Blog TD SYNNEX LAC

Malware Wiper: Qué es y cómo mitigar esta amenaza

Escrito por Equipe SYNNEX Westcon-Comstor | 17-sep-2018 10:00:00

Invertir en tecnología es un punto, pero tener una planeación contra las amenazas es fundamental.

 

 

 

Después que el ransomware WannaCry asombró a las redes corporativas con la invasión y secuestro de millares de computadoras en todo el mundo, una amenaza se mantiene firme en las redes y viene actualizándose para circular entre los sistemas: el malware Wiper.


El malware Wiper data desde el inicio de Internet y tiene por objetivo apagar las computadoras. Como al inicio el almacenamiento de datos no era tan relevante, los hackers invadían los sistemas y los apagaban solamente para ganar fama en la red.


Con el paso del tiempo, los invasores vieron la posibilidad de ganar no solamente la fama, sino también dinero con sus conocimientos tecnológicos, lanzando el ransomware, que secuestra los datos que son liberados tan solo después del pago del rescate.


Otra evolución del Wiper son las campañas de phishing, que roban información de los usuarios, como logins y contraseñas de las tarjetas de crédito. Además de eso, todavía existen códigos maliciosos usados para espionaje, malwares que infectan especialmente redes gubernamentales e industriales.


El Wiper no es tan frecuente, pero se mantiene vivo en las redes, apareciendo constantemente con nuevos nombres y versiones, como el Petya que apagó computadoras en Ucrania; el Maya, que atacó servidores en Irán; Shamoon, que en 2012 apagó 30 mil computadoras de la petrolera Saudi Aramco.

 

 

 

¿Cómo alejar la amenaza?

 

Investigadores de Talos Intelligence desarrollaron un informe sobre malware Wiper y sugieren algunas acciones para que las empresas mantengan este tipo de amenaza lejos de sus redes. Un punto reforzado por los especialistas es que la mitigación de un ataque exigirá más, de la tecnología ya existente.


1 – Tener un plan de respuesta a incidentes de seguridad cibernética: si un usuario detecta alguna anomalía en la red, ¿qué debe hacerse? ¿a quién debe buscar?, esta segunda persona ¿a quién ésta debe accionar?, ¿cuáles son las funciones del equipo de TI?, ¿cuáles son las primeras verificaciones que deben ser hechas?. Estas son algunas de las preguntas que necesitan tener respuestas definidas y descritas en un plan de respuesta a incidentes.

 

Ese plan no se limita sólo al departamento de TI, sino también debe ser conocido por toda la estructura empresarial y envolver especialmente a la alta administración del negocio, así como al departamento jurídico y al de relación con el cliente.


2- Tener un plan de continuidad del negocio: Si un ataque se lleva a cabo en la red de una empresa, ¿cómo ésta va a continuar con sus trabajos? Lo ideal es que tenga entre sus planes un backup actualizado, hasta fuera de los sistemas que ésta ya utiliza. Los backups pueden ser también segmentados, facilitando el proceso al momento de actualizar el sistema después de un ataque.


3 – Mantener los software actualizados: para disminuir la superficie de ataque y desestimular que hackers entren en una red, lo ideal es tener todos los software actualizados, así como firewall y antivirus, aumentando las barreras de protección.


4. Dar acceso autorizado a usuarios: la información estratégica debe quedar restringida solamente para personas a las que les compete y no para todos los usuarios.


De esa forma, es necesario crear credenciales privilegiadas y éstas no deben ser utilizadas fuera de estaciones de trabajo o servicios regulares, solamente en estaciones de trabajo creados específicamente para tareas determinadas.


5 – Tener capas sobrepuestas de seguridad: los ataques reconocen y actúan sobre herramientas dominantes de seguridad. Por eso, es fundamental contar con otras tecnologías que refuercen las estructuras contra los ataques.

 

6 – Tener un plan de respuesta rápida al ataque: si todas las posibilidades arriba fallaran y la invasión se llevó a cabo en red, ésta debe ser frenada lo más rápido posible. Una fuerza especial, la contratación de terceros para reforzar al equipo de ciberseguridad u otras acciones deben estar previstas en un plan de respuesta.


Finalmente, las sugerencias de los especialistas consideran estrategias que deben ser usadas más allá de las tecnologías contratadas, concluyendo que para la defensa de un sistema, de nada sirve tan sólo instalar millares de barreras, si no hubiese un plan.