Skip to main content

Jardunbide egokiak ransomware-ari aurre egiteko

Deskribapena

Ransomwarea Internetara konektatutako ekipoak eta gailuak bahitzen dituen kode gaiztoa da. Erasoaren helburu izan den gailuan gordetako dokumentuak eta beste fitxategi batzuk suntsitzeko mehatxu egiten du. Ransomwareak ekipoa infektatzen duenean, fitxategi batzuk zifratzen ditu eta horrek zifratutako dokumentaziora sarbidea izatea eragozten du. Kasu horretan, malwareak informazioa deszifratzeko eta berreskuratzeko modu bakarra erreskatea (ingelesez ransom; hortik dator ransomware izena) ordainduta izango dela dioen abisua erakusten du.

Era asko daude programa gaizto horiek infektatuta geratzeko. Oro har, erasotzaileek kalteberatasunak ustiatuta, kredentzialak arriskuan jarrita edo ingeniaritza sozialeko teknikak erabilita lortzen dute biktimak fitxategi gaizto bat exekutatzea.

Buenas prácticas frente al ransomware

Nola iristen da ransomwarea gure ekipora?

Gehienetan, erasotzaileek bitarteko ugaritatik iristen diren fitxategi gaiztoak erabiltzen dituzte (mezu elektronikoei erantsitako fitxategiak edo erabiltzaileek egindako deskargak, adibidez). Infektatzeko beste ohiko modu bat izaten da Interneten agerian geratzen diren zerbitzuetako kalteberatasunak ustiatzea.

Ransomwareko eraso bat prebenitzeko neurriak

Ez dago malwarea prebenitzeko % 100ean eragingarria den modurik, baina badaude infekzioa jasateko aukerak gutxi ditzaketen neurri batzuk:

  • Softwarea eta sistema eguneratuta izatea: Gailuko software guztiek eskuragarri dagoen azken bertsioaren arabera eguneratuta egon behar dute. Hala, gehienetan, software horrek izan ditzakeen kalteberatasun ezagunak zuzenduta egoten dira.
  • Pasahitz seguru batzuk erabiltzea: Infekzio batzuk pasahitz ahulak erabiltzeagatik hedatzen dira. Beti da gomendagarria pasahitz sendoak erabiltzea, eta ez berrerabiltzea. Oso mekanismo eragingarria da saiakera kopuru jakin baten ondoren saio-hasiera behin-behinekoz blokeatzea.
  • Aldizkako segurtasun-kopiak (backupak) egitea. Eskatutako erreskatea ordaindu beharrik gabe ransomwareagatiko infekzioa gainditzeko modurik onena fitxategiak segurtasun-kopia batetik berreskuratzea izaten da. Ondorioz, artxibo garrantzitsuen segurtasun-kopia maiz egitea ezinbestekoa dela esan dezakegu. Zenbat eta maizago egin segurtasun-kopia horiek, orduan eta eguneratuago egongo da galdu edo lapurtuz gero berreskuratuko genukeen informazioa. Horregatik, beharrezkoa da erabiltzen dugun informazio mota aztertzea eta kopiak egiteko aldizkakotasuna definitzea (egunero, astero eta abar). Aldi berean, komenigarria litzateke deskonektatuta dauden bi tokitan gutxienez bi segurtasun-kopia egitea; izan ere, ransomwareko bertsio batzuk irisgarria den edozein segurtasun-kopia topatzen eta ezabatzen saiatzen dira. Hodeian (Dropbox, Google Drive, eta abar erabilita) eta modu fisikoan (disko gogor eramangarri batean, USBan eta abar) gordeta dagoen kopia bat. Segurtasun-kopia horiek infektatutako ekipoa garbi dagoela bermatu ostean bakarrik berreskuratu behar dira.
  • Malwarearen aurkako sistema erabiltzea eta eguneratuta izatea: Egiaztatu birusen eta malwarearen aurkako softwarea eguneratuta daudela. Horrez gain, bi irtenbide horien eguneraketa automatikoak aktibatuta izan behar dira.
  • Kalteberatasunen aldizkako azterketa egitea horiek identifikatu eta konpontzeko, bereziki Internetera konektatzen diren gailuetan, erasorako azalera mugatu ahal izateko.
  • Posta elektroniko mailan spamaren aurkako sistemak izatea spama edo baztergarriak diren mezu elektronikoak detektatu eta ezagutzeko horiek gure sistemara iritsi aurretik. Horretarako, sistema horiek spama edo malwarea bidaltzen dutenen IP eta posta elektronikoko helbideak identifikatzen saiatzen dira. Gainera, spamaren ezaugarri ohikoenak (egitura, mezuaren edukia eta abar) ere berrikusten dituzte.
  • Konexio susmagarriak identifikatzen eta blokeatzen lagunduko luketen  firewall-a, proxy-a edo IDS/IPS sistema izatea. Gaur egun, ransomwarearen zati handi bat urruneko zerbitzari bateko jarraibideak bidaltzen eta jasotzen saiatzen da (Command and Control, C&C edo C2). Ransomwareak malwarearen aurkako softwarearen  kontrolak detektatu gabe gainditzea lortzen duen arren, firewall, proxy edo IDS/IPS sistemaren bat badugu, sistema horiek ransomwarearen konexioak blokea ditzakete jarraibideak jaso ahal izateko C&Cko bere zerbitzariarekin urrunetik konektatzen saiatzen denean.
  • Sistema eta zerbitzu guztiei gutxieneko pribilegioaren printzipioa aplikatzea erabiltzaileek beren lana egin ahal izateko behar duten sarbidea bakarrik izan dezaten.
  • Batzuetan, malwarea (ransomware barne) nahi gabe instalatzen du erabiltzaileak; askotan, iruzurrezko e-mailen bidez gertatzen da hori. Horregatik, honako neurri hauek gomendatzen dira:
    • Kontu izan eta ez ireki edo ez sartu ezagutzen ez ditugun edo susmagarriak iruditzen zaizkigun e-mailetako esteketara
    • Mezu elektronikoak eranskin bat badu, egiaztatu fidagarritasuna ireki aurretik.
    • Ezarri sisteman segurtasun-politikak ransomwareak erabili ohi dituen direktorioetatik fitxategiak exekutatzea eragozteko.
    • Aktibatu fitxategien luzapenak bistaratzeko aukera,; horrela ekidin daiteke exekutagarria ez den benetako fitxategi gisa kamuflatuta dagoen kode kaltegarriren bat exekutatzea.
  • Ezarri erabiltzaileei zuzendutako zibersegurtasun arloko <strong>kontzientziazioko eta prestakuntzako programa bat</strong>. Programa horrek hauen inguruko orientabideak jaso beharko ditu: nola identifikatu eta jakinarazi segurtasuneko gorabeherak edo jarduera susmagarriak. Egin phishingeko probak erakunde osoan erabiltzaileen kontzientziazioa neurtu eta gaiztoak izan daitezkeen mezu elektronikoak identifikatzeak duen garrantzia sendotzeko.

Zer egin Ransomwareko eraso baten aurrean?

  1. Susmagarria dirudien e-mail bat (ezagutzen ez dugun norbaitek bidalitako e-maila, eranskin bat duena, pertsonalizatu gabe dagoena, ondo zehaztuta ez dagoen gaia edo gai zalantzagarria duena eta abar) jasoz gero, ez ireki eta ez sartu bertan azal daitezkeen esteketara.
  2. Ez ordaindu erreskatea: Inola ere ez dugu onartu behar ordainketekin lotutako eragiketarik; izan ere, zenbat eta pertsona gehiagok ordaindu kriminalei haien ekipoak infektatzen dituztenean, orduan eta arrazoi gehiago izango dute erasotzaileek beste ekipo batzuk infektatzeko.
  3. Erreskatea ordainduta ere, ez genuke izango erasotzaileak desblokeatzeko metodoa emanda fitxategi horietarako sarbidea itzuliko digun bermerik. Gainera, ezerk ez du bermatzen gure ordenagailua berriro ere beste malwareren batekin ez infektatu ahal izatea.
  4. Isolatu infektatutako ekipoa ransomwareak beste sistema batzuk infekta ez ditzan.
  5. Berrezarri kaltetutako fitxategiak segurtasun-kopia batetik abiatuta.

Partekatu

Linkedin partekatu