DearCry ransomware
DearCry, una variante de ransomware, está diseñada para aprovecharse de cuatro vulnerabilidades recientemente reveladas en Microsoft Exchange. Una vez que obtiene acceso a una computadora, encripta los archivos almacenados allí, lo que hace imposible acceder a ellos sin la clave de descifrado correspondiente (que solo conocen los atacantes).
¿Cómo funciona el ransomware DearCry?
En marzo de 2021, Microsoft publicó parches para cuatro vulnerabilidades críticas en los servidores Microsoft Exchange. Estas vulnerabilidades fueron explotadas activamente en diversas campañas de ataque. DearCry es una variante de ransomware diseñada para explotar estos servidores vulnerables de Microsoft Exchange.
El malware realiza una enumeración de unidades para identificar todos los medios de almacenamiento accesibles desde una máquina infectada. Para cada una de estas unidades, el ransomware DearCry cifrará determinados tipos de archivos (basándose en las extensiones de los archivos) utilizando AES y RSA-2048. Una vez cifrado, DearCry mostrará una nota de rescate indicando a los usuarios que envíen un correo electrónico a los operadores del ransomware para saber cómo descifrar sus máquinas.
Cómo protegerse contra el ransomware DearCry
Cuando se muestra la nota de rescate de DearCry, el daño ya está hecho. La mejor forma de responder a DearCry -o a cualquier tipo de ransomware- es detectar y bloquear el ransomware antes de que pueda comenzar el cifrado de los datos.
El despliegue de protecciones antiransomware es el método más eficaz para lograrlo. Herramientas como la emulación de amenazas de Check Point utilizan análisis de comportamiento para identificar las señales de advertencia de un ataque de ransomware, lo que permite al usuario remediar la amenaza antes de que se produzca ningún daño. Dado que todo ransomware necesita realizar ciertas acciones (como cifrar archivos) para lograr sus objetivos, este enfoque es eficaz contra todos los tipos de ransomware.
Sin embargo, las protecciones dirigidas a un tipo específico de ransomware pueden ayudar a mejorar la velocidad y la eficacia de la respuesta de una organización. Además de la protección genérica Threat Emulation para ransomware (que bloquea con éxito DearCry), Check Point ha lanzado dos protecciones dedicadas para los siguientes productos:
- Emulación de amenazas - ransomware.Win.DearCry.A
- Check Point Endpoint Security – Ransomware.Win.DearCry.B
Estas herramientas de detección dedicadas hacen que sea más rápido y fácil detectar y erradicar una posible infección de DearCry en los sistemas de una organización.
Mejores prácticas para la prevención del ransomware
For protecting against the DearCry ransomware, targeted protections (like the ones deployed in Threat Emulation and Check Point Endpoint Security) are the most effective solutions for an active attack. More general ransomware protections can also detect this threat and are vital for identifying and blocking zero-day ransomware attacks.
Sin embargo, las organizaciones deben implementar una defensa en profundidad para minimizar el coste potencial y el impacto de los ataques de ransomware. Algunas de las mejores prácticas para la prevención del ransomware incluyen:
- Gestión de parches: El ransomware DearCry aprovecha una vulnerabilidad crítica en los servidores Microsoft Exchange. Mantener el dispositivo parcheado y actualizado es esencial para minimizar los posibles vectores de entrada que puede aprovechar un atacante.
- Educación de los empleados: El ransomware suele distribuirse mediante phishing y otras técnicas que se aprovechan de los empleados. Formar a los empleados para que reconozcan y respondan adecuadamente a este tipo de ataques puede reducir drásticamente el riesgo de una organización de sufrir ransomware y otros tipos de ataques.
- Seguridad del correo electrónico: El correo electrónico es uno de los principales vectores de infección de todo tipo de malware, incluido el ransomware. Una solución de seguridad para el correo electrónico puede utilizar el aprendizaje automático y la emulación sandbox para identificar y eliminar el contenido malicioso de los correos electrónicos antes de que lleguen a la bandeja de entrada del usuario.
- Acceso remoto seguro: La pandemia del COVID-19 convirtió a las redes privadas virtuales (VPN) y al protocolo de escritorio remoto (RDP) en algunos de los mecanismos de entrega más populares para el ransomware. Proteger la infraestructura de teletrabajo de una organización puede ayudar a bloquear este posible vector de ataque.
- seguridad de terminales: El ransomware puede distribuirse a través de diversos medios. Una solución de seguridad de terminales capaz de detectar y bloquear el ransomware y otros tipos de contenido malicioso puede ayudar a minimizar la exposición de una organización a estas amenazas.
Bloqueo de los ataques de ransomware con Check Point
El panorama de las amenazas del ransomware está en constante evolución. DearCry es una de las iteraciones más recientes de una amenaza que existe desde hace años, y explota una vulnerabilidad descubierta recientemente en un producto muy utilizado. Las organizaciones necesitan soluciones específicas contraransomware capaces de mantenerse al día y mitigar las últimas amenazas de ransomware.
Ransomware attacks the endpoint, so the endpoint should be the focus of any anti-ransomware strategy. Check Point’s Check Point Endpoint Security is a complete endpoint security solution that offers comprehensive protection against ransomware, including both general behavior-based detection and protections targeted to specific variants.
Its threat hunting support – mapped to the MITRE ATT&CK framework – also enables an organization’s security team to proactively search for and investigate potential threats and incursions within its network. To learn more about threat hunting with Check Point Endpoint Security, check out this walkthrough.
Check Point Endpoint Security provides comprehensive protection against threats like the DearCry ransomware. To learn more about its capabilities, check out this product tour. You’re also welcome to request a personalized demo to see the power of Check Point Endpoint Security for yourself.
