No prepararse es prepararse para fallar.

En el caso de un ataque de ransomware, un plan de respuesta eficaz puede significar la diferencia entre el pánico y la acción decisiva. Puede significar la diferencia entre una infección en toda la empresa y un incidente contenido; la diferencia entre una reparación rápida y un cierre comercial permanente.

En esta guía, analizaremos en detalle exactamente cómo deben responder las empresas a un ataque de ransomware y exploraremos las medidas preventivas que pueden ayudar a reducir el riesgo de infección.

Cómo responder a un ataque de Ransomware

Si las medidas preventivas fallan, las organizaciones deben seguir los siguientes pasos inmediatamente después de identificar una infección de ransomware.

1. Aislar los sistemas afectados

El aislamiento debe considerarse la máxima prioridad. La gran mayoría del ransomware escaneará la red de destino, cifrará los archivos almacenados en recursos compartidos de la red e intentará propagarse lateralmente a otros sistemas. Para contener la infección y evitar que el ransomware se propague, los sistemas infectados deben eliminarse de la red lo antes posible.

2. Copias de seguridad seguras

Si bien las copias de seguridad juegan un papel crucial en la reparación, es importante recordar que no son inmunes al ransomware. Para frustrar los esfuerzos de recuperación, muchas variedades modernas de ransomware se dirigirán específicamente a las copias de seguridad de una empresa e intentarán cifrarlas, anularlas o eliminarlas.

En el caso de un incidente de ransomware, las organizaciones deben proteger sus copias de seguridad desconectando el almacenamiento de copias de seguridad de la red o bloqueando el acceso a los sistemas de copia de seguridad hasta que se resuelva la infección.

Consulte esta guía para obtener más información sobre cómo crear y mantener copias de seguridad a prueba de ransomware.

3. Deshabilitar las tareas de mantenimiento

Las organizaciones deben deshabilitar inmediatamente las tareas de mantenimiento automatizadas, como la eliminación de archivos temporales y la rotación de registros en los sistemas afectados, ya que estas tareas pueden interferir con archivos que pueden ser útiles para los investigadores y los equipos forenses.

Por ejemplo, los registros de archivos pueden contener pistas valiosas sobre el punto inicial de infección, mientras que algunas variantes de ransomware mal programadas pueden almacenar información importante (como claves de cifrado) dentro de archivos temporales.

4. Cree copias de seguridad de los sistemas infectados.

Las organizaciones deben crear copias de seguridad o imágenes de los sistemas infectados después de aislarlos de la red. Hay dos razones principales para hacerlo:

Evite la pérdida de datos

Algunos descifradores de ransomware contienen errores que pueden dañar los datos. Por ejemplo, se sabía que el descifrador de una prolífica familia de ransomware conocida como Ryuk truncaba archivos, cortando efectivamente un byte de cada archivo durante el proceso de descifrado. Si bien esto no causó problemas importantes para algunos formatos de archivo, otros tipos de archivos, como formatos de archivos de disco duro virtual como VHD / VHDX, así como muchos archivos de bases de datos de Oracle y MySQL, almacenan información importante en el último byte y estaban en riesgo de ser dañado después del descifrado.

Tener una copia de seguridad de los sistemas infectados garantiza la integridad de los datos. Si algo sale mal durante el proceso de descifrado, las víctimas pueden revertir sus sistemas e intentar repetir el descifrado, o ponerse en contacto con un especialista en recuperación de ransomware para obtener una solución de descifrado fiable y personalizada.

El descifrado gratuito puede ser posible en el futuro

Si los datos cifrados no son fundamentales para las operaciones de una organización y no es necesario recuperarlos con urgencia, se debe realizar una copia de seguridad y almacenarlos de forma segura, ya que existe la posibilidad de que se puedan descifrar en el futuro.

Ha habido casos de agencias de aplicación de la ley que detuvieron a los autores de ransomware y se encontraron servidores C&C, lo que resultó en la liberación de claves de descifrado y permitió a las víctimas recuperar sus datos de forma gratuita. Además, varios grupos de ransomware, incluidos Shade, TeslaCrypt y CrySis, entre otros, han liberado voluntariamente claves de descifrado después de cerrar sus operaciones.

5. Poner en cuarentena el malware

Las víctimas nunca deben eliminar, borrar, reformatear o volver a crear una imagen de los sistemas infectados, a menos que se lo indique específicamente un especialista en recuperación de ransomware. En cambio, el malware debe ponerse en cuarentena, lo que permite a los investigadores analizar la infección e identificar la cepa exacta de ransomware responsable de cifrar los archivos. Eliminar toda la infección hace que sea extremadamente difícil para los equipos de recuperación encontrar la muestra de ransomware específica involucrada en el ataque.

Si el malware aún se está ejecutando, se deben realizar volcados de memoria antes de la cuarentena para crear un registro completo de cualquier proceso malicioso que se esté ejecutando. El volcado de memoria puede contener el material clave que se utilizó para cifrar los archivos, que potencialmente se puede extraer y utilizar para ayudar a las víctimas a descifrar archivos sin pagar el rescate.

6. Identificar e investigar al paciente cero

Identificar al paciente cero (es decir, la fuente de la infección) es crucial para comprender cómo los atacantes obtuvieron acceso al sistema, qué otras acciones tomaron mientras estaban en la red y el alcance de la infección. Detectar la fuente de la infección es útil no solo para resolver el incidente actual, sino que también puede ayudar a las organizaciones a abordar las vulnerabilidades y reducir el riesgo de compromiso futuro.

Identificar el punto original de compromiso puede ser un desafío porque, en muchos casos, los actores de la amenaza habrán estado en el sistema durante semanas o incluso meses antes de implementar la carga útil del ransomware. Las empresas que carecen de los recursos o la experiencia para realizar un análisis forense digital completo deberían considerar contratar los servicios de una empresa forense profesional.

7. Identifique la cepa de ransomware

Las organizaciones pueden utilizar servicios gratuitos como la herramienta de identificación de ransomware en línea de Emsisoft o ID Ransomware para determinar qué cepa de ransomware les ha afectado.

Estas herramientas permiten a los usuarios cargar una nota de rescate, un archivo cifrado de muestra y la información de contacto del atacante, y analizar los datos para identificar qué cepa de ransomware ha afectado los archivos del usuario. También dirige al usuario a una herramienta de descifrado gratuita si hay una disponible.

8. Decide si pagarás el rescate.

Si las copias de seguridad están dañadas y no hay una herramienta de descifrado gratuita disponible, las organizaciones pueden verse tentadas a pagar el rescate para recuperar sus archivos.

Si bien pagar el rescate puede ayudar a reducir las interrupciones y puede ser más económico que el costo total del tiempo de inactividad, no es una decisión que deba tomarse a la ligera. Las organizaciones solo deben considerar pagar el rescate si todas las demás opciones se han agotado y la pérdida de datos probablemente resultará en la quiebra de la empresa.

Se deben considerar los siguientes factores:

• Existe una probabilidad de 1 en 20 de que los autores de ransomware tomen el dinero pero no proporcionen un descifrador. En términos generales, es más probable que las bandas de ransomware más grandes y "profesionales" proporcionen un descifrador funcional que las variantes que normalmente se venden y administran personas, como Dharma y Phobos. Independientemente de quién esté detrás del ataque, las víctimas tienen que depender de los delincuentes para que les proporcionen un desencriptador sin garantía de que cumplirán su parte del trato.

• Es posible que el descifrador proporcionado por el atacante no funcione correctamente.

• Los pagos de rescate se pueden utilizar para financiar actividades delictivas graves, incluida la trata de personas y el terrorismo.

• El pago del rescate confirma el modelo comercial de ransomware y perpetúa más ataques.

Cómo NO responder a un ataque de ransomware

El manejo incorrecto de un incidente de ransomware puede dificultar los esfuerzos de recuperación, poner en peligro los datos y hacer que las víctimas paguen rescates innecesariamente. Tras un ataque de ransomware, las organizaciones deben evitar los siguientes errores:

1. NO reinicie los dispositivos afectados

Las organizaciones deben evitar reiniciar los dispositivos que se han visto afectados por ransomware. Muchas cepas de ransomware detectarán intentos de reinicio y penalizarán a las víctimas corrompiendo la instalación de Windows del dispositivo para que el sistema nunca se reinicie, mientras que otras pueden comenzar a eliminar archivos cifrados al azar. El infame ransomware Jigsaw, que fue prolífico en 2016, eliminó al azar 1,000 archivos cifrados cada vez que se reiniciaba un dispositivo infectado.

Reiniciar el sistema también puede obstaculizar los esfuerzos forenses. El reinicio borra la memoria de la máquina que, como se señaló anteriormente, puede contener pistas que pueden ser útiles para los investigadores. En cambio, los sistemas afectados deben ponerse en hibernación, lo que escribe todos los datos en la memoria en un archivo de referencia en el disco duro del dispositivo, que luego se puede utilizar para análisis futuros.

2. NO conecte dispositivos de almacenamiento externos a sistemas infectados

Muchas familias de ransomware apuntan intencionalmente a dispositivos de almacenamiento y sistemas de respaldo. Como tal, los dispositivos de almacenamiento externo y los sistemas de respaldo no deben conectarse (físicamente o mediante acceso a la red) a los sistemas infectados hasta que las organizaciones estén completamente seguras de que la infección se ha eliminado.

No siempre es obvio que se esté ejecutando un ransomware. Lamentablemente, ha habido muchos casos de empresas que han comenzado el proceso de recuperación sin darse cuenta de que el ransomware todavía está presente en su sistema, lo que ha provocado que el ransomware encripte sus sistemas de copia de seguridad y dispositivos de almacenamiento.

3. NO pague el rescate de inmediato

Si bien la perspectiva de un tiempo de inactividad y una posible pérdida de reputación puede ser abrumadora, las organizaciones no deben pagar el rescate de inmediato. Siempre hay otras opciones, y estas deben explorarse en su totalidad antes de recurrir a pagar el rescate.

4. NO se comunique en la red afectada

Durante la recuperación, las víctimas deben asumir que los atacantes aún tienen acceso a la red comprometida y, por lo tanto, pueden interceptar cualquier comunicación que se envíe y reciba a través de la red. Las organizaciones deben establecer canales de comunicación fuera de banda seguros y prohibir que los usuarios se comuniquen en la red comprometida hasta que se complete la reparación y la red esté libre de intrusos.

5. NO elimine archivos

Los archivos no deben eliminarse de los sistemas cifrados a menos que un especialista en recuperación de ransomware lo haya recomendado. Los archivos cifrados no solo son útiles para la medicina forense, sino que algunas familias de ransomware almacenan claves de cifrado dentro de los archivos cifrados; si los archivos se eliminan, el descifrador no funcionará.

Del mismo modo, las notas de rescate nunca deben eliminarse. Algunas familias de ransomware, como DoppelPaymer y BitPaymer, crean una nota de rescate por cada archivo que cifran, que contiene la clave codificada y cifrada necesaria para el descifrado. Si se elimina una nota de rescate, su archivo correspondiente no se puede descifrar.

6. NO confíe en los autores de ransomware

A pesar de tratar cada vez más de adoptar una fachada de profesionalismo, los autores de ransomware son delincuentes que no están obligados a respetar ningún acuerdo ni cumplir ningún código de ética. Las organizaciones no deben creer en la información proporcionada por los grupos de ransomware, incluida la información en la nota de rescate (como la cepa del ransomware) ni confiar en que el pago del rescate conducirá a la recuperación de datos cifrados.

Los servicios de confianza como la herramienta de identificación de ransomware en línea de Emsisoft y ID Ransomware siempre deben usarse para identificar cepas. Las víctimas deben tener en cuenta que es posible que los atacantes no proporcionen un descifrador después del pago y que las herramientas de descifrado proporcionadas por el atacante pueden ser defectuosas y / o dañar potencialmente los datos cifrados.

Cómo reducir el riesgo de una infección de ransomware

Adoptar un enfoque proactivo de la seguridad puede ayudar a reducir el riesgo de un incidente de ransomware. Las empresas de todos los tamaños deben implementar, hacer cumplir y probar periódicamente las siguientes medidas preventivas:

• Higiene de credenciales: Practicar una buena higiene de credenciales puede ayudar a prevenir ataques de fuerza bruta, mitigar los efectos del robo de credenciales y reducir el riesgo de acceso no autorizado a la red.

• Principio de privilegio mínimo: todas las organizaciones deben adherirse al principio de privilegio mínimo, un concepto de seguridad en el que los usuarios, programas y procesos reciben solo los privilegios mínimos necesarios para realizar sus tareas.

• Capacitación de los empleados: debido a que el ransomware se propaga con frecuencia a través de acciones iniciadas por el usuario, las empresas deben brindar capacitación periódica sobre ciberseguridad con énfasis en phishing, archivos adjuntos de correo electrónico maliciosos y otras tácticas de ingeniería social.

• Autenticación de múltiples factores (MFA): MFA debe ser obligatorio siempre que sea posible para reducir el riesgo de acceso no autorizado.

• Revisión de Active Directory: las organizaciones deben revisar periódicamente Active Directory (AD) para localizar y cerrar puertas traseras existentes, como cuentas de servicio comprometidas, que a menudo tienen privilegios administrativos y son un objetivo popular para los atacantes que desean obtener credenciales.

• Segregación de la red: la segregación efectiva de la red es crucial para contener los incidentes y minimizar las interrupciones en el negocio en general.

• Acceso remoto seguro: dado que RDP es un vector de ataque extremadamente popular, las organizaciones deben tomar medidas para proteger el acceso remoto (o deshabilitarlo si no es necesario). El acceso remoto solo debe estar disponible a través de ciertas redes o VPN habilitada para MFA, y limitado solo a los usuarios que lo requieran para su trabajo.

• Evite BYOD: implementar y hacer cumplir estrictamente los protocolos de seguridad en los dispositivos personales de los empleados es un gran desafío. Idealmente, las empresas deberían proporcionar dispositivos y hardware dedicados y disuadir a los empleados de usar dispositivos personales para tareas relacionadas con el trabajo.

• PowerShell: PowerShell es una de las herramientas más comunes utilizadas por las bandas de ransomware para moverse lateralmente dentro de una red de destino y debe desinstalarse si es posible. Si se requiere PowerShell, se debe monitorear muy de cerca a través de sistemas de respuesta y detección de endpoints. Los administradores deben conocer todos los scripts de PowerShell que se ejecutan en sus puntos finales.

• Seguro de ciberseguridad: las organizaciones deben considerar un seguro de ciberseguridad para ayudar a mitigar el impacto de un incidente de ransomware. El seguro de ciberseguridad puede ser particularmente beneficioso para los MSP, que a menudo son responsables de proteger los datos de otras empresas. Algunas compañías de seguros cibernéticos se inclinan por pagar rescates fácilmente, mientras que otras prefieren explorar otras opciones de reparación, por lo que las compañías deben hablar con posibles aseguradoras y discutir las políticas antes de comprometerse con un proveedor de seguros.

Los procedimientos de respuesta a incidentes deben probarse periódicamente para garantizar que los empleados estén familiarizados con los procesos de seguridad y comprendan exactamente qué hacer en caso de infección. Las pruebas también ayudan a las empresas a identificar y rectificar fallas en la cadena de respuesta. El peor momento para que una empresa intente averiguar qué hacer en un ataque de ransomware es durante un ataque de ransomware real. Consulte esta alerta del FBI para obtener más información sobre la detección y reparación de actividades maliciosas.

Conclusión

Un enfoque proactivo para la prevención del ransomware puede ayudar a las empresas a reducir significativamente el riesgo de infección. En caso de un incidente, las organizaciones deben contar con procedimientos de respuesta efectivos para contener el incidente, evitar la pérdida de datos e iniciar de forma segura el proceso de recuperación.

Las prácticas descritas en este artículo pueden ayudar a las empresas de todos los tamaños a mitigar el impacto de un ataque de ransomware. Sin embargo, tenga en cuenta que estos procedimientos deben considerarse consejos generales y no exhaustivos. Los requisitos de seguridad pueden variar significativamente y los sistemas de seguridad siempre deben adaptarse de acuerdo con la industria, los requisitos reglamentarios y las necesidades de seguridad únicas de la empresa.