El ransomware es software malicioso que encripta archivos, impidiendo que los usuarios accedan o utilicen sistemas informáticos. Normalmente acompañado de la petición de un rescate, un ataque de ransomware paraliza los ordenadores, servidores y archivos infectados. Los ataques son comunes: el informe Tendencias globales de ransomware para 2023 de Veeam puso de manifiesto que en los últimos 12 meses, el 85% de las organizaciones experimentaron al menos un ciberataque. Aunque el 80 % pagó el rescate, solo el 75 % recuperó el acceso a sus datos y, en promedio, solo recuperó el 66 % de sus datos. El 75 % de las veces, los ciberdelincuentes se dirigieron específicamente a los repositorios de backup.
Por otro lado, el 16% de las organizaciones lograron recuperar sus datos sin pagar un rescate después de un ataque. Estas organizaciones contaban con backups limpios, inmutables y confiables, además de una estrategia integrada de respuesta ante ransomware que funcionó según lo previsto. La conclusión es que es posible recuperarse de un ataque de ransomware si se tiene un plan sólido para manejar los ataques de ransomware.
Componentes clave de un plan de respuesta al ransomware
Dado que los ataques son tan comunes, es esencial saber cómo recuperarse rápidamente de un ataque de ransomware. Los aspectos esenciales de su plan de recuperación tras un incidente de ransomware deberían incluir endurecimiento de sistemas, medidas de prevención rigurosas, detección y respuesta ante ransomware, medidas de recuperación y restauración, y planes para informar a las autoridades pertinentes y a las partes afectadas. Realice siempre un análisis posterior al incidente para ayudar a prevenir futuros ataques.
Paso 1: Medidas preventivas
Puede tomar varias medidas para prevenir y mitigar los ataques de ransomware. Incluyen la formación de los empleados, las evaluaciones de riesgos, el fortalecimiento de las soluciones de hardware y software, la segmentación de la red y tener backups de datos seguros:
Eduque a los empleados: Sus empleados son su primera línea de defensa contra los ataques de malware, por lo que debe capacitarlos para que reconozcan los ataques y los eduquen sobre las amenazas de ransomware y cómo detectar signos de sistemas comprometidos.
Realizar evaluaciones de riesgos: Use equipos de expertos para realizar evaluaciones de riesgos e identificar los puntos débiles de sus defensas contra malware y ransomware.
Reforzar la configuración de puertos y endpoints: Deshabilite los puertos de escritorio remoto (RDP) no utilizados y limite el RDP y otros puertos del protocolo de acceso remoto a hosts de confianza. Del mismo modo, refuerce los endpoints con ajustes de configuración seguros.
Segmente las redes y aplique controles de acceso: Segmente las redes usando VPN y herramientas físicas. Mantenga las partes de la red orientadas al cliente separadas de las partes internas de la red. Adopte el principio de confianza cero al conceder acceso.
Implementar todas las actualizaciones y parches de software: Limite el riesgo de intrusión mediante la implementación meticulosa de actualizaciones y parches de seguridad.
Adopte políticas de backups seguros y redundancia de datos: Planifique cuidadosamente su estrategia de backup, ya que esta representa su última línea de defensa. Realice backups con frecuencia para asegurarse de que tiene copias inmutables que no se pueden cambiar. Mantenga al menos un conjunto de backups completamente desconectados. Compruebe la integridad del backup regularmente.
Paso 2: Detección y respuesta
Es fundamental reaccionar con prontitud ante cualquier incidente de ransomware. Con las herramientas de monitorización adecuadas, a menudo es posible interrumpir un ataque mientras está en curso. Para ello, debe contar con una cobertura 24/7 y herramientas de detección de ransomware en línea. De esta manera, mitiga el daño y puede limpiar sus sistemas más rápido, de la siguiente manera:
Determinar los sistemas afectados: Establezca qué sistemas se ven afectados y aíslelos inmediatamente del resto de la red. Si el ataque ha afectado a varios sistemas y no es posible verificar inicialmente su alcance, desconecte la red. Si no puede desconectar fácilmente los sistemas, limite el alcance de la infección desconectando los cables Ethernet y desactivando la conexión Wi-Fi.
Apagar los equipos: Si no es posible desconectar los dispositivos de la red, apague el equipo afectado. Tenga en cuenta que este paso puede eliminar la evidencia retenida en la memoria volátil.
Clasificación de los sistemas afectados: Identifique los sistemas que son críticos para la organización y enumérelos en orden de importancia en términos de las prioridades de la organización.
Examine los registros: Revise los registros del sistema para identificar precursores como malware dropper, ataques anteriores y redes comprometidas.
Determine lo que sucedió: Establezca la secuencia de eventos que condujeron al ataque y cómo el actor pudo penetrar en su red.
Encuentre la amenaza: Identifique el ransomware, su variante y cualquier otro malware en el sistema.
Paso 3: Comunicación e informes
Informar de la incidencia y comunicar de forma transparente lo sucedido a los afectados. Las comunicaciones rápidas ayudarán a mitigar las consecuencias a largo plazo, como la pérdida de credibilidad y los daños punitivos. Las medidas a tomar incluyen:
Comunicación interna: Informe inmediatamente a todos los empleados afectados y notifíqueles las medidas adoptadas para contener el incidente. Ejecute actualizaciones periódicas.
Notificar a las autoridades pertinentes: Denuncie el incidente a los funcionarios encargados de hacer cumplir la ley locales o nacionales según lo exijan las ordenanzas locales. Asegúrese de que cumple con todas las obligaciones legales establecidas en las regulaciones específicas de privacidad y protección de los datos.
Comunicación externa: Notifique el incidente a los clientes y socios comerciales y divulgue la información apropiada con respecto al alcance de los daños. Tenga en cuenta que es habitual que los delincuentes amenacen con revelar información confidencial para obligar a las víctimas a pagar el rescate.
Transparencia: Si bien es natural que las empresas quieran ocultar información dañina, las noticias de ciberataques inevitablemente salen a la luz. La transparencia minimiza el daño a la reputación, ayuda a los investigadores y brinda a las partes afectadas la oportunidad de tomar medidas para proteger los datos confidenciales.
Paso 4: Estrategias de contención
Antes de tomar medidas para erradicar el ransomware de su sistema, capture imágenes del sistema y el contenido de la memoria volátil de todos los dispositivos infectados. Esta información es útil durante las investigaciones forenses para determinar qué sucedió y cómo se vieron comprometidos sus sistemas. Es vital preservar la información volátil almacenada en la memoria del sistema, los registros de seguridad y los búferes de registro del firewall.
Consulte con las autoridades federales encargadas de hacer cumplir la ley, el Centro Multiestatal de Intercambio y Análisis de Información (MS-ISAC, por sus siglas en inglés) y su proveedor de seguridad para identificar si los investigadores han desarrollado herramientas de descifrado o identificado fallas de cifrado que pueda usar para descifrar sus datos. Estos recursos también pueden proporcionar información adicional sobre los pasos a dar para identificar los sistemas afectados y cómo desactivar los binarios de ransomware. Otros pasos incluyen:
Identificación de los sistemas implicados
Deshabilitar VPN, endpoints basados en la nube y orientados al público
Desactivar el cifrado de datos del lado del servidor
Identificación de mecanismos de persistencia internos y externos
Paso 5: Estrategias de erradicación
El objetivo principal de su estrategia de erradicación es la eliminación de todo rastro de ransomware y malware de sus sistemas (distintos de los datos). Si bien a veces es posible desinfectar sus sistemas, generalmente es más sencillo y mucho más seguro borrarlos y reconstruirlos desde cero utilizando plantillas e imágenes limpias. Los pasos incluyen:
Limpiar o desinfectar todos los sistemas infectados
Reconstruir los sistemas corporativos, empezando por los sistemas críticos
Restablecer todas las contraseñas
Identificar y bloquear vulnerabilidades, sitios web y malware identificados
Emita una declaración de la autoridad de TI designada una vez que haya erradicado todo rastro del ransomware y reconstruido los sistemas para confirmar que el incidente de ransomware ha finalizado
Paso 6: Recuperación y restauración
En este punto, ya puede restaurar sus datos y volver al trabajo. También es cuando se beneficiará de la previsión que le llevó a utilizar soluciones innovadoras para recuperarse rápidamente de los ataques de ransomware. Veeam ofrece varias soluciones, incluida una réplica de backup para crear una máquina virtual que puede poner en funcionamiento rápidamente. Los pasos de la recuperación y restauración incluyen:
Utilice backups seguros para restaurar los sistemas
Asegúrese de que sus backups estén limpios para no reinfectar sus sistemas limpios durante la recuperación
Implementar las lecciones aprendidas del ataque para reforzar las medidas de seguridad
Implementar soluciones de monitorización continua de ransomware
Llevar a cabo una evaluación posterior al incidente
Mejores prácticas de respuesta a incidentes de ransomware
La incidencia de los ataques de ransomware es tal que debería considerarlos en la misma categoría que otros planes de gestión de la continuidad del negocio. Estas incluyen estrategias para hacer frente a incidentes graves, desastres naturales y recuperación ante desastres.
El punto de partida de un plan de respuesta a incidentes de ransomware es un plan de recuperación documentado e investigado de manera exhaustiva. Normalmente, este plan incluye a todas las partes interesadas, una declaración clara de los objetivos de recuperación y estrategias de comunicación. El plan identifica a las partes responsables y define claramente las acciones a tomar cuando sufre un ataque de ransomware.
Los puntos a tener en cuenta incluyen:
Equipo de respuesta: Identifique a todos los miembros del equipo de respuesta, sus responsabilidades y funciones. Designe a un líder responsable de coordinar las actividades.
Inventario: Elabore una lista completa de todos los recursos de hardware y software físicos y en la nube, junto con diagramas de cómo se conectan entre sí, incluyendo funciones especiales como VPN, nubes privadas virtuales, WAN y API.
Funciones críticas: Enumere y priorice las funciones empresariales críticas, las aplicaciones, los conjuntos de datos y los backups.
Lista de contactos de emergencia: Incluya a todos los empleados, proveedores de servicio, proveedores y clientes que puedan verse afectados por un incidente de ransomware.
Formación: Capacite a los miembros del equipo en sus roles y responsabilidades, y simule un incidente con un Kit de prevención de ransomware para asegurarse de que cada persona esté familiarizada y se sienta cómoda con su rol.
Plan de acción contra ransomware: Prepare un plan de acción detallado de respuesta al ransomware.
Lecciones aprendidas: Documenta las lecciones aprendidas durante las simulaciones de entrenamiento y los ataques reales.
Formalizar e implementar estas mejores prácticas de protección contra el ransomware ayudará a su organización a responder de forma rápida y efectiva cuando se produzca un ataque y le garantizará backups limpios para restaurar y reconectar los servicios.
Empiece con Veeam
Aunque siempre es posible recrear estructuras de TI, una empresa no puede sobrevivir a un ataque de ransomware si no puede acceder a datos limpios. La solución de backup en línea de Veeam resuelve este problema. Veeam ofrece una única solución que le brinda un control total sobre su recuperación con inmutabilidad de múltiples capas, monitorización y automatización integrales. Veeam funciona tanto con soluciones comunes basadas en la nube como con soluciones locales para Windows, Linux y Mac.
Llame a nuestro departamento de ventas para obtener más información sobre nuestras soluciones de recuperación de datos frente a ransomware o descargue nuestro white paper específico Creación de una estrategia de recuperación de datos ciberresiliente para obtener más consejos sobre cómo lograr la ciberresiliencia.
Contenido relacionado
Fuente info
Autor: Charles Clarke
[su_divider]