1. Introducción a Exchange Online Protection (EOP)
Microsoft Exchange Online Protection (EOP) es un servicio online que ayuda a proteger las organizaciones contra el spam y malware (aunque incidiremos concretamente en el ransomware, como veremos más adelante) como filtro de correo en la nube de Office 365. Incluye características para protegerse de posibles violaciones de seguridad en todo lo que engloba el área de mensajería, además de ser el medio de transporte del correo.
Este servicio puede ser utilizado tanto como stand-alone, es decir, trabajando de forma combinada con nuestra infraestructura on-premise estableciendo una especie de hibridación, como dentro de la estrategia global que se siga en la compañía en base a la suscripción de Office 365 que se tenga (de forma híbrida u online).
Exchange Online Protection puede ayudar por tanto a simplificar la gestión del entorno de mensajería y a aliviar muchas de las cargas que acompañan al mantenimiento local de software y hardware, dado que se encarga tanto del transporte como del filtrado, dejando al alcance de los administradores una serie de herramientas que permiten configurarlo a diversos niveles de granularidad para securizar la plataforma y aprovechar su potencial.
2. Tipos de correo malicioso
En general, podemos incidir en cuatro tipos de correo malintencionado según sus fines:
- SPAM (incluyendo aquellos correos con fines de phishing)
- GREY MAIL
- MALWARE
- RANSOMWARE
De entre todos ellos, nos centraremos en el ransomware, tanto por su relevancia como por el amplio impacto que ha causado en nuestro entorno en los últimos años y recientes meses.
3. Ransomware
3.1. Qué es un ransomware
Podemos decir, de forma general, que los programas conocidos como ransomwares restringen el acceso a los datos contenidos en los equipos a los que atacan mediante la encriptación de los archivos, usando algoritmos de cifrado de tipo RSA, RC4 o de propia cosecha (en el pasado bloqueando la pantalla), y tras ello se nos solicita dinero como rescate para recuperar la información utilizando comúnmente criptomonedas tipo Bitcoin (cada vez más en auge).
3.2. Tipos de ransomware y evolución
Si hacemos una retrospectiva, podemos ver la evolución de los diversos tipos de ransomware, desde sus inicios a la actualidad, pudiendo clasificarlos en general de la siguiente forma según sus términos nativos (en inglés):
- Non-encrypting ransomware
- Encrypting ransomware
- Leakware
- Wiperware
- Mobile ransomware
Al principio, los ataques de ransomware te bloqueaban la pantalla, tal es el ejemplo de WinLock (para poder tener acceso al equipo y liberarlo había que mandar un SMS). A partir de ese punto, la evolución del ransomware no sólo ha llevado a encriptar la información, sino también a sacarla de la máquina (Leakware) o incluso a eliminar toda la información o, por lo menos, la más relevante (Wiper). Asimismo, los ataques de este programa dañino también afectan a dispositivos móviles, tal y como está ocurriendo en la actualidad con los ataques que se están registrando a dispositivos Android.
Viendo la clasificación inicial, existen muchos tipos de ransomware. Están los que afectan a un solo tipo de archivo, a varios y los que, lejos de concentrarse en una máquina, se extienden con rapidez dentro de una red corporativa hasta afectar a los servidores de archivos, haciendo que el impacto se amplifique (llegados a este punto, una vez que la encriptación ha llegado a su fin, el ransomware deja un archivo con instrucciones sobre cómo proceder para liberar la información).
3.3. Últimas versiones de ransomware
3.3.1. Incidentes más recientes
Los incidentes del pasado año con WannaCrypt o Spora muestran ya una evolución en la propia capacidad del ransomware para la reutilización y realización de pequeñas modificaciones que hasta el año pasado sólo se podía lograr mediante el modelo de RaaS (Ransomware as a Service) donde los ciberdelincuentes pueden obtener las versiones más modernas de ransomware en el mercado alternativo de software con el fin de modificarlas y utilizarlas.
3.3.2. Cómo se comportan y qué forma adoptan
El polimorfismo o capacidad de modificarse durante la infección y cómo se exponen a las distintas capas protectoras de las compañías es lo que hace que estas últimas versiones de ransomware sean tan peligrosas.
Los ataques de este tipo de ransomware van dirigidos a las empresas en función del carácter e importancia de la información que contengan, ya que cuanto más valiosa sea la información guardada, más importante será el impacto y el rescate que estará dispuesta a pagar la empresa afectada.
Los vectores de transmisión pueden ser tanto correos electrónicos como páginas web que incluyan troyanos adjuntos o que tengan publicados kits que descarguen y ejecuten malware aprovechando las vulnerabilidades del equipo tanto a nivel de sistema operativo como de navegador.
La siguiente captura de imagen muestra un ejemplo de correo malintencionado que porta un hipervínculo a una página contenedora de ransomware:
Podemos ilustrar el flujo de correos en este tipo de ataques de la siguiente forma:
El conocer las puertas de entrada a través del flujo de correos permite que Exchange Online Protection tenga un peso decisivo en las soluciones que Office 365 ofrece para el control de incidentes, pudiendo generar una serie de contramedidas en caso de detectarse un ataque. El carácter de dichas medidas es de prevención y control ante un posible ataque, permitiendo bloquear el malware y evitando así su propagación a todas las máquinas de la corporación.
En la segunda parte de este post procederemos a detallar todas las contramedidas que están a nuestra disposición.
¿Quieres que Kabel te ayude a descubrir cómo Office 365
puede blindar tu empresa frente a este tipo de ataques?
Cuéntanos qué te preocupa y nosotros te ayudaremos:
[su_button url=»http://www.kabel.es/contacto/» target=»blank» background=»#31a1ef» size=»7″ center=»yes»]Contactar[/su_button]
Podéis comentarnos lo que sea en info@kabel.es.
También podéis seguirnos en Twitter, LinkedIn y Facebook.
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial 4.0 Internacional.
