Ransomware, Flexibilidad, Alternativa, Datos!



  • Antes que nada buenos días linda comunidad, me surge narrar estas lineas ya que hace tiempo vengo en la lucha con un amigo, si asi lo puedo llamar al virus tan famoso "ransomware". para los que no lo conocen, es muy sencillo lo que hace, en-cripta todo el equipo y te piden un rescate para la desencriptar los datos.

    He buscado por mucho tiempo como resguardar los datos del servidor y busque varias alternativas, llamemos, carry disk, dropbox, owncloud, bla bla bla, cuestión la única, aunque no segura la encontré con un server ftp en el que resguardaba las bases de datos de sql, la que funciono, la mas viable al momento de salvar la información, en si por que fue el único lugar donde me quedo un resguardo, sencillo.

    Viendo y considerando esto, viendo que solución poder darle a mis clientes me propuse. PF con proftpd (servidor ftp).

    De momento dentro de la LAN, resguardando tranquilamente conjunto a cobian 11, manda al ftp las bases e info de las maquinas.

    Esto lo pongo en modo constructivo. Por si a alguien le sirve la información. Para cooperar con la comunidad.

    En este momento el pf mas grande que tengo funcionando es con una maquina, amd sempron 2650, 4 gb de ram, 1tb de disco.

    paquetes en uso:
    squid
    squid guard
    Open Vpn
    proftpd (solo por consola)

    En algún momento con mas tiempo explico como montarlo. Espero que sirva la info. Abrazo!!!
    Cualquier aporte sirve :)



  • Gracias por el aporte, es bueno tener un respaldo de la informacion relevante pero es mejor prevenir este tipo de ataques.

    Si pasa es porque uno como usuario habré lo que le envíen al correo sin precaución
    Instalamos software sin verificar la fuente
    Si es un servidor con SQL, no se debe tener abierto el puerto 1433 y 1434 en PFsense
    Permitir acceso solo de fuentes reconocidas desde PFsense (Me refiero a IP) ó usar VPN
    Es buena practica bloquear países de los cuales no tengamos interés en su trafico ej. China, Rusia, USA, Etc

    Nota.

    Si se es victima no pague y consulte https://www.nomoreransom.org/ es un sitio don de su objetivo es acabar con este flagelo que a tantos nos a afectado unos mas que a otros

    En el hay como des - encriptar algunos de estos ataques sin costo

    Saludos



  • Muchas gracias por los datos, no sabia lo del sql.
    Agrego, si es un server win 2003 con TS, hay que redirigir el puerto 3389 a otro, por ej 3388 para darle un toque de seguridad.



  • Saludos, con respecto al ransomware, ahi que tambien ver que son varias variantes hasta el momento el Tesla, Crypxxx. Lo último que se conoce es el Zepto que si llega por correo, aquí el atacante puede realizar un spoofing dns para enmascarar tu dominio y enviar un correo con archivos adjunto o url que en base a ingeniería social te va infectar. Es bueno tener un filtrado antispam para este caso.



  • @elbocha01:

    Muchas gracias por los datos, no sabia lo del sql.
    Agrego, si es un server win 2003 con TS, hay que redirigir el puerto 3389 a otro, por ej 3388 para darle un toque de seguridad.

    Mejor aún es no tener abierto el TS desde el exterior salvo para IPs determinadas. Si es necesario conectarse por TS, mejor usar una VPN por debajo. Y como no, tener bien configurado el servidor win para evitar ataques, algo complicado con un 2003 que ya está completamente desactualizado.



  • Gracias por la información útil. En esta página web se puede encontrar un buen programa para ransomware escáner http://guia-paginas.com/spora-ransomware/ ;)



  • Buenas tardes, como aporte adicional resulta mejor prevenir el ataque que buscar la cura.

    Una empresa que sufrió de este ataque y luego de hacer la revisión se encontró que ingresarón al server un windows por medio del puerto 3389 usando el usuario local administrator, el cual tenia una clave muy debil, y des de hay hicieron lo suyo.

    Es buena practica usar usar claves Robustas.

    Y para quien pregunte por que esto en el foro de PFsense…..

    Porque el servidor atacado estaba tras un PFsense y de inmediato el comentario "Ese Firewwall no Sirve", lo cual carece de fundamento, los puertos y conexiones que permitamos son responsabilidad enteramente nuestra junto con lo que coloquemos tras el firewall, para el caso un nateo hecho para facilitar el ingreso de un contable a un server "temporar" quedo permanete y por este punto el ataque.



  • Esa historia me suena….. En mi empresa ya no hay otra forma que conectarse remotamente que por openvpn. No se deja un puerto abierto para cosas temporales, que lo temporal tiene muchhho peligro



  • Saludos win_bar, en efecto ese tipo de ataque es por el ransomware crysis que a diferencia de zepto, es un ataque dirigido el cual emplea barrido de puertos, identificación de base de datos, ataque de fuerza bruta, desinstala cualquier av, y procede ejecutar el ransomware, mientras que zepto llega por correo haciendo un spoofeo de dns y claro la manera recomendada de solucionar esto es prevenir, asegurando todos los recursos de la red.



  • Gracias, klausneil por la descripción tan puntual ayuda muchisimo el saber como funcionan los ataques.

    Mis sugerencias para evitar este asunto "Ransomware" usando PFsense.

    Básicas

    1. No publicar puertos de forma directa para aplicaciones tipo, Escritorio remoto, http, fttps, ftp, sql, ssh… ETC
    2. Si se debe hacer lo anterior filtrar las conexiones entrantes creando una lista de IP permitidas
    3. Claves de seguridad Robustas en los servidores expuestos
    4. copias de seguridad periódicas de la informacion expuesta que sea sensible
    5. Filtrar acceso de los usuarios a internet

    Avanzadas

    1. Usar VPN para las conexiones externas OpenVPN
    2. Usar Bloqueo de trafico de países no requerido pfBlockerNG
    3. Realizar monitoreo y Auditoria de trafico nmap + los Diagnósticos incluidos en PFsense

    No PFsense
    Seguridad elevada de Contraseñas Administrator y limitar el acceso de los perfiles de usuarios

    Saludos