Muchos usuarios piensan en OneDrive como almacenamiento de respaldo en la nube. Tienden a creer que los archivos almacenados en OneDrive son invulnerables a la pérdida y corrupción. En otras palabras, algunos creen que los archivos almacenados en una nube pública no pueden ser dañados por ransomware, a diferencia de los archivos almacenados en unidades de disco de computadoras locales y servidores locales in situ. ¡Eso no es completamente cierto! Los archivos almacenados en OneDrive pueden ser atacados por ransomware, encriptados y perdidos como resultado.
La popularidad de los ataques de ransomware está creciendo cada año. Sin embargo, si sigues las recomendaciones y observas las políticas de seguridad, puedes mantener tus datos seguros incluso cuando los almacenas en OneDrive. Esta publicación de blog cubre estrategias para proteger datos en OneDrive y explica cómo protegerse contra ataques de ransomware.
Acerca de OneDrive y Ransomware
¿Puede infectar ransomware a OneDrive? Sí, los archivos almacenados en OneDrive pueden ser infectados y encriptados con ransomware en estos casos:
- OneDrive está montado en una carpeta local en una computadora local, y los archivos almacenados en OneDrive se sincronizan con la carpeta local asociada. Si una computadora local está infectada con ransomware, el ransomware encripta todos los archivos accesibles, incluidos los archivos almacenados en la carpeta sincronizada con OneDrive. Como resultado, si accedes a OneDrive en una interfaz web, verás archivos encriptados (es decir, corruptos). El ransomware puede comenzar a encriptar OneDrive y luego encripta otras unidades y todas las ubicaciones de almacenamiento accesibles.
- Si un atacante obtiene tus credenciales, los archivos accesibles desde tu cuenta de usuario pueden ser encriptados con ransomware.
- Hacer clic en enlaces de phishing provoca la descarga y ejecución de virus, malware y ransomware en el ordenador de la víctima. El ransomware corrompe archivos a los que accede.
- Los complementos maliciosos y extensiones que solicitan permisos para acceder a OneDrive son peligrosos y pueden ser puntos de entrada para una infección por ransomware. Lea atentamente la descripción de los complementos y extensiones, y verifique el proveedor antes de instalarlos.
¿Qué tan seguro es OneDrive? ¿Es seguro OneDrive? ¿Qué tan seguro es OneDrive? Estas preguntas son populares entre los nuevos usuarios de Microsoft 365. OneDrive es lo suficientemente seguro. Sin embargo, debe saber cómo protegerse contra los ataques de ransomware, seguir las recomendaciones de seguridad y saber qué hacer si ve que OneDrive ha sido hackeado. Microsoft presentó una nueva función de detección de ransomware incorporada, que detecta actividad sospechosa como eliminaciones masivas o cifrado de archivos almacenados en OneDrive. El usuario recibe una notificación con un mensaje de alerta en el dispositivo del usuario y por correo electrónico. También se muestra una lista de recomendaciones. Pero lo que desea es evitar que el ransomware de OneDrive corrompa sus archivos. Lea cómo proteger las carpetas del ransomware en la siguiente sección de esta publicación en el blog.
Cómo Proteger OneDrive Contra un Ataque de Ransomware
En esta sección, explico cómo protegerse contra el ransomware y definir estrategias de protección contra ransomware para OneDrive. Siguiendo estas recomendaciones se reduce el riesgo de ser infectado con ransomware y perder datos.
Proteger credenciales
Proteja las credenciales de la cuenta de administrador de Microsoft 365. Al robar las credenciales de un administrador, un atacante puede robar y dañar todos los datos de una organización almacenados en el almacenamiento de OneDrive (incluidos todos los datos de todos los usuarios de la organización).
Proteja las credenciales de los usuarios. Robar las cuentas de los usuarios permite a los atacantes acceder a sus datos personales y datos compartidos, distribuir ransomware e infectar archivos. Cuando los archivos almacenados en el almacenamiento compartido de OneDrive están infectados, otros usuarios que acceden al almacenamiento compartido también pueden infectarse.
Habilite la autenticación de dos factores. Microsoft 365 admite la autenticación multifactor. Este paso de seguridad adicional puede ayudar a los usuarios a proteger sus cuentas contra compromisos y robo de credenciales. Se recomienda que utilice la autenticación multifactor o la verificación en dos pasos para proteger las cuentas de Microsoft 365 con permisos administrativos. Aquí hay una publicación de blog sobre autenticación de dos factores para Microsoft 365.
Proteja cada computadora
Proteja las computadoras en su organización. Instale y configure software antivirus y antimalware. Siguiendo esta recomendación se reduce el riesgo de que el ransomware infecte las computadoras de los usuarios y los archivos almacenados en las carpetas de OneDrive sincronizadas en estas computadoras (almacenamiento de OneDrive mapeado a carpetas locales). No olvide los servidores y las máquinas virtuales.
Bloquea la ejecución de archivos almacenados en %appdata%, %localappdata%. Por defecto, estos directorios son utilizados por aplicaciones en Windows para almacenar datos. Los archivos temporales y los datos descargados pueden estar ubicados allí. Cuando se descargan archivos de ransomware, pueden estar enmascarados y ocultos en estas carpetas, y luego pueden ser ejecutados.
Bloquea los macros en los documentos de Microsoft Office. Los macros rara vez se utilizan para tareas empresariales, pero son una fuente de problemas graves. Un método de infección ampliamente utilizado es distribuir documentos con macros maliciosos, que lanzan un ataque de ransomware para infectar una computadora y luego propagarse a través de una red para infectar otras computadoras.
Actualiza el software e instala parches de seguridad para corregir vulnerabilidades de software conocidas que pueden ser utilizadas por ransomware para penetrar e infectar un sistema. Puedes habilitar actualizaciones automáticas de software para Windows y aplicaciones. Si tu configuración de seguridad es imperfecta, los atacantes pueden utilizar vulnerabilidades de software no parcheadas para iniciar un ataque de ransomware. Por eso es importante instalar parches.
Educa a los usuarios
Educa a los usuarios para que reconozcan los ataques de phishing. Los atacantes a menudo presumen que los usuarios no tienen experiencia, y que descargan todos los archivos adjuntos a los correos electrónicos, abren archivos y hacen clic en todos los enlaces. Nuestra tarea es informar a los usuarios sobre las amenazas y enseñarles cómo identificar contenido sospechoso.
El vector de ataque de ransomware más popular es enviar correos electrónicos de phishing a los usuarios. Un enlace malicioso está diseñado para parecerse a un enlace legítimo pero redirige al usuario a descargar e instalar ransomware. Pase el cursor sobre el enlace y verifique la ortografía en la dirección URL. Si incluso un carácter está mal, evite hacer clic en el enlace. La dirección de correo electrónico del remitente, de manera similar a los enlaces, puede ser suplantada. Si no conoce al remitente y no desea recibir mensajes de este remitente, es mejor omitir o rechazar el correo electrónico de este remitente. No descargue ni abra archivos adjuntos a mensajes de correo electrónico. Recuerde sobre la amenaza de abrir documentos de Word/Excel con macros.
Los enlaces dañinos en mensajes de correo electrónico y páginas web falsas son peligrosos. Los atacantes pueden crear páginas falsas y enviar enlaces en mensajes de correo electrónico a estas páginas falsas. Una página falsa parece la página original, pero hacer clic en elementos en la página o ingresar credenciales puede llevar a perder una cuenta o infectarse con ransomware.
Incluso si la dirección del sitio web es real y legítima, tenga en cuenta que los atacantes pueden hackear sitios web y hacer inyecciones maliciosas en ese sitio. Después de visitar dicho sitio web, un usuario puede infectarse con ransomware. Un buen software antivirus que esté actualizado puede prevenir la infección en este caso.
Un atacante puede utilizar técnicas de ingeniería social y etiquetas como “urgente”, “importante”, etc. en mensajes de correo electrónico para apresurar a una víctima y desviar su atención de revisar el contenido. Tenga cuidado cuando reciba mensajes de Skype y otros servicios. Tenga en cuenta que un atacante puede hackear una cuenta de usuario y enviar mensajes desde esa cuenta. Una cuenta de usuario es real en este caso, pero un enlace o archivo enviado desde la cuenta hackeada puede constituir una amenaza.
Cuando los usuarios son entrenados para reconocer contenido sospechoso, los riesgos de un ataque de ransomware a través de correos electrónicos de phishing son significativamente menores. Siempre es mejor prevenir los ataques de ransomware de OneDrive en lugar de recuperar archivos corruptos.
Utilice sistemas de protección de correo electrónico
Utilice Exchange Online Protection. Esta herramienta nativa de Microsoft 365 le permite configurar filtros de protección adicionales, como el filtro de enlaces seguros y el filtro de adjuntos seguros.
Configure políticas anti-phishing. Exchange Online Protection puede determinar remitentes confiables, remitentes sospechosos, archivos adjuntos que constituyen una amenaza y enlaces maliciosos y falsificados a sitios infectados. Los remitentes falsificados y el correo no deseado pueden ser bloqueados en la configuración.
Bloquee el contenido activo en archivos adjuntos como macros en documentos de Word/Excel, VBScript y JavaScript. Lea la publicación del blog sobre Exchange Online Protection para obtener más información sobre esta función.
Utilice sistemas de protección en la nube
Habilita Microsoft 365 Defender en tu entorno de Microsoft 365. Microsoft 365 Defender es un nuevo nombre de Office 365 Advanced Threat Protection (Microsoft Defender para Office 365). Esta función te ayuda a reducir el riesgo de infección por ransomware para los usuarios de Microsoft 365 en tu organización. Las principales características de Microsoft 365 Defender son la detección inteligente de amenazas, la investigación automatizada y la protección integrada contra ataques sofisticados de ransomware. Microsoft 365 Defender se puede configurar en el centro de seguridad de Microsoft 365. Cuando los usuarios están educados y el software inteligente está habilitado, el nivel de protección es mucho más alto.
Utiliza el control de versiones
Habilita el control de versiones (historial de versiones) en la configuración de OneDrive. Si el ransomware cifra objetos almacenados en OneDrive, solo se cifra la última versión de los archivos. Puedes seleccionar una versión anterior del archivo y recuperar los archivos necesarios. No olvides que antes de proceder a recuperar archivos, debes eliminar el ransomware de las computadoras infectadas para evitar cifrar los archivos nuevamente. Ten en cuenta que recuperar miles de archivos mediante la recuperación de versiones anteriores de archivos lleva tiempo, y tener una copia de seguridad adecuada de OneDrive te ahorrará tiempo y recursos en este caso. El historial de versiones de OneDrive te permite recuperar archivos almacenados en OneDrive a cualquier versión cambiada dentro de los últimos 30 días. Verifica la configuración de retención para los archivos eliminados (archivos almacenados en la papelera de reciclaje) de OneDrive.
Configurar políticas de retención. Las políticas de retención de Microsoft 365 definen cuánto tiempo se conserva los datos después de ser eliminados antes de que estos datos se eliminen de forma permanente. Tenga en cuenta que almacenar datos retenidos en la nube utiliza espacio de almacenamiento, lo que puede generar costos adicionales.
Realizar copias de seguridad de los datos almacenados en OneDrive
Realizar copias de seguridad de los datos almacenados en OneDrive. Algunas de las opciones mencionadas arriba pueden no estar disponibles para todos los planes de suscripción a Microsoft 365 y probablemente solo estén disponibles para los planes de suscripción más altos. Microsoft te permite solicitar soporte y restaurar todos los datos en la nube de Office 365 dentro de dos semanas a partir de un incidente de pérdida de datos, pero no hay opción de recuperación granular y no puedes seleccionar los objetos necesarios para restaurar.
Almacenar copias de seguridad en la nube o en el entorno local en un lugar seguro. El repositorio de copias de seguridad debe estar bien protegido y no compartido con otros usuarios (debe ser accesible solo por el software de copias de seguridad y los administradores).
Realizar copias de seguridad de los datos con NAKIVO Backup & Replication
Utilice NAKIVO Backup & Replication para proteger OneDrive. NAKIVO Backup & Replication admite la copias de seguridad de datos de Microsoft 365, incluidos los datos que residen en OneDrive, Exchange Online y SharePoint Online. Puede realizar copias de seguridad de los datos de OneDrive y crear hasta 4.000 puntos de recuperación, y luego restaurar las versiones necesarias de los archivos utilizando estos puntos de recuperación. La recuperación granular le permite recuperar archivos y carpetas personalizados de los usuarios en la ubicación original o en una ubicación personalizada. Una instancia de NAKIVO Backup & Replication puede proteger miles de cuentas de usuario de Office 365. Los datos de OneDrive se copian de seguridad en repositorios de copia de seguridad locales almacenados en servidores locales. La configuración se realiza en la interfaz web intuitiva.
Lea más publicaciones de blog sobre recuperación de ransomware, ataques de ransomware a dispositivos NAS para obtener más información sobre el principio de funcionamiento y la protección contra ransomware.
Cómo recuperar archivos de OneDrive
Si sus archivos han sido cifrados por ransomware, nunca pague un rescate. Pagar un rescate incentiva a los atacantes a lanzar más ataques para obtener más dinero. Si paga el rescate, no tiene garantías de que recuperará sus archivos completamente o parcialmente. Si se da cuenta de que sus archivos de OneDrive han sido cifrados después de un ataque de ransomware, debe recuperar los datos utilizando herramientas nativas de Microsoft o desde una copia de seguridad utilizando software de protección de datos de terceros.
En primer lugar, elimine el ransomware instalado en todas las computadoras de su organización. Si las funciones nativas de Microsoft 365 están habilitadas para las cuentas de usuario en su organización, recupere los archivos de OneDrive de versiones anteriores o de la papelera de reciclaje (incluida la papelera de reciclaje de segunda etapa). Si tiene una copia de seguridad, restaure los datos desde la copia de seguridad.
Lea más sobre la copia de seguridad y recuperación de OneDrive con NAKIVO Backup & Replication en esta publicación de blog.
Conclusión
Esta publicación de blog cubrió estrategias para proteger OneDrive contra ataques de ransomware y proporcionó algunas recomendaciones de alto nivel que pueden ayudarlo a prevenir ataques de ransomware a OneDrive. Debería proteger sus datos técnicamente: configure la configuración de seguridad para todo el software utilizado en todas las máquinas y configure su copia de seguridad de datos. Además de eso, debería educar a los usuarios sobre cómo reconocer posibles intentos de iniciar ataques de ransomware porque los atacantes a menudo utilizan uno de unos pocos métodos para iniciar ataques de ransomware a OneDrive a través de usuarios regulares.
La copia de seguridad es el método más confiable para restaurar datos si el ransomware corrompe sus archivos. Utilice NAKIVO Backup & Replication para proteger sus datos almacenados en OneDrive.
Source:
https://www.nakivo.com/blog/protecting-onedrive-against-ransomware/