• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

¿Atacado por ransomware? Cinco pasos para la recuperación

Muchos han señalado que el ransomware es el riesgo de ciberseguridad más amenazante para las organizaciones, y es fácil ver por qué: en 2019, más del 50 por ciento de todas las empresas fueron afectadas por un ataque de ransomware , con un costo estimado de $ 11.5 mil millones. Solo en el último mes, las principales corporaciones de consumidores, incluidas Canon, Garmin, Konica Minolta y Carnival, han sido víctimas de importantes ataques de ransomware, que han resultado en el pago de millones de dólares a cambio de acceso a archivos.

Si bien hay mucha discusión sobre cómo evitar que el ransomware afecte a su empresa, las mejores prácticas para recuperarse de un ataque son un poco más difíciles de precisar.

Si bien las cantidades monetarias pueden ser menores para su organización, la importancia de recuperar el acceso a la información es igualmente alta. ¿Qué pasos debe seguir para una recuperación eficaz del ransomware? A continuación se muestran algunos de nuestros mejores consejos.

1. Detección de infecciones

Podría decirse que el paso más desafiante para recuperarse de un ataque de ransomware es la conciencia inicial de que algo anda mal. También es uno de los más cruciales. Cuanto antes pueda detectar el ataque de ransomware, menos datos se verán afectados. Esto afecta directamente la cantidad de tiempo que llevará recuperar su entorno.

El ransomware está diseñado para ser muy difícil de detectar. Cuando vea la nota de rescate, es posible que ya haya causado daños en todo el entorno. Tener una solución de ciberseguridad que pueda identificar un comportamiento inusual, como el intercambio anormal de archivos, puede ayudar a aislar rápidamente una infección de ransomware y detenerla antes de que se propague más.

La detección de comportamiento anormal de archivos es uno de los medios más efectivos para detectar un ataque de ransomware y presenta la menor cantidad de falsos positivos en comparación con la detección basada en firmas o basada en tráfico de red.

Un método adicional para detectar un ataque de ransomware es utilizar un enfoque “basado en firmas”. El problema con este método es que requiere que se conozca el ransomware. Si el código está disponible, se puede entrenar al software para que busque ese código. Sin embargo, esto no se recomienda porque los ataques sofisticados utilizan formas nuevas de ransomware previamente desconocidas. Por lo tanto, se recomienda un enfoque basado en AI / ML , que buscará comportamientos como el cifrado rápido y sucesivo de archivos y determinará que se está produciendo un ataque.

La ciberseguridad eficaz también incluye buenos mecanismos defensivos que protegen los sistemas críticos para el negocio como el correo electrónico. A menudo, el ransomware afecta a las organizaciones mediante un ataque de phishing por correo electrónico o un correo electrónico que tiene un archivo peligroso adjunto o con hipervínculos.

Si las organizaciones no están equipadas para manejar correos electrónicos peligrosos, esta puede ser una forma fácil de que el ransomware se abra paso dentro de las paredes del entorno local de su organización o dentro del entorno SaaS en la nube. Con los entornos de nube SaaS en particular, controlar las aplicaciones de terceros que tienen acceso a su entorno de nube es extremadamente importante.

2. Contener el daño

Una vez que haya detectado una infección activa, el proceso de ransomware se puede aislar y evitar que se propague más. Si se trata de un entorno de nube, estos ataques a menudo provienen de una sincronización de archivos remota u otro proceso impulsado por una aplicación de terceros o un complemento del navegador que ejecuta el proceso de cifrado de ransomware. Profundizar y aislar la fuente del ataque de ransomware puede contener la infección para mitigar el daño a los datos. Para ser eficaz, este proceso debe estar automatizado.

Muchos ataques ocurren fuera del horario laboral cuando los administradores no controlan el medio ambiente y la reacción debe ser rápida para detener la propagación del virus. Las reglas y los scripts de la política de seguridad deben implementarse como parte de la protección proactiva. Por lo tanto, cuando se identifica una infección, la automatización se activa para detener el ataque eliminando el archivo ejecutable o la extensión y aislando los archivos infectados del resto del entorno.

Otra forma en que las organizaciones pueden ayudar a protegerse y contener el daño en caso de que ocurra un ataque es comprando un seguro de responsabilidad cibernética. El seguro de responsabilidad cibernética es una línea de seguros especializada destinada a proteger a las empresas (y a las personas que brindan servicios de esas empresas) de los riesgos basados ​​en Internet (como ataques de ransomware) y los riesgos relacionados con la infraestructura de tecnología de la información, la privacidad de la información, la responsabilidad del gobierno de la información y otros relacionados. ocupaciones. En este tipo de situación de ataque, el seguro de responsabilidad cibernética puede ayudar a aliviar parte de la carga financiera de restaurar sus datos.

3. Restaurar los datos afectados

En la mayoría de los casos, incluso si el ataque de ransomware se detecta y contiene rápidamente, todavía habrá un subconjunto de datos que deben restaurarse. Esto requiere tener buenas copias de seguridad de sus datos para volver a la producción. Siguiendo las mejores prácticas de respaldo 3-2-1 , es imperativo tener sus datos de respaldo en un entorno separado del de producción.

La regla de respaldo 3-2-1 consta de las siguientes pautas:

  • Guarde 3 copias de cualquier archivo importante, una principal y dos copias de seguridad
  • Mantenga el archivo en 2 tipos de medios diferentes
  • Mantenga 1 copia fuera del sitio

Si sus copias de seguridad son de entornos SaaS en la nube, almacenar estas “fuera del sitio” mediante un proveedor de copias de seguridad de nube a nube se alinea con esta mejor práctica. Esto minimizará significativamente la posibilidad de que sus datos de respaldo se vean afectados junto con sus datos de producción.

La forma probada y verdadera de recuperarse de un ataque de ransomware implica tener buenas copias de seguridad de los datos críticos de su negocio. La importancia de las copias de seguridad no se puede enfatizar lo suficiente cuando se trata de ransomware. Recuperarse de la copia de seguridad le permite tener el control de recuperar los datos de su empresa y no el atacante.

Con demasiada frecuencia, las empresas pueden asumir incorrectamente que el proveedor de servicios en la nube ha “protegido mágicamente” sus datos. Si bien existen algunos mecanismos desde el lado del proveedor de servicios en la nube, en última instancia, los datos son su responsabilidad como parte del modelo de responsabilidad compartida de la mayoría de los CSP. Puede echar un vistazo a la postura de Microsoft sobre la responsabilidad compartida aquí.

4. Notificar a las autoridades

Muchas de las principales regulaciones de cumplimiento bajo las que se rigen la mayoría de las organizaciones en la actualidad, como PCI-DSS, HIPAA, GDPR y otras, requieren que las organizaciones notifiquen a las agencias reguladoras sobre la infracción. La notificación de la infracción debe ser inmediata y el Centro de Quejas de Delitos en Internet del FBI debe ser la primera organización en alerta. A continuación, se debe informar a la policía local. Si su organización pertenece a una industria gobernada, puede haber pautas estrictas sobre a quién informar y cuándo.

5. Pruebe su acceso

Una vez que se hayan restaurado los datos, pruebe el acceso a los datos y a cualquier sistema crítico para el negocio afectado para garantizar que la recuperación de los datos y los servicios se haya realizado correctamente. Esto permitirá solucionar cualquier problema restante antes de devolver todo el sistema a producción.

Si experimenta tiempos de respuesta más lentos de lo habitual en el entorno de TI o tamaños de archivo mayores de lo normal, puede ser una señal de que algo siniestro todavía se avecina en la base de datos o el almacenamiento.

Prevención de ransomware frente a recuperación

A veces, la mejor ofensiva es una buena defensa. Cuando se trata de ransomware y recuperar el acceso a archivos críticos, solo hay dos opciones. O restaura sus datos desde la copia de seguridad si tenía la visión de futuro para tener un sistema de este tipo en su lugar, o tiene que pagar el rescate. Más allá de las obvias implicaciones financieras de aceptar las demandas del pirata informático, pagar es arriesgado porque no hay forma de garantizar que realmente brinden acceso a sus archivos después de que se transfiera el dinero.

No existe un código de conducta o contrato al negociar con un criminal. Un informe reciente encontró que alrededor del 42 por ciento de las organizaciones que pagaron un rescate no lograron descifrar sus archivos.

Dado el creciente número de ataques de ransomware dirigidos a empresas, las consecuencias de no contar con un sistema de detección y respaldo seguro podrían ser catastróficas para su empresa. Invertir en una solución ahora ayuda a garantizar que no realice una gran donación a una organización infame más adelante. Aprender de los errores de otras organizaciones puede ayudar a proteger la suya de un destino similar.