¿Sabía que solo 65 % de los datos se recuperan durante un ataque de ransomware, según el estudio State of Ransomware de Sophos? Hoy vamos a profundizar en algunas de las cuestiones más comunes sobre la recuperación tras un ataque de ransomware y lo que todo el mundo debería saber antes de sufrir un ataque.
¿Qué es la recuperación de ransomware?
La recuperación de datos de ransomware es el proceso que se sigue para devolver los sistemas de TI a un estado operativo tras producirse un ataque de ransomware. Recuperar puede ser sencillo, puede seguir muchos de los procesos que tiene actualmente de recuperación ante desastres, siempre que sus planes de recuperación ante desastres están bien documentados y probados exhaustivamente (y recientemente).
En el terreno de la protección de datos existe un enorme interés en la recuperación, especialmente en la recuperación de VMs cifradas de un backup. Aunque esto supone una parte importante de la recuperación de ransomware, existen además otros elementos que afectan al resto de su entorno de TI.
Como parte de la respuesta ante un incidente de ciberseguridad, se lleva a cabo un análisis forense para determinar cómo el ransomware entró en el entorno y a qué sistemas infectó. En este punto, pueden darse pasos para erradicar el ransomware, eliminar las vulnerabilidades que permitieron entrar a los atacantes, y restaurar los sistemas afectados.
¿Puede eliminarse el ransomware?
Durante los procesos de respuesta a los incidentes de ciberseguridad, se darán los pasos necesarios para evaluar cómo el ransomware entró en el entorno y cómo se han visto afectados los sistemas, más allá del cifrado de los datos.
Aunque el software de ransomware debe ser eliminado de las máquinas cifradas, deben darse también pasos para determinar como entraron los atacantes y reducir esos vectores de ataque. Una vez que se produce un incidente de ransomware, podrá garantizar que sus sistemas antimalware tienen las definiciones adecuadas para detectar la variante de ransomware que le ha afectado.
¿Pueden recuperarse los sistemas que se hayan visto afectados por el ransomware?
La pregunta más acuciante para la mayoría de las organizaciones de TI a día de hoy es: “¿puedo recuperar tras un ataque de ransomware?” Casi siempre es posible recuperar los sistemas. Desgraciadamente, muchas organizaciones no confían en el proceso de recuperación, que es el motivo por el que es importante dar los pasos para garantizar que su entorno pueda recuperarse tras un ataque de ransomware.
Lo primero que hay que hacer para proteger sus datos del ransomware es garantizar que dispone de un backup reciente y que este funciona. Esta copia de respaldo o backup resulta vital una vez que las máquinas virtuales han sido cifradas. Tras el cifrado, necesitará restaurar a un backup previo.
En función del tiempo que el ransomware haya estado inactivo en su sistema, querrá explorar el sistema restaurado para asegurarse de que no está introduciendo nuevamente la amenaza de vuelta en el entorno.
¿Qué aspecto tiene la recuperación tras un ataque de ransomware?
Uno de los aspectos más confusos del ransomware es, normalmente, lo que sucede tras producirse un ataque. El primer paso es involucrar a su equipo de seguridad de TI para que pueda iniciar el proceso de respuesta a incidentes. Este proceso puede variar un poco respecto a lo que están acostumbrados la mayoría de administradores a la hora de restaurar datos.
Antes de que pueda recuperar tras un ataque de ransomware, existe un número de fases del plan de respuesta ante incidentes que deben completarse, como la detección y análisis, contención erradicación y recuperación. El cómo se recupere del ransomware dependerá de lo que se haya determinado durante la fase de detección y análisis, con lo que es muy importante disponer de varias estrategias, y que hayan sido probadas.
¿No está familiarizado con la respuesta a incidentes de ciberseguridad? Asegúrese de consultar las guías Cybersecurity Incident & Vulnerability Response publicadas recientemente por CISA.
¿Qué tipos de ataques de ransomware hay?
Hay varios tipos de ataques de ransomware, siendo el más común el de cifrado de los datos. Existen también ataques de ransomware de doble y triple extorsión. Un ataque de doble extorsión es un ataque donde el ransomware no solo cifra los datos, sino que además los roba. El ataque de triple extorsión es aquel en el que las máquinas son cifradas, y los datos robados. En este caso “los malos” van un paso más allá y buscan información de los clientes y proveedores de la organización para marcarlos como objetivos de sus ataques.
¿Puede el ransomware robar datos?
El ataque de ransomware típico en el que siempre pensamos es aquel que cifra los datos. Otro ataque tipo de ransomware cada vez más común es el que produce filtraciones o fugas de datos. Esto ocurre cuando “los malos” roban datos de su entorno y le amenazan para divulgarlos a no ser que pague un rescate.
¿Cómo se propaga el ransomware?
El ransomware puede propagarse de diferentes formas. Una de las formas más comunes de propagación del ransomware es a través de correos electrónicos de phishing. Una vez que el atacante se introduce en su entorno, las posibilidades son ilimitadas. Recuerde que lo único que necesita un atacante es un punto de entrada para paralizar su entorno.
¿Cuál es la mejor solución para evitar que sus archivos más importantes sean atacados por ransomware?
Aunque muchos quieren protegerse frente al ransomware, la verdad del asunto es que es de esperar que en algún momento se vea afectado por esta amenaza. Existen diversos grupos de ransomware ahí fuera que están buscando constantemente nuevos modos de explotar las vulnerabilidades de los entornos para introducirse y desplegar su ransomware. Pese a que una estrategia de seguridad de TI sólida puede hacer mucho para protegerse frente a un ataque de ransomware, no hay nada que pueda evitar al 100 % que este se produzca.
La mejor solución es contar con una estrategia de backup sólida, que incluya backups inmutables, de forma que “los malos” no puedan cifrar o borrar sus backups.
¿Cuántos tipos de ransomware existen?
Existen muchos tipos diferentes de ransomware, y continuamente surgen otros nuevos. Algunos de los tipos de ransomware más populares que han salido en las noticias son REvil, Conti, y DarkSide.
Una cosa importante que hay que saber de estos diferentes tipos de ransomware es que operan como cualquier organización de TI. Poseen sus propios desarrolladores y están continuamente ajustando su ransomware para que sea más peligroso para los sistemas de TI.
¿Cuánto se tarda en recuperar los sistemas tras un ataque de ransomware?
Cuando se trata de recuperarse tras un ataque de ransomware, son muchas las historias terroríficas que corren por ahí sobre el tiempo que se necesita para hacer la recuperación (si es que las organizaciones pueden lograrlo). Normalmente se escucha que se tarda semanas e incluso meses para recuperarse tras un ataque, pero este no tiene por qué ser el caso.
La recuperación de ransomware es algo que necesita probarse de manera periódica, de la misma forma que se hace con un plan de recuperación ante desastres. En realidad, su plan de recuperación ante desastres es un excelente punto de partida para recuperarse de un ataque de ransomware, siempre y cuando esté en todo momento actualizado y haya sido probado a fondo.
Después de que haya probado su recuperación, puede dar varios pasos para agilizar el proceso en función de los requisitos de su negocio, como por ejemplo desplegar infraestructuras adicionales en su entorno.
La recuperación de ransomware no tiene por qué hacerse muy larga, pero probar sus procesos de recuperación es vital para cumplir con sus RTO.
¿Cuánto tiempo tarda el ransomware en cifrar sus archivos?
La velocidad de cifrado del ransomware depende del ransomware que haya atacado a su entorno. Recuerde que hay grupos de ransomware que están constantemente mejorando su software, intentando que las cosas sucedan lo más rápidamente posible para causar el mayor daño antes de que los equipos de TI se den cuenta de lo que está pasando.
Por ejemplo, el ransomware REvil usa procesos multihilo para usar todos los recursos del destino para cifrarlo.
¿Se puede desencriptar el ransomware?
Aunque los grupos de ransomware afirman que pueden desencriptar la información que ha sido atacada si paga el rescate, la realidad es que no se desencriptan todos los datos de forma correcta. Pero lo más problemático es que una vez desencriptados los datos, estos pierden la integridad. Incluso si desencripta un servidor tras un ataque de ransomware, todavía necesitará ser restaurado desde un backup.
¿La reinstalación de Windows elimina el ransomware?
La simple reinstalación de Windows en una máquina infectada no eliminará el ransomware. Borrar por completo una máquina y reinstalar Windows asegurará que el sistema ya no tendrá ransomware, pero perderá todos sus datos si no se hizo una copia de respaldo o seguridad previamente.
¿Puede el ransomware robar datos personales?
Los atacantes de ransomware aprenden a identificar las vulnerabilidades en un entorno. Esto les permite dirigir su ataque a los datos que mayor impacto pueden producir en el entorno. Hay que pensar en datos personales sobre empleados y clientes, información financiera e información de propiedad intelectual. Recuerde, un grupo de ransomware hará todo lo posible para asegurarse de que pague el rescate.
Cuando se trata de recuperar tras un ataque de ransomware, hay que considerar muchas cosas. Los más importante es asegurarse de que hoy toma las medidas adecuadas para proteger su entorno. Esto incluye no solo proteger y reforzar su entorno de forma que los atacantes no puedan entrar, sino también la formación a los usuarios en materia de ciberseguridad para garantizar que los empleados de su empresa no hagan clic en enlaces sospechosos que dejen entrar a los atacantes fácilmente.
A fin de cuentas, la última línea de defensa es contar con backups seguros. Además de tener backups inmutables que el ransomware no pueda cifrar o eliminar, es importante probar la recuperación. Probar el proceso de recuperación no solo le permite comprobar que sus backups funcionan, sino que cumple los RTOs en caso de que se produzca un ataque.
Para obtener más información sobre cómo proteger sus datos del ransomware, asegúrese de echar un vistazo al kit de prevención contra ransomware de Veeam para empezar hoy mismo.
Fuente info
Autor: Melissa Palmer