El Proceso de Recuperación de Ransomware tarda más de lo que cree
Los plazos de recuperación de ransomware varían enormemente. En las mejores circunstancias, donde la infección está contenida, los planes de recuperación ante desastres se han probado religiosamente y el descifrador se ejecuta sin problemas, algunas empresas pueden poner sus sistemas en funcionamiento en un par de días.
Pero eso es raro. En promedio, las organizaciones que se han visto afectadas por el ransomware se enfrentan a 21 días de inactividad1. En algunos casos, el proceso de recuperación puede prolongarse durante meses.
Las empresas subestiman habitualmente el tiempo necesario para resolver un incidente de ransomware. Si bien es fácil caer en la trampa de pensar que la recuperación simplemente implica restaurar el sistema a partir de copias de seguridad o, menos deseablemente, pagar al atacante por el descifrado, la verdad es que hay muchas variables que pueden prolongar el proceso de recuperación.
En esta publicación de blog, discutimos por qué casi siempre las empresas tardan más de lo esperado en recuperarse de un ataque de ransomware.
1. Falta de documentación
La falta de documentación suele ser una de las principales causas de pérdida de tiempo durante la recuperación. Muchas organizaciones trabajan con sistemas o servicios anticuados cuya documentación está desactualizada, es inexacta o simplemente no existe.
Sin una documentación eficaz, el personal de TI se ve obligado a improvisar los procedimientos de respuesta durante lo que seguramente será un momento confuso e incierto, que casi con certeza resultará en errores e ineficiencias. Las infecciones pueden estar contenidas de manera incorrecta, los datos pueden verse comprometidos innecesariamente y los requisitos de cumplimiento pueden pasarse por alto. Dependiendo de la madurez del equipo de TI de la empresa, esta puede ser la primera vez que el personal ha estado expuesto a un incidente de ciberseguridad a gran escala.
2. Pruebas inadecuadas
Desarrollar un plan de respuesta a incidentes claramente definido es una parte esencial de cualquier plan de recuperación de ransomware. Pero no basta con tener un plan documentado. Las estrategias de recuperación también deben probarse con regularidad para garantizar que el personal comprenda los procedimientos de seguridad actuales y sepa exactamente qué hacer y a quién informar en caso de un incidente.
Por ejemplo, simular un evento de ransomware a través de ejercicios de mesa puede ser una forma valiosa de medir la preparación de ransomware de una empresa y revelar agujeros en el plan de recuperación que pueden fortalecerse en consecuencia. Más de la mitad (57 por ciento) de las empresas no han probado su plan de recuperación ante desastres en los últimos dos meses, según un informe de Veritas.
3. Proceso de investigación forense
Antes de que se puedan restaurar los sistemas, la empresa afectada debe realizar una investigación exhaustiva para comprender el alcance del ataque y cómo se vio comprometido el sistema.
Debido a que la cadena de ataque puede haber comenzado hace semanas o incluso meses, realizar un análisis exhaustivo puede llevar mucho tiempo y puede requerir la ayuda de especialistas forenses digitales externos, lo que puede prolongar aún más el proceso de recuperación.
4. Rendimiento deficiente del descifrador
La recuperación también puede verse obstaculizada por un rendimiento deficiente del descifrador. Las empresas deben tener en cuenta que los descifradores proporcionados por los atacantes a menudo no funcionan como se anuncia y, en consecuencia, el tiempo de recuperación total puede ser sustancialmente más largo de lo esperado. En algunos casos, el descifrador puede contener errores que corrompen los datos de forma irrecuperable durante el proceso de descifrado.
Las organizaciones que decidan pagar por un descifrador deberían considerar utilizar el servicio de recuperación de ransomware de Emsisoft. Podemos aplicar ingeniería inversa a los descifradores proporcionados por atacantes para garantizar que sean seguros y / o crear un descifrador personalizado que proporcione una recuperación de datos más rápida y segura.
5. Comunicación
Si bien la recuperación es en gran medida una tarea técnica, también requiere mucha comunicación con el personal interno y con los proveedores de servicios externos que pueden contratarse para ayudar con el incidente:
Legal: Es probable que las empresas deban consultar a su equipo legal para obtener asesoramiento sobre las obligaciones de informar, mitigar los litigios y la legalidad del pago del rescate.
Seguros: habrá un diálogo continuo con el proveedor de seguros de la empresa durante todo el período de recuperación. La cobertura, el tiempo de inactividad esperado, los costos de recuperación, los deducibles y más se discutirán en detalle.
Clientes: Es posible que la empresa afectada desee revelar el incidente a los clientes. La comunicación eficaz es esencial tanto para la transparencia como para minimizar el daño a la reputación. Se debe utilizar un especialista en comunicaciones de crisis si el equipo de comunicaciones internas de la empresa no tiene experiencia en eventos graves de ciberseguridad.
Atacantes: Dependiendo de sus circunstancias, algunas empresas pueden optar por comunicarse con los atacantes para obtener un descifrador y / o negociar la cantidad de ransomware. Hay organizaciones que pueden realizar negociaciones en nombre de la víctima.
6. Reconstrucción y fortalecimiento del sistema
Desde el punto de vista técnico, la recuperación se completa una vez que se han restaurado los sistemas afectados y la organización está en funcionamiento.
Sin embargo, "operativo" no es lo mismo que "seguro". Para evitar que eventos similares vuelvan a ocurrir en el futuro, las empresas deberán invertir un tiempo significativo en fortalecer sus procesos de seguridad, resolver vulnerabilidades y mejorar los procedimientos de respuesta, basándose en los hallazgos del análisis forense.
Invertir en una solución antivirus probada como Emsisoft Business Security puede ayudar a las organizaciones a detectar y detener de manera confiable las amenazas de ransomware antes de que se pueda realizar el cifrado.
