Lección sobre parches: el crecimiento del crypto-ransomware SAMSAM
Trend Micro habla de aplicar parches virtuales para hacer frente a los retos o problemas de gestión de parches de fallos o vulnerabilidades de seguridad.
El papel fundamental de la gestión de parches entra en juego cuando las vulnerabilidades son utilizadas por los atacantes como puntos de partida para infiltrarse en sus sistemas y redes objetivo o cuando se abusa de los fallos de seguridad para difundir cualquier amenaza. En el caso del perverso crypto-ransomware SAMSAM ocurre esto. Dicha amenaza se desvía de otras familias de crypto-ransomsare. En lugar de llegar a través de URL maliciosas o correos electrónicos no deseados, aprovecha los fallos de seguridad en los servidores no actualizados.
El pasado mes de marzo de 2016, SAMSAM golpeó al hospital de Kentucky mediante la encriptación de todos sus archivos, incluyendo los que se encontraban en la red. Del sector sanitario, SAMSAM pasa ahora al sector de la educación. En un reciente ataque, un número importante de servidores y sistemas se vieron expuestos a SAMSAM y a otro malware a través de las vulnerabilidades de servidor JBoss. JBoss es un servidor de aplicaciones de código abierto que se ejecuta en Java. Sistemas o servidores con software “Destiny” también se vieron afectados.
Desafíos de los parches
Aunque SAMSAM no es la primera amenaza que aprovecha las vulnerabilidades para penetrar en una red, su emergencia introduce otro nivel de riesgos para las empresas y organizaciones de gran tamaño. Las “joyas de la corona” o los datos confidenciales podrían ser encriptados y perderse, obligando a las empresas a pagar grandes sumas por el rescate a cambio de su información crítica. A pesar de esto, se recomienda encarecidamente no pagar a los atacantes, ya que esto no garantiza que las organizaciones puedan recuperar sus archivos.
A pesar de la sofisticación de la amenaza en términos del vector de infección y la capacidad de mapeo de la red, la aplicación de parches, así como el mantenimiento actualizado de sistemas y servidores podría romper el ciclo de ataque. Sin embargo, los administradores de TI se enfrentan a varios retos tales como la necesidad de ejecutar las operaciones diarias y mantener el tiempo de actividad de los servicios críticos, asegurando al mismo tiempo el perímetro de la red. Es un acto de equilibrio crítico para proteger el entorno corporativo, al mismo tiempo que se mantienen las operaciones de negocio. Cuando un fabricante de software libera parches de seguridad, ya sea para afrontar ataques de día cero o vulnerabilidades, los administradores de TI tendrán que hacer una investigación y probar los cambios en primer lugar antes de implementarlos en su entorno. Se ven obligados a poner parches en un segundo plano, ya que requiere el reinicio de los sistemas y servidores de misión crítica, lo que podría afectar a la productividad en general y causar interrupciones de negocio.
Según un estudio, el período medio del proceso de investigación-prueba-despliegue de parches es de 30 días, lo que proporciona ventanas de exposición a las empresas. Cualquier ataque o amenaza que utilice las vulnerabilidades que puedan surgir durante este período podrían poner en peligro la seguridad y los datos corporativos.
¿Por qué son necesarios los parches virtuales?
Las empresas pueden optar por la aplicación de parches virtuales para hacer frente a los retos o problemas de gestión de parches comentados con anterioridad. Esta tecnología permite a los administradores de TI proteger los servidores y puntos vulnerables y sin tiempos de inactividad y los consiguientes costes operativos adicionales. En ausencia de un parche del proveedor, los parches virtuales pueden proteger las vulnerabilidades de los exploits hasta que una solución de seguridad que lo resuelva se encuentre disponible. También permite a los administradores de TI gestionar de manera eficiente o programar parches de emergencia que puedan surgir de las vulnerabilidades de día cero o ataques de gran calado que explotan estas brechas de seguridad. Además, los sistemas o aplicaciones heredadas también quedan protegidos de los riesgos que puedan representar.
Los datos cruciales de las organizaciones están también a salvo de las amenazas que aprovechan las vulnerabilidades, como en el caso de SAMSAM. Incluso si las empresas no aplican inmediatamente los parches relacionados, sus servidores vulnerables están protegidos contra este crypto-ransomware.
Actualmente, el crypto-ransomware es una de las amenazas más notorias y continúa evolucionando para ampliar su alcance. Desde que las amenazas y los ataques que aprovechan vulnerabilidades son tan frecuentes en el panorama de la informática de hoy, los parches virtuales se han convertido en algo tan necesario como las soluciones de base del tipo antimalware y firewall.