Identificar la variante de ataque, ubicar las copias de seguridad y activar un plan de respuesta a incidentes se encuentran entre las acciones recomendadas por Fortinet
Los ataques de ransomware son cada vez más frecuentes, han aumentado, transformándose y evolucionando a lo largo del tiempo. Según un reciente informe del panorama global de amenazas del laboratorio de inteligencia de amenazas de Fortinet, FortiGuard Labs, los ataques de ransomware se multiplicaron por siete en la última mitad de 2020 y se volvieron aún más efectivos al atacar a casi todos los sectores y en todo el mundo.
Un ransomware es un tipo de malware (programa maligno) o virus que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos.
Existen diversos métodos en que este tipo de virus puede infectar su ordenador, pero uno de los más habituales actualmente es a través de spam malicioso, o malspam, que son mensajes no solicitados utilizados para enviar malware (programa maligno) por correo electrónico utilizando ingeniería social para engañar a las personas con el fin de que abran archivos adjuntos o hagan clic en vínculos que parecen legítimos, pero no lo son.
Las tácticas de los cibercriminales continúan cambiando y ya no basta con tener las estrategias defensivas adecuadas, es necesario evaluar continuamente las políticas de seguridad para garantizar que las redes tengan respuestas actualizadas frente a este tipo de ataques.
Fortinet enumeró una lista de verificación para ayudar a las organizaciones a lidiar con un ataque de ransomware cuando éste ocurre:
Aísle sistemas y detenga propagación
Existen múltiples técnicas para aislar la amenaza y evitar que se propague. En primer lugar, identifique el alcance del ataque. Si ya sabe que el incidente se ha extendido, aplique bloqueos a nivel de red como el aislamiento del tráfico en el conmutador o en el borde del firewall (una red informática que está diseñada para bloquear el acceso no autorizado) o considere la posibilidad de interrumpir temporalmente la conexión a Internet. Si está disponible, la tecnología de detección y respuesta para endpoint (punto final de comunicación) puede bloquear el ataque a nivel de proceso, lo que sería la mejor opción inmediata con una interrupción mínima del negocio.
Identificar la variante de ransomware
Muchas de las tácticas, técnicas y procedimientos (TTP) de cada variante de ransomware están documentadas públicamente. Determinar con qué cepa se está tratando puede dar pistas sobre la ubicación de la amenaza y cómo se está propagando. Dependiendo de la variante, algunas herramientas de descifrado pueden estar disponibles los archivos.
Identificar el acceso inicial
Determinar el punto de acceso inicial, o paciente cero, ayudará a identificar y cerrar el agujero en su seguridad. Los vectores de acceso inicial más comunes son el phishing (delito de engañar a las personas para que compartan información confidencial como contraseñas), los exploits (cualquier ataque que aprovecha las vulnerabilidades de las aplicaciones) en sus servicios de borde (como los servicios de Escritorio Remoto) y el uso no autorizado de credenciales. Determinar el punto de acceso inicial es a veces difícil y puede requerir la experiencia de equipos forenses digitales y expertos en IR (tecnología inalámbrica infrarroja).
Localice sus copias de seguridad
Un ataque de ransomware intentará borrar sus copias de seguridad en línea y las instantáneas de volumen para disminuir las posibilidades de recuperación de los datos. Por ello, asegúrese de que su tecnología de copias de seguridad no se ha visto afectada por el incidente y sigue siendo operativa. Con muchos ataques de ransomware, los atacantes suelen haber estado en su red durante días, hasta semanas, antes de decidirse a cifrar sus archivos. Esto significa que puede tener copias de seguridad que contengan cargas útiles maliciosas que no quiera restaurar en un sistema limpio. Analice sus copias de seguridad para determinar su integridad.
Sanear los sistemas o crear nuevos
Si confía en su capacidad para identificar todo el malware activo y los incidentes de persistencia en sus sistemas, entonces puede ahorrar algo de tiempo al no reconstruir. Sin embargo, puede ser más fácil y seguro crear sistemas nuevos y limpios. Incluso puede considerar la posibilidad de crear un entorno limpio completamente separado al que pueda migrar. Esto no debería llevar demasiado tiempo si está ejecutando un entorno virtual.
Cuando reconstruya o sanee su red, asegúrese de que se han instalado los controles de seguridad adecuados y que se siguen las mejores prácticas para garantizar que los dispositivos no se vuelvan a infectar.
¿Pagar el rescate?
Las fuerzas del orden aconsejan no pagar el rescate, sin embargo, si lo está considerando, debería contratar a una empresa de seguridad con conocimientos especializados para que le ayude. Además, pagar el rescate no va a remediar las vulnerabilidades que los atacantes explotaron, así que asegúrese de haber identificado el acceso inicial y parchear las vulnerabilidades.
Realice revisión posterior al incidente
Revise su respuesta a los incidentes para comprender lo que ha ido bien y para documentar las oportunidades de mejora. Esto asegura la mejora continua de sus capacidades de respuesta y recuperación para el futuro. Considere la posibilidad de simular los detalles técnicos y no técnicos del ataque para poder revisar sus opciones.