Nuestros expertos en ransomware han observado recientemente una serie de incidentes en los que los actores de amenazas pudieron deshabilitar el software antivirus en una máquina comprometida porque el software antivirus no tenía un sistema de autenticación para evitar que lo hicieran.

Después de deshabilitar el software antivirus (y otras soluciones de seguridad instaladas), los actores de amenazas simplemente implementaron la carga útil maliciosa sin preocuparse por la detección o la intervención.

Afortunadamente, hay una cosa muy simple que puede hacer para fortalecer su red y prevenir este tipo de ataque: establecer una contraseña de administrador para su software antivirus.

Por qué las organizaciones siguen cayendo en el Ransomware

A pesar del hecho de que casi todas las empresas de renombre del planeta están protegidas por algún tipo de software antivirus, las organizaciones continúan cayendo en el ransomware a un ritmo alarmante.

Por lo general, esto no se debe a que el software antivirus no detecte actividad maliciosa. Todas las soluciones antivirus legítimas del mercado pueden detectar y detener de manera confiable la gran mayoría de variantes de ransomware, siempre que, por supuesto, la solución antivirus esté activa cuando se implementa el ransomware, y ahí radica el problema.

Cuando una máquina de una organización se ve comprometida (por ejemplo, mediante una estafa de phishing o la explotación de software no parcheado), los actores de amenazas responsables del ataque se convierten esencialmente en el nuevo administrador de sistemas de la organización. Tienen el poder de hacer cualquier cosa dentro de los privilegios de la cuenta pirateada, incluida la capacidad de deshabilitar el software antivirus y otros procesos de seguridad antes de que se implemente el ransomware.

Este estilo de ataque no sería posible si los actores de amenazas no pudieran desactivar el software antivirus en la máquina comprometida.

Cómo evitar que los atacantes deshabiliten su Software Antivirus

La forma más sencilla y eficaz de evitar que los atacantes deshabiliten el software antivirus y, por extensión, protejan a su organización del ransomware, es establecer una contraseña de administrador.

Establecer una contraseña de administrador hace que sea casi imposible para los actores de amenazas cerrar y desinstalar el software de seguridad, incluso si han obtenido acceso no autorizado a la red. Si se permite que se ejecute según lo previsto, una buena solución antivirus detendrá la amenaza de ransomware cuando se implemente y le alertará sobre actividades sospechosas.

Para establecer una contraseña de administrador para el software de protección Emsisoft:

1. Inicie sesión en MyEmsisoft.

2. Navegue a su espacio de trabajo y haga clic en Políticas de protección.

3. Seleccione la política raíz (el nombre de su espacio de trabajo) y desplácese hacia abajo hasta la sección "CONTRASEÑA" cerca de la parte inferior de la lista de configuración.

4. Cambie la opción a "ON" e ingrese una contraseña de administrador de su elección. Recuerde que las contraseñas deben ser largas, únicas y aleatorias.

A partir de ahora, cada vez que un usuario de cualquiera de sus dispositivos intente desactivar el software de protección Emsisoft, se mostrará la siguiente solicitud de contraseña:

Establecer una contraseña de administrador es particularmente importante para los MSP, que a menudo son un objetivo principal para el ransomware. Consulte esta publicación de blog para obtener más información sobre cómo los MSP pueden prevenir ataques de ransomware dirigidos.

Nota: Si bien las contraseñas de administrador se pueden establecer localmente en los puntos finales, recomendamos encarecidamente a nuestros usuarios que utilicen Emsisoft Cloud Console. El uso de Emsisoft Cloud Console significa que incluso en el peor de los casos que resulte en la pérdida total de datos en su dispositivo local, aún podrá verificar los registros en MyEmsisoft para ver exactamente qué sucedió. Emsisoft Cloud Console también se puede configurar para activar notificaciones cuando los componentes de protección están desactivados.

Reduzca los permisos de administrador para proteger aún más su antivirus

Para una capa adicional de seguridad, recomendamos reducir los permisos para las cuentas de usuario de administrador local. En el caso de que un atacante logre obtener una cuenta de administrador con "Acceso completo", podría excluir unidades enteras de la protección o deshabilitar componentes de protección individuales en tiempo real.

Reducir los permisos de administrador local puede evitar que esto suceda. Para hacerlo:

1. Inicie sesión en MyEmsisoft.

2. Navegue a su espacio de trabajo y haga clic en "Políticas de permisos".

3. Seleccione el grupo "Administradores".

4. En la sección "Nivel", haga clic en el cuadro desplegable y seleccione "Acceso básico". Nota: debe establecer una contraseña de administrador antes de poder reducir los permisos de administrador.

Los ataques de ransomware a menudo solo son posibles porque los actores de amenazas pueden desactivar y desinstalar procesos de seguridad en una máquina comprometida. Establecer una contraseña de administrador en su software antivirus es una forma simple y efectiva de crear una capa adicional de seguridad y proteger sus sistemas del ransomware.