Hace algunos días nuestros ingenieros fueron contactados por uno de nuestros clientes de red LAN y Wireless en la ciudad de Pasto, el cliente fácilmente identifico que en dos de sus computadores no se podían acceder los datos locales e identificó un archivo en bloc de notas con información en ingles que lo invitaba a conectarse a una VPN de TOR (Acceso a la deep Web) para hacer el pago de los Bitcoins requeridos para descifrar la información. Adicionalmente le ofrecían una prueba de descifrado de una porción de su información.

Los ingenieros de Netmask certificados en Cisco Security iniciaron un análisis con los firewall y Access Point con los que cuenta la infraestructura del cliente y se identificó que el servidor de archivos era el puente para el Ransomware de la red, con la buena suerte que aun los datos de estos servidores no habían sido cifrados, este ataque inicio por los datos de los clientes. Por medio del firewall se bloquearon las IP destino a las cuales se comunicaba, pero con un comportamiento normal este cambia las IP. La decisión rápida fue desplegar un demo de Cisco Umbrella, el cual con solo cambiar los DNS en el DHCP o en el Directorio Activo de la clínica, un procedimiento que tarda menos de 10 minutos, logramos frenar mediante DNS el ataque y restaurar los 2 computadores evitando una propagación del Ransomware.

Es por esto que se identifica la necesidad de una capa adicional de protección a nivel de DNS. Podemos recordar el ataque mundial de Ransomware llamado WannaCry el cual después de infectar millones de empresas fue frenado por un usuario en su casa comprando el dominio DNS que usaba el ataque para comunicarse con los servidores. Adicionalmente vale la pena tener en mente que aproximadamente el 91% de las empresas han experimentado algún tipo de ataque en los últimos 24 meses, y por experiencia el otro 9% también lo tuvo pero no lo identificó.

Sebastian Castrillon Ospina.