions antigues, per Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64.
Què hem de fer per prevenir aquest tipus de situacions?
1. Conscienciar a l'usuari per detectar i evitar phising (recordem que tot va començar amb un enviament massiu de SPAM que es combina amb l'ús d'enginyeria social per aconseguir que els usuaris obrin un fitxer desconegut, executant així el ransomware).
2. Mantenir sempre els equips actualitzats a les últimes versions del fabricant, ja que d'aquesta manera s'hauria evitat la propagació per tots els equips de la xarxa.
3. Tenir procediments de resposta a incidents implementats per reaccionar ràpidament i mitigar l'impacte.
4. Disposar de solucions per a la detecció d'intrusions i comportaments anòmals tant en l'Endpoint com en el Firewall.
5. Subscriure serveis d'alerta i seguretat per detectar aquests atacs i prendre mesures. Existeixen eines que permeten la detecció avançada que inicien un protocol de prevenció encara que l'ordinador no tingui el fix.
6. Tenir un backup de dades d'usuaris, servidors i aplicacions crítiques, deixant una de les còpies fora de l'organització. D'aquesta manera si una empresa s'infecta, pot recuperar les dades i restaurar els equips per tornar-los a deixar en estat funcional.
7. Configurar el sistema de backup per desconnectar l'equip en fer la còpia o establir protocols perquè no es permeti l'accés dels equips infectats al servidor de backup.
