Ransomware Ekans: prevención, detección y respuesta
En la primera parte dedicada al ransomware Ekans introdujimos sus principales características y explicamos su funcionamiento. Ahora vamos a tratar de profundizar en otros aspectos importantes.
Prevención
La mejor forma de protegernos frente a cualquier ciberataque de malware es la prevención. Las recomendaciones y buenas prácticas más útiles y efectivas para evitar que los equipos se infecten con ransomware, o mitigar los efectos negativos en caso de producirse, son las siguientes:
- Mantener actualizadas aplicaciones y sistema operativo. En la medida de lo posible, debido a las características y funcionamiento de los sistemas SCADA, aplicar de manera regular los parches y actualizaciones que los fabricantes de sistemas operativos y programas publican periódicamente para corregir las posibles vulnerabilidades que aprovecha el software malicioso para propagarse y ejecutarse sobre los equipos.
- Realizar con frecuencia copias de seguridad (backup) y mantenerlas en soportes desconectados (offline), como discos duros extraíbles. De esta forma, la información se mantiene fuera del alcance de la potencial infección y se podrá recuperar sin contratiempos. Las copias de seguridad deben incluir también las configuraciones de los equipos.
- Principio de mínimos privilegios. Evitar el uso de cuentas con privilegios de administrador en los equipos. Asignar a los operadores de los SCI cuentas con los permisos mínimos necesarios para operar los programas y llevar a cabo su actividad, de la misma manera que las cuentas de servicio. De esta forma, si el malware llega a ejecutarse, quedarán limitados los posibles cambios y acciones que intente realizar sobre el equipo infectado. Una gran mayoría de las amenazas contra Windows se puede prevenir utilizando credenciales no privilegiadas.
- Mantener software antivirus siempre actualizado y en ejecución. Siempre que sea posible, en los SCI (Sistemas de Control Industrial) se debe instalar y mantener software antivirus, ya que detienen la mayoría de las acciones que el software sospechoso de cualquier tipo pueda intentar. Su desactivación deja la puerta abierta a la propagación y ejecución de código malicioso. De la misma manera, la eficacia del programa antivirus está directamente relacionada con la actualización de sus firmas de código malicioso, por lo que debe implementarse un procedimiento para la actualización automática de los patrones de reconocimiento.
- Minimizar la exposición. Evitar, o al menos limitar, la exposición al exterior de los SCI de la planta productiva, no permitiendo su acceso desde el exterior o, de ser necesario, realizarlo mediante un sistema seguro de VPN que otorgue acceso exclusivamente a las aplicaciones y servicios estrictamente necesarios.
- Segregación de las redes TO. Mediante una adecuada separación de los entornos, se puede evitar la propagación de malware del ámbito de TI a los dispositivos interconectados en la red TO, y la segmentación de subredes de este entorno, a su vez, permite frenar la distribución de malware y otros ataques dirigidos hacia los dispositivos SCADA.
- Reforzar la seguridad del acceso remoto. La ejecución de este ransomware requiere la acción de un operador. Es necesario reforzar la seguridad del acceso remoto habilitado en los equipos, principalmente en los que tienen presencia en Internet, limitando las cuentas de usuario que pueden realizar dicho acceso, definiendo una contraseña robusta para estas cuentas y utilizando un segundo factor en todos los accesos remotos.
- Monitorización. Analizar el tráfico de red para disponer de un mecanismo de alerta temprana en la identificación de transferencias de archivos ejecutables desconocidos dentro de la red. El tráfico de las redes SCADA es muy característico y la circulación de archivos sospechosos es relativamente fácil.
- Concienciación. Las personas que gestionan y operan sistemas SCADA deben ser muy conscientes del riesgo que supone el malware y tener pautas claras para identificar software sospechoso que ser el causante de posibles infecciones y ataques.
A nivel corporativo, además, es muy aconsejable adoptar las siguientes recomendaciones para afrontar un posible ataque de ransomware:
- Mantener actualizadas las políticas y procedimientos, especialmente los relacionados con la gestión de incidentes, recogida de evidencias, análisis forense y recuperación de sistemas.
- Organizar y adiestrar un equipo técnico capaz de dar una respuesta rápida y eficaz a incidentes de seguridad de estas características, o contratar servicios externos que realicen esta tarea.
- Disponer de información actualizada de contacto, tanto de los miembros del equipo de respuesta, como del personal interno, así como de otros técnicos de asistencia externa, que se puedan ver implicados en la gestión del ciberincidente.
- Ejecutar simulaciones de este tipo de incidentes con el objetivo de entrenar y mejorar las capacidades y validar los procedimientos técnicos, operativos, de gestión y coordinación del equipo técnico de respuesta a incidentes de seguridad.
- Elaborar un análisis de riesgos que recoja esta amenaza e incluir su gestión en el plan de tratamiento para posibilitar su mitigación.
Detección
Para dar una respuesta eficaz a los posibles casos de infección por este ransomware, la rápida detección del mismo es crucial. Este código malicioso contiene diversas funciones que dificultan su detección por parte de antivirus y otro software de seguridad, como por ejemplo los sistemas de detección de intrusiones (IDS).
Los síntomas que pueden revelar la infección de un equipo por Ekans son los siguientes:
- Aparición de la nota de rescate en el escritorio.
- Pérdida inesperada de conexión entre dispositivos SCI.
- Bajo rendimiento de equipos.
- Actividad inusualmente alta en el disco duro.
- Detención inesperada de numerosos procesos y servicios en los equipos.
- Eventos de acceso remoto inesperados.
- Alertas de seguridad por parte del sistema operativo o de las soluciones antivirus.
- Tareas programadas no previstas.
- Figura 1. Nota de rescate de Ekans. Fuente: Security Boulevard. -
Respuesta
Ante la sospecha de haber sido víctima de Ekans o de cualquier otro tipo de ransomware, es crucial actuar rápidamente. Si por cualquier eventualidad se produce la infección de uno o varios equipos, los procedimientos de respuesta que se lleven a cabo podrán limitar las consecuencias del incidente y reanudar la actividad con la mayor rapidez posible.
Una vez detectado el incidente, y tras haber verificado que se trata de un ataque por ransomware, el procedimiento de respuesta que se recomienda llevar a cabo es el que aglutina las fases de contención, mitigación, recuperación y postincidente. A continuación se describen cada una de esas fases.
Contención
Por las características de diseño y funcionamiento de Ekans, no se requiere aplicar medidas específicas para su contención, y las actuaciones recomendadas son las aplicables en general para los incidentes por ciberataque de ransomware.
Si se confirman las sospechas o se tienen evidencias claras de que se está produciendo un ataque por este ransomware, los pasos a seguir son:
- Aislar el dispositivo infectado: el ransomware que afecta a un dispositivo es un problema moderado. Si el malware se propaga a otros equipos, puede significar la paralización completa del sistema y de la actividad asociada a ellos. En consecuencia, el tiempo de reacción es crucial. Para garantizar la seguridad de todo el sistema, es esencial desconectar el dispositivo infectado de la red, Internet y resto de dispositivos lo más rápido posible. Cuanto antes se haga, es menos probable que otros equipos se infecten.
- Detener su propagación: el malware se difunde rápidamente y el equipo en el que se ha localizado el ransomware no es necesariamente el punto de penetración del mismo. El aislamiento inmediato de un equipo infectado no garantizará que el ransomware no exista en otros dispositivos interconectados. Para limitar el alcance de su propagación de manera efectiva, se debe desconectar de la red todos aquellos dispositivos en los que se produzca un comportamiento sospechoso o anómalo. La desconexión de las redes inalámbricas (Wi-Fi, Bluetooth, etc.) también es una gran ayuda para contener la posible propagación del malware.
- Evaluar los daños: para determinar qué dispositivos han sido infectados, se debe verificar los archivos cifrados recientemente con extensión o nombres de ficheros extraños o procesos que alerten de errores en la apertura de ficheros. Si se identifican equipos que no se han cifrado por completo, o en donde el malware ha fallado, igualmente deben aislarse y conviene que sean apagados para ayudar a contener el ataque y evitar más daños y pérdida operativa de los SCI.
- Localizar el origen de la infección: la respuesta al incidente se realizará una vez que se haya identificado su fuente. Para hacerlo, hay que verificar las alertas que provengan del antivirus, de los IDS o de cualquier plataforma de monitorización activa asociada a los SCI. Como la sospecha más extendida es que este ransomware penetra a través de conexiones RDP, conviene revisar, principalmente, los eventos asociados a los inicios de sesión de los equipos expuestos públicamente y los que se encuentran en las redes internas.
- Identificar el ransomware: es importante identificar la variante de ransomware que ha provocado el ataque para su mitigación y confirmar que se trata de Ekans. La comprobación más inmediata es usar la información incluida en la nota de rescate. Si no se identifica la variante del ransomware, se puede recurrir a una búsqueda en Internet para recabar información sobre datos que aparecen en la nota de rescate, como pueden ser las direcciones de correo electrónico. Otra opción es consultar páginas específicas especializadas en la identificación de ransomware, como por ejemplo el servicio de ayuda ransomware proporcionado por INCIBE. También resulta de mucha utilidad consultar con el fabricante o distribuidor del software antivirus instalado, o con los de otros distribuidores. Estos ponen a disposición de sus clientes y público en general información para esta identificación, e incluso herramientas que permiten la caracterización del ransomware. Todo ello partiendo de archivos cifrados de muestra, que se pueden cargar directamente en los sitios web de estos fabricantes o descargarse el software para el reconocimiento en el equipo local. Ekans está caracterizado y los fabricantes de antivirus disponen de herramientas para su identificación y eliminación.
Desde INCIBE-CERT y su servicio de respuesta incidentes pueden realizar esta tarea de identificación. Diversas fuentes han publicado indicadores de compromiso (IOC) asociados a Ekans, incluyendo distintos hash, pero solo son aplicables a las muestras identificadas en ataques concretos, que como se ha indicado anteriormente, se encuentran personalizadas para que únicamente funcionen en una víctima determinada. Una vez identificada y documentada la variante de ransomware, hay que comunicar la situación a las personas relacionadas con la gestión y operación de los SCI.
Mitigación
Después de identificar la variante de ransomware como Ekans, la siguiente acción es erradicar la infección y para ello se deben seguir las instrucciones recopiladas en sitios especializados en el tratamiento de malware, como puede ser el fabricante del antivirus instalado en el sistema. También se puede contactar con las autoridades y otros organismos especializados en este tipo de incidentes, como por ejemplo su CERT de referencia, para obtener ayuda y recomendaciones de actuación. Habitualmente, la ejecución de herramientas para la eliminación de virus suele ser suficiente para erradicar el malware de un equipo. Hay que recordar que no se han encontrado pruebas de que este malware contenga rutinas de persistencia.
En cualquier caso, tan pronto como se haya contenido la propagación del ransomware, se debe informar del incidente a las autoridades pertinentes. La propagación de este tipo de malware es ilegal y puede tener implicaciones de cumplimiento con organismos reguladores por lo que, como cualquier otro delito, debe denunciarse a las autoridades.
Recuperación
Para restablecer los SCI secuestrados por Ekans, nunca debe plantearse la opción de pagar el rescate exigido por los actores de la amenaza, ya que es ilegal y fomenta este tipo de delito al financiarlo con el pago, además de que no hay garantías de recuperar la operatividad tras el pago. Hay otras variantes de ransomware para los que se han desarrollado herramientas capaces de descifrar los archivos que secuestran, pero aún no se han desarrollado para este malware en concreto.
En este paso se deben evaluar las copias de seguridad disponibles y comenzar el proceso de recuperación, aplicando los planes de contingencia y recuperación establecidos para estas situaciones. El método más rápido y fácil de hacerlo es restituir los equipos e información, una vez erradicado el malware, restaurando desde una copia de seguridad limpia, completa, actualizada y no infectada, tanto de los datos como de las configuraciones, que se haya creado recientemente.
De lo contrario, la única alternativa de sobreponerse al ataque de este tipo de malware es la reinstalación desde cero, con todas las implicaciones que este proceso conlleva.
Postincidente
Una vez que el sistema se ha restituido y se verifica que no hay rastro del ransomware, se debe proceder al análisis de las causas que lo han provocado, identificar las vulnerabilidades que han podido ser el vector de entrada y definir un plan de acción que permita reforzar y corregir las debilidades del sistema.
Conviene centrarse en los sistemas accesibles desde Internet, revisando la necesidad de su publicación y reforzando su seguridad en caso de ser necesaria su exposición pública. Los equipos que operan en la red interna y tienen habilitado el acceso remoto también deben mejorar esta seguridad.
Conclusiones
La mejor táctica a la hora de defenderse de los ciberataques es adoptar un enfoque proactivo y estar preparados para su llegada. Una buena anticipación podría evitar que estos nos afecten de forma efectiva y, en caso de que no se hayan evitado, saber cómo actuar.
Por esta razón, además de implementar todas las medidas técnicas que se encuentren disponibles, será necesario que los usuarios conozcan las buenas prácticas y recomendaciones para un uso seguro y responsable de los sistemas, aplicando siempre el sentido común.
Los ciberdelincuentes han encontrado un nicho para sus ataques de secuestro de información en los sistemas informáticos asociados al entorno productivo, donde la cuantía de los rescates y los beneficios del chantaje pueden ser muy elevados, acordes con el impacto que pueden provocar en las infraestructuras atacadas. En consecuencia, las empresas del sector industrial deben adoptar políticas específicas para implantar protocolos de respuesta a incidentes por ransomware para su red informática.