Un ataque de ransomware es una de las mayores amenazas a las que se enfrentan los usuarios online. En este artículo, exploramos lo que sucede durante un ataque de ransomware y los pasos que debe seguir para asegurar su organización tras el mismo.
Cómo hacer frente a un ataque de ransomware
Los ataques de ransomware son una gran amenaza para las organizaciones, porque el 90% afecta a su capacidad de funcionamiento y, de media, se tarda un mes en recuperarse del ataque. Son altamente disruptivos para las empresas, y es un vector de amenaza en aumento. Para 2031 se espera que las empresas sean víctimas de un ataque de ransomware cada dos segundos (frente a cada 11 segundos en 2021).
¿Qué es un ataque de ransomware?
El ransomware es un tipo de malware que cifra los datos de una organización para que ya no se pueda acceder a ellos. Se pide un rescate (la media es de 570.000 dólares) y tras el pago, se deben emitir las claves de descifrado para que la organización recupere el acceso.
Aunque ningún sector está a salvo de los efectos del ransomware, se suele elegir como objetivo una organización en función de dos factores:
Oportunidad: por ejemplo, si la empresa tiene un equipo de seguridad pequeño, carece de recursos informáticos o es una organización con muchos datos.
Potencial beneficio económico: las empresas que requieren acceso inmediato a sus archivos y son más propensas a pagar un rescate rápidamente, como abogados o agencias gubernamentales.
Los ciberdelincuentes pueden acceder a los datos de una organización mediante diversas tácticas, entre ellas:
Phishing: utilizando técnicas de ingeniería social para engañar a los usuarios para que hagan algo, como hacer clic en un enlace malicioso de un correo electrónico.
Acceso remoto: escaneando Internet en busca de puertos abiertos, como el protocolo de escritorio remoto, y capturando credenciales válidas para autenticarse mediante la solución de acceso remoto.
Privacidad: utilizando técnicas de ingeniería social para engañar a los usuarios.
Compromiso de cuentas privilegiadas: aprovechando las cuentas de administrador para acceder a más sistemas y datos sensibles.
Vulnerabilidades conocidas de software o aplicaciones: aprovechando vulnerabilidades conocidas para las que había parches disponibles para solucionar el problema pero que no se aplicaron.
Antes de cifrar los datos, un malhechor puede optar por hacer copias y amenazar con filtrarlas si no se paga el rescate a tiempo. Esto se conoce como "doble extorsión". Una vez que comienza el cifrado, se trata de un proceso rápido (la variante mediana de ransomware puede cifrar casi 100.000 archivos con un total de 54,93 GB en sólo 42 minutos y 52 segundos) por lo que la rapidez es fundamental a la hora de actuar tras un ataque.
Cómo actuar tras un ataque
Qué hacer ante un ataque de ransomware
Tan pronto como sepas que has sido víctima de un ataque de ransomware, generalmente porque una gran notificación parpadeará en la pantalla, es esencial aislar el dispositivo infectado. Retira los cables de red y de datos, los USB y los dongles, y desactiva el WiFi y el Bluetooth para impedir que el dispositivo establezca cualquier conexión que pueda provocar la propagación de la amenaza.
En estos primeros momentos, el ransomware se ha convertido en una amenaza.
Es probable que se dispare la adrenalina, junto con sentimientos de conmoción, ira y miedo. Es importante no dejarse llevar por el pánico y mantener la calma mientras se evalúa la situación. Una forma de conseguirlo es mediante simulacros de ransomware en los que la empresa practique cómo reaccionaría tras un ataque, de modo que los individuos se familiaricen con los pasos para contener la brecha de forma calmada y oportuna:
Notificar a la empresa que se ha producido una brecha de seguridad
Notificar a la empresa/contactos
Es importante que todas las comunicaciones sean orquestadas por un punto central dentro de la organización para evitar cualquier desinformación o confusión. Esto debe incluir una directiva para no hablar con nadie en los medios de comunicación ni publicar nada en las redes sociales. Los anuncios de relaciones públicas deben prepararse cuidadosamente para evitar inquietar a los accionistas, las partes interesadas y el mercado en general.
Una vez que se conoce un ataque, todo el mundo en la empresa debe ser alertado de la amenaza. Si alguien sospecha que su dispositivo está infectado, debe tomar medidas para aislarlo de la red inmediatamente. Las buenas prácticas también dicen que los usuarios deben restablecer todas sus credenciales (especialmente las de las cuentas privilegiadas) para evitar que el malhechor recoja datos valiosos que podrían ser utilizados para lanzar nuevos ataques.
Identificar la amenaza
Identifica el tipo de ransomware
Utilizando la herramienta de escaneo de malware en el dispositivo, o a través del Centro de Operaciones de Seguridad de la organización, ejecute un escaneo de malware para ayudar a identificar qué ransomware se utilizó, ya que esto ayudará a determinar las acciones que se deben tomar.
Además, tome notas sobre el ataque, incluyendo la fecha, la hora, los detalles del archivo, los primeros signos de ransomware, los dispositivos afectados, lo que estaba haciendo inmediatamente antes del ataque y cuándo se conectó su dispositivo. También, haz fotos y registra los programas, archivos y ventanas emergentes sospechosos.
Toda esta información luego se alimenta en la herramienta de identificación de ransomware para ayudar a determinar con qué fue atacado el negocio, y las acciones que necesitan tomar.
Pagar el rescate
Los profesionales de la ciberseguridad y las agencias federales están de acuerdo: no pague el rescate.
Las investigaciones indican que sólo 3 de cada 5 organizaciones recuperaron el acceso a los datos/sistemas, por lo que no hay garantías de que consiga acceder a sus datos o a su ordenador. Además, incluso si recuperas tus datos, no hay garantía de que estén seguros, el 18% de las víctimas de ransomware que pagaron la demanda todavía tenían sus datos sensibles expuestos en la dark web.
Elimina el ransomware de tus dispositivos
Desgraciadamente, eliminar el ransomware de los dispositivos no es tan sencillo como hacer clic en "eliminar". En muchos casos, requiere un restablecimiento completo de fábrica, que es irreversible y corre el riesgo de pérdida de datos. Por lo tanto, siempre es mejor buscar el apoyo de un profesional que pueda utilizar las herramientas de descifrado adecuadas y restaurar de forma segura la normalidad.
Recuperar datos de copias de seguridad
Mantener una copia de seguridad actualizada es la forma más eficaz de recuperarse de un ataque de ransomware. Una práctica recomendada es seguir la "regla 3-2-1": 3 copias de los datos, almacenadas en 2 ubicaciones diferentes, de las cuales 1 está desconectada.
Cuando llegue el momento de restaurar los datos, analícelos primero en busca de malware y asegúrese de que las copias de seguridad sólo se conectan a dispositivos limpios conocidos para evitar que se vuelvan a infectar.
Informe del ataque
Una vez que su empresa vuelva a estar en línea, debe informar del ataque de ransomware a las autoridades pertinentes, por ejemplo, la CISA en Estados Unidos o la NCSC en el Reino Unido. Esta inteligencia es muy valiosa para ayudar a las agencias a rastrear cómo se están desarrollando los ataques de ransomware para detener a los ciberdelincuentes, ayudar con y evitar que se extienda aún más.
Protégete
Protégete de futuros ataques de ransomware
El comportamiento del usuario final puede ser uno de los mejores elementos disuasorios a la hora de hacer frente a la amenaza del ransomware. Proporcione formación sobre los aspectos básicos y refuerce continuamente su importancia para asegurarse de que se siguen estos comportamientos.
Los comportamientos de los usuarios finales pueden ser uno de los mejores elementos de disuasión ante la amenaza del ransomware.
- Actualizar el dispositivo y activar las actualizaciones automáticas.
- Activar la autenticación multifactor.
- Realizando copias de seguridad periódicas.
- Controlar quién puede acceder a qué en sus dispositivos.
- Activar la protección contra ransomware.
Contacte con Ontrack para la recuperación de ransomware
Cada ataque de ransomware es único y varía en complejidad, pero la recuperación de datos es posible. En Ontrack, hemos desarrollado una colección especializada de herramientas propietarias para recuperar datos, actualmente tenemos capacidades de descifrado en 138 tipos de ransomware y rastreamos continuamente 271 variantes diferentes.
En Ontrack, hemos desarrollado una colección especializada de herramientas propietarias para recuperar datos.
Con laboratorios repartidos por todo el mundo, nuestros especialistas están disponibles las 24 horas del día, los 7 días de la semana, para ofrecer ayuda y soporte en el peor de los casos.
Lea el artículo sobre la recuperación de datos
Lea nuestra guía definitiva sobre ransomware
Lea por qué más de 600k personas y empresas han confiado en Ontrack para recuperar sus datos