Cómo manejar un ataque de ransomware
Es la noticia que ninguna organización quiere escuchar: ha sido víctima de un ataque de ransomware y ahora se pregunta qué hacer a continuación.
Lo primero que debes tener en cuenta es que no estás solo. Más del 17 por ciento de todos los ciberataques involucran ransomware, un tipo de malware que mantiene los datos o el dispositivo de la víctima bloqueados a menos que la víctima pague un rescate al hacker. De las 1350 organizaciones encuestadas en un estudio reciente, el 78 por ciento sufrió un ataque de ransomware exitoso.
Los ataques de ransomware utilizan varios métodos o vectores para infectar redes o dispositivos, incluido engañar a las personas para que hagan clic en enlaces maliciosos mediante correos electrónicos de phishing y explotar vulnerabilidades en software y sistemas operativos, como el acceso remoto Los delincuentes cibernéticos suelen solicitar pagos de rescate en Bitcoin y otras criptomonedas difíciles de rastrear, proporcionando a las víctimas claves de descifrado en el pago para desbloquear sus dispositivos.
La buena noticia es que, en caso de un ataque de ransomware, hay pasos básicos que cualquier organización puede seguir para ayudar a contener el ataque, proteger la información confidencial y asegurar la continuidad de negocio minimizando el tiempo de inactividad.
Boletín de noticias Think
¿Su equipo captaría a tiempo el próximo día cero?
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Aislar los sistemas afectados
Debido a que las variantes de ransomware más comunes escanean las redes en busca de vulnerabilidades para propagarse lateralmente, es crítico que los sistemas afectados se aíslen lo más rápido posible. Desconecte Ethernet y desactive WiFi, Bluetooth y cualquier otra capacidad de red para cualquier dispositivo infectado o potencialmente infectado.
Otros dos pasos a considerar:
- Desactivar las tareas de mantenimiento. Desactive inmediatamente las tareas automáticas (por ejemplo, eliminar archivos temporales o rotar registros) de los sistemas afectados. Estas tareas pueden interferir con los archivos y obstaculizar la investigación y recuperación de ransomware.
- Desconexión de las copias de seguridad. Dado que muchos nuevos tipos de ransomware atacan las copias de seguridad para dificultar la recuperación, mantenga las copias de seguridad de los datos fuera de línea. Limita el acceso a los sistemas de respaldo hasta que eliminaste la infección.
Fotografíe la nota de rescate
Antes de continuar con cualquier otra cosa, tome una foto de la nota de rescate, idealmente fotografiando la pantalla del dispositivo afectado con un dispositivo separado, como un teléfono inteligente o una cámara. La foto acelerará el proceso de recuperación y ayudará a la hora de presentar una denuncia policial o una posible reclamación ante su compañía de seguros.
Notifique al equipo de seguridad
Una vez que haya desconectado los sistemas afectados, notifique el ataque a su equipo de seguridad de TI. En la mayoría de los casos, los profesionales de seguridad de TI pueden asesorar sobre los siguientes pasos y activar el plan de respuesta a incidentes de su organización, es decir, los procesos y tecnologías de su organización para detectar y responder a los ciberataques.
No reinicie los dispositivos afectados
Cuando se trate de ransomware, evite reiniciar los dispositivos infectados. Los hackers saben que este podría ser su primer instinto, y algunos tipos de ransomware notan intentos de reinicio y causan daños adicionales, como dañar Windows o eliminar archivos cifrados. El reinicio también puede dificultar la investigación de ataques de ransomware: se almacenan pistas valiosas en la memoria del equipo, que se borrará durante un reinicio.
En su lugar, ponga los sistemas afectados en hibernación. Esto guardará todos los datos en la memoria en un archivo de referencia en el disco duro del dispositivo, conservándolos para futuros análisis.
Ahora que ha aislado los dispositivos afectados, es probable que esté ansioso por desbloquear sus dispositivos y recuperar sus datos. Si bien erradicar las infecciones de ransomware puede ser complicado de gestionar, especialmente las cepas más avanzadas, los siguientes pasos pueden iniciarlo en el camino hacia la recuperación.
Determine la variante de ataque
Varias herramientas gratuitas pueden ayudar a identificar el tipo de ransomware que infecta sus dispositivos. Conocer la cepa específica puede ayudarlo a comprender varios factores clave, incluida la forma en que se propaga, qué archivos bloquea y cómo podría eliminarla. Simplemente cargue una muestra del archivo cifrado y, si los tiene, una nota de rescate y la información de contacto del atacante.
Los dos tipos más comunes de ransomware son los bloqueadores de pantalla y los cifradores. Los bloqueadores de pantalla bloquean su sistema, pero mantienen sus archivos seguros hasta que pague, mientras que los encriptadores son más difíciles de dirección, ya que encuentran y encriptan todos sus datos confidenciales y solo los descifran después de realizar el pago del rescate.
Busque herramientas de descifrado
Una vez que haya identificado la cepa de ransomware, considere buscar herramientas de descifrado. También hay herramientas gratis para ayudar con este paso, incluyendo sitios como No More Ransom . Simplemente ingrese el nombre de la cepa de ransomware y busque el descifrado coincidente.
Si ha tenido la suerte de eliminar la infección de ransomware, es hora de iniciar el proceso de recuperación.
Empiece actualizando las contraseñas del sistema y luego recupere sus datos de las copias de seguridad. Siempre debe intentar tener tres copias de sus datos en dos formatos diferentes, con una copia almacenada fuera del sitio. Este enfoque, conocido como la regla 3-2-1, le permite restaurar sus datos rápidamente y evitar pagos de rescate.
Tras el ataque, también debería considerar realizar una auditoría de seguridad y actualizar todos los sistemas. Mantener los sistemas actualizados ayuda a evitar que los hackers exploten vulnerabilidades encontradas en software antiguo, y los parches regulares mantienen tus equipos actualizados, estables y resistentes a amenazas de malware. También es posible que desee perfeccionar su plan de respuesta a incidentes con las lecciones aprendidas y asegurarse de haber comunicado el incidente lo suficiente a todos los stakeholders.
Debido a que el ransomware es una extorsión y un delito, siempre debe denunciar los ataques de ransomware a los funcionarios encargados de hacer cumplir la ley o al FBI.
Las autoridades podrían ayudarte a descifrar tus archivos si tus esfuerzos de recuperación no funcionan. Pero incluso si no pueden guardar sus datos, es crítico que cataloguen la actividad delincuente cibernética y, con suerte, ayuden a otros a evitar destinos similares.
Algunas víctimas de ataques de ransomware también pueden estar legalmente obligadas a informar las infecciones de ransomware. Por ejemplo, el cumplimiento de HIPAA generalmente requiere que las entidades de atención médica informen cualquier filtración de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.
Decidir si realizar un pago de rescate es una decisión compleja. La mayoría de los expertos sugieren que solo debe considerar pagar si ha probado todas las demás opciones y la pérdida de datos sería significativamente más dañina que el pago.
Independientemente de su decisión, siempre debe consultar con los funcionarios encargados de hacer cumplir la ley y los profesionales de ciberseguridad antes de seguir adelante.
Pagar un rescate no garantiza que recuperará el acceso a sus datos o que los atacantes cumplirán sus promesas: las víctimas a menudo pagan el rescate, solo para nunca recibir la clave de descifrado. Además, el pago de rescates perpetúa la actividad delincuente cibernética y puede financiar aún más los delitos cibernéticos.
Las herramientas de seguridad del correo electrónico y el software antimalware y antivirus son las primeras líneas de defensa críticas contra los ataques de ransomware.
Las organizaciones también confían en herramientas avanzadas de seguridad endpoint, como cortafuegos, VPN y autenticación multifactor, como parte de una estrategia de protección de datos más amplia para defenderse de las filtraciones de datos.
Sin embargo, ningún sistema de ciberseguridad está completo sin capacidades de detección de amenazas de última generación y respuesta a incidentes para atrapar a los delincuentes cibernéticos en tiempo real y mitigar el impacto de los ciberataques exitosos.
Herramientas como los sistemas de gestión de eventos e información de seguridad (SIEM) pueden aplicar el machine learning y los analytics de comportamiento del usuario (UBA) al tráfico de red junto con los registros tradicionales para una detección más inteligente y una corrección más rápida.