¿Qué hacer ante un ataque de ransomware?

Este tipo de ataques cibernéticos va en aumento.

Los ataques de ransomware se multiplicaron por siete en la última mitad del 2020, y aumentaron su efectividad, afectando a todos los sectores alrededor del mundo, reportó el laboratorio de inteligencia de amenazas de Fortinet, FortiGuard Labs, en su más reciente Informe sobre el Panorama Mundial de Amenazas.

La empresa líder global en soluciones de ciberseguridad detectó un total de 7,000 millones de amenazas en Latinoamérica y el Caribedurante el primer trimestre del 2021 y 41,000 millones de ataques durante el año pasado.

“Las tácticas de los cibercriminales siguen cambiando. Los ataques de ransomware son cada vez más frecuentes, transformándose y evolucionando a lo largo del tiempo. Ya no basta con tener las estrategias defensivas adecuadas, se necesita evaluar continuamente las políticas de seguridad para garantizar que las redes tengan respuestas actualizadas frente a este tipo de ataques”, indicó Julio Uricari, gerente de Ingeniería de Fortinet Puerto Rico.

Un ransomware es un virus que impide a los usuarios acceder a su sistema o archivos personales, y que exige el pago de un rescate a cambio de estos. Uno de los más habituales, actualmente, ataca a través de un spam malicioso por correo electrónico.

Ante el incremento de este tipo de amenazas, Fortinet compartió sus recomendaciones para ayudar a las organizaciones a lidiar con un ataque de ransomware:

  • No entre en pánico y ejecute un plan de respuesta: Si no tiene uno, solicite ayuda a su proveedor de seguridad o busque el asesoramiento de expertos. Muchas organizaciones utilizan servicios de respuesta a incidentes como el equipo de respuestas de FortiGuard. Considere el impacto potencial que puede tener el incidente de seguridad.
  • Aísle sus sistemas y detenga la propagación: Identifique el alcance del ataque. Si el incidente ya se extendió, aplique bloqueos a nivel de red como el aislamiento del tráfico en el conmutador, en el borde del firewall, o considere la posibilidad de interrumpir temporalmente la conexión a Internet. Si está disponible, la tecnología de detección y respuesta para endpoint (EDR, en inglés) puede bloquear el ataque a nivel de proceso. Esta sería la mejor opción inmediata con una interrupción mínima del negocio. La mayoría de los atacantes de ransomware encuentran una vulnerabilidad para entrar en su organización como un RDP expuesto o correos electrónicos de suplantación de identidad.
  • Identifique la variante: Muchas de las tácticas, técnicas y procedimientos (TTP) de cada variante de ransomware están documentadas públicamente. Determinar con qué cepa se está tratando puede dar pistas sobre la ubicación de la amenaza y cómo se está propagando. Dependiendo de la variante, algunas herramientas de descifrado pueden estar disponibles para interpretar los archivos.
  • Identifique el acceso inicial:Determine el punto de acceso inicial o paciente cero para poder cerrar el agujero en su seguridad. Los vectores de acceso inicial más comunes son el phishing, los exploits en sus servicios de borde (como los servicios de Escritorio Remoto) y el uso no autorizado de credenciales. Determinar el punto de acceso inicial es a veces difícil y puede requerir la experiencia de equipos forenses digitales y expertos en IR.
  • Identifique todos los sistemas y cuentas infectadas (alcance): Determine cualquier malware activo o restos persistentes en los sistemas que aún se comunican con el servidor de comando y control (C2). Las técnicas de persistencia más comunes incluyen la creación de nuevos procesos que ejecutan la carga útil maliciosa, el uso de claves de registro de ejecución o la creación de nuevas tareas programadas.
  • Localice sus copias de seguridad y determine su integridad: Un ataque de ransomware intentará borrar sus copias de seguridad en línea y las instantáneas de volumen para disminuir las posibilidades de recuperación de datos. Asegúrese de que su tecnología de copias de seguridad no ha sido afectada por el incidente. Con muchos ataques de ransomware, los atacantes suelen haber estado en su red durante días y hasta semanas, antes de decidirse a cifrar sus archivos. Esto significa que puede tener copias de seguridad que contengan cargas útiles maliciosas que no quiera restaurar en un sistema limpio.
  • Sanear los sistemas o crear nuevas construcciones: Si confía en su capacidad para identificar todo el malware activo y los incidentes de persistencia en sus sistemas, puede ahorrar algo de tiempo al no reconstruir. Sin embargo, puede ser más fácil y seguro crear sistemas nuevos y limpios. Considere crear un entorno limpio separado al que pueda migrar. Asegúrese de que se han instalado los controles de seguridad adecuados y se sigan las mejores prácticas para garantizar que los dispositivos no se vuelvan a infectar.
  • Informe del incidente: Informe el incidente, y determine si es necesario y obligatorio avisar a las autoridades. Su equipo legal puede ayudar a abordar cualquier obligación sobre datos regulados, como PCI, HIPAA, etc. Si el ataque es grave y su empresa se extiende por varias regiones geográficas, es posible que tenga que contactar a la policía.

¿Pagar el rescate?: Las autoridades aconsejan no pagar el rescate debido a que eso no remediaría las vulnerabilidades que los atacantes explotaron. Así que, asegúrese de haber identificado el acceso inicial y parchear las vulnerabilidades. Sin embargo, aún si lo está considerando, contrate a una empresa de seguridad con conocimientos especializados.

  • Realice una revisión posterior al incidente: Revise su respuesta ante los incidentes para comprender qué hizo bien y documentar las oportunidades para mejorar. Esto asegura la mejora continua de sus capacidades de respuesta y recuperación para el futuro. Considere la posibilidad de simular los detalles técnicos y no técnicos del ataque para poder revisar sus opciones.

Cuando se produce un ataque de ransomware es esencial tomar las medidas adecuadas para minimizar el impacto en usted, su equipo y organización. Entrar en pánico puede extenderse por la organización y sólo creará problemas mayores. Los CISO saben que sobrevivir a un ataque de ransomware requiere un plan de respuesta ante incidentes. El reto es poder documentar un plan completo a tiempo y tener los recursos adecuados para implementarlo cuando sea necesario.

Acerca de Fortinet

Fortinet (NASDAQ: FTNT) asegura las empresas, proveedores de servicios y organizaciones gubernamentales más grandes de todo el mundo. Fortinet ofrece a sus clientes protección inteligente e ininterrumpida a través de la superficie de ataque en expansión y la capacidad de asumir requisitos de rendimiento cada vez mayores en las redes de hoy y del futuro. Solo la arquitectura del Fortinet Security Fabric puede ofrecer funciones de seguridad más críticas, ya sea en la red, en las aplicaciones, en la nube o en entornos móviles. Fortinet ocupa el puesto número 1 con la mayor cantidad de dispositivos de seguridad enviados a nivel mundial, más de 510.000 clientes confían en Fortinet para proteger sus negocios. Tanto una empresa de tecnología como una organización de aprendizaje, el Fortinet Network Security Expert (NSE) tiene uno de los programas de formación en seguridad cibernética más grandes y amplios de la industria. Obtenga más información en http://www.fortinet.com, en el blog de Fortinet, o en FortiGuard Labs.  

Artículos recientes

Artículos relacionados

A %d blogueros les gusta esto: