¿Sabía que solo 65 % de los datos se recuperan cuando sucede un ataque de ransomware según el estudio de Sophos sobre el estado del ransomware? Hoy, investigaremos en profundidad algunas de las preguntas más frecuentes sobre la recuperación ante ransomware y cosas que todos deberían saber antes de que llegue un ataque.
¿Qué es la recuperación ante ransomware?
La recuperación de datos ante ransomware es el proceso que se sigue para volver a conectar los sistemas de TI luego de un ataque de ransomware. La recuperación puede ser sencilla, puede copiar muchos de los procesos existentes de recuperación ante desastres con los que cuenta, siempre y cuando sus planes de recuperación ante desastres estén registrados correctamente y probados minuciosamente (de forma reciente).
En el entorno de la protección de datos hay un enfoque en la recuperación, en especial en recuperar VM cifradas desde un backup. Aunque esta sea una parte importante de la recuperación ante el ransomware, también existen otros impactos sobre el resto de su entorno de TI.
El análisis forense se realiza como parte de la respuesta ante incidentes de ciberseguridad para determinar la forma en la que el ransomware accedió al entorno y los sistemas infectados. En este punto, se pueden tomar pasos para erradicar el ransomware, eliminar las vulnerabilidades que permitieron el acceso de los atacantes y restaurar los sistemas afectados.
¿Se puede eliminar el ransomware?
Durante el proceso de respuesta ante incidentes de ciberseguridad, se tomarán pasos para evaluar cómo el ransomware ingresó al entorno y el impacto que tuvo sobre los sistemas más allá de solo el cifrado de datos.
El software de ransomware en sí mismo se puede eliminar de las máquinas cifradas, pero también se deben tomar medidas para determinar cómo ingresaron los atacantes y mitigar esos vectores de ataque. Una vez que ocurre un evento de ransomware, usted podrá garantizar que sus sistemas antimalware contengan las definiciones adecuadas para detectar la variante de ransomware usada para el ataque.
¿Se pueden recuperar los sistemas afectados por ransomware?
La pregunta más urgente para la mayoría de las organizaciones de TI en la actualidad es: ¿Puedo recuperarme del ransomware? La recuperación casi siempre es posible. Desafortunadamente, muchas organizaciones no confían en el proceso de recuperación, por lo que es importante tomar los pasos necesarios para garantizar que su entorno pueda recuperarse del ransomware.
El primer paso para proteger sus datos del ransomware es garantizar que tiene un backup reciente y realizado correctamente. Este backup se vuelve crítico tras el cifrado de las máquinas. Luego del cifrado, necesitará restaurar a un backup anterior.
Según el tiempo que el ransomware haya estado inactivo en su sistema, también es recomendable que escanee el sistema restaurado para asegurarse de no introducir la amenaza en el entorno nuevamente.
¿Cómo es la recuperación después de un ataque de ransomware?
Normalmente, uno de los aspectos más confusos del ransomware es qué sucede luego de que ocurre un ataque. El primer paso es alertar al equipo de seguridad de TI para que comience a ejecutar el proceso de respuesta ante incidentes. Este proceso puede llegar a ser un poco diferente de lo que están acostumbrados la mayoría de los administradores de backup cuando se trata de restaurar datos.
Antes de poder recuperarse del ransomware, hay varias fases del plan de respuesta ante incidentes que deben completarse, como Detección y análisis, Contención y Erradicación y recuperación. El “cómo” de la recuperación ante ransomware dependerá de lo que se determine durante la fase de Detección y análisis, por lo que es importante tener múltiples estrategias de recuperación establecidas y probadas minuciosamente.
¿No conoce las respuestas ante incidentes de ciberseguridad? Asegúrese de consultar los libros de tácticas de Respuestas ante incidentes y vulnerabilidades de ciberseguridad, publicados recientemente por CISA.
¿Cuáles son los diferentes tipos de ataques de ransomware?
Hay varios tipos distintos de ataques de ransomware. El más común es el cifrado de datos. También hay ataques de doble y triple extorsión. Un ataque de doble extorsión implica que el ransomware no solo cifra sus datos, sino que también los roba. Un ataque de triple extorsión implica que se cifran las máquinas y se roban los datos. Los actores maliciosos van un paso más allá y buscan datos sobre los clientes y proveedores de una organización para luego atacarlos.
¿El ransomware roba datos?
El ataque de ransomware que se considera más común es el cifrado de datos. Otro tipo cada vez más común de ataque de ransomware es la exfiltración. Quiere decir que los actores maliciosos de su entorno roban sus datos y amenazan con divulgarlos a menos que usted pague el rescate.
¿Cómo se propaga el ransomware?
El ransomware puede propagarse de muchas maneras. Una de las más comunes es a través de correos electrónicos de phishing. Una vez que un atacante ingresa a su entorno, las posibilidades son ilimitadas. Recuerde que un punto de ingreso es lo único que necesita un atacante para detener por completo su entorno.
¿Cuál es la mejor solución para proteger sus archivos más importantes de un ataque de ransomware?
Aunque muchos quieren protegerse contra el ransomware, lo cierto es que deberían estar preparados para su impacto. Hay un número de grupos de ransomware que constantemente buscan nuevas maneras para explotar los entornos, con el fin de ingresar a ellos y poder implementar su ransomware. A pesar de que una estrategia sólida de seguridad de TI puede funcionar muy bien para protegerse contra el ransomware, nada puede prevenir con 100 % de efectividad que suceda un ataque.
La mejor solución es una estrategia sólida de backup, que incluya backups inmutables, para que los actores maliciosos no puedan cifrarlos ni eliminarlos.
¿Cuántos tipos existen de ransomware?
Hay muchos tipos de ransomware diferentes, y surgen tipos nuevos todo el tiempo. Algunos de los tipos más conocidos de ransomware que se han reportado en las noticias son REvil, Conti y DarkSide.
Algo importante que se debe saber sobre ellos es que operan como cualquier otra organización de TI. Cuentan con sus propios desarrolladores y constantemente se dedican a perfeccionar su ransomware para que sea más peligroso para los sistemas de TI.
¿Cuánto tiempo lleva recuperarse del ransomware?
Cuando se trata de la recuperación ante un ataque de ransomware, hay muchas historias preocupantes sobre el tiempo que lleva recuperarse (y algunas sobre cómo no se logra la recuperación). No es raro enterarse de historias de organizaciones a las que les tomó semanas o meses recuperarse, pero esto no debería suceder.
La recuperación ante ransomware debe probarse regularmente, igual que los planes de recuperación ante desastres. De hecho, su plan de recuperación ante desastres es un buen lugar para comenzar cuando se trata de una recuperación ante ransomware, siempre y cuando esté actualizado y se haya probado minuciosamente.
Luego de que haya probado su recuperación, puede tomar medidas para acelerarla según las necesidades de su negocio, como la implementación de infraestructuras adicionales para su entorno.
La recuperación ante ransomware no necesita llevar un tiempo prolongado, pero las pruebas de sus procesos de recuperación son críticas para cumplir con el RTO.
¿Cuánto tiempo lleva el cifrado del ransomware?
La velocidad de cifrado del ransomware depende del ransomware que haya atacado su entorno. Recuerde que los grupos de ransomware mejoran constantemente su software para acelerar su ejecución y causar el mayor daño posible antes de que los equipos de TI se den cuenta de lo que sucede.
Por ejemplo, el ransomware REvil tiene procesos de multihilo con el fin de usar todos los recursos del entorno objetivo para lograr el cifrado.
¿Se puede descifrar el ransomware?
Aunque los grupos de ransomware afirman que pueden descifrar la información afectada si se paga el rescate, lo cierto es que no todos los datos se descifran correctamente. Lo más preocupante es la integridad de los datos luego del descifrado, ya que no es la misma. Incluso si se descifra un servidor luego de un ataque de ransomware, debe restaurarse desde un backup de todos modos.
¿Reinstalar Windows puede eliminar el ransomware?
Solamente reinstalar Windows en una máquina infectada no eliminará el ransomware. Limpiar completamente una máquina y reinstalar Windows, garantizará que el ransomware ya no se encuentre en el sistema, pero se perderán todos los datos que no tengan backups apropiados.
¿El ransomware roba datos personales?
Los atacantes de ransomware aprenden a encontrar vulnerabilidades en el entorno. Esto les permite elegir los datos más importantes que puedan encontrar dentro de un entorno. Tal es el caso de los datos personales sobre los empleados y los clientes, información financiera e información de propiedad confidencial. Recuerde que los grupos de ransomware hacen todo lo posible para asegurarse de que se pague el rescate.
Cuando se trata de la recuperación ante ransomware, hay muchas cosas para tener en cuenta. Lo más importante es asegurarse de que sigue los pasos necesarios para proteger su entorno ahora. Esto incluye no solo fortalecer su entorno para que los atacantes no encuentren alguna forma de entrar, sino también brindar capacitación para usuarios sobre ciberseguridad para garantizar que sus empleados no hagan clic en enlaces sospechosos y dejen entrar a esos atacantes.
A fin de cuentas, la última línea de defensa son los backups seguros. Además de contar con backups inmutables que el ransomware no pueda cifrar ni eliminar, es importante probar la recuperación. Realizar pruebas de la recuperación le permite no solo verificar que los backups funcionen, sino también que pueda cumplir con sus RTO si sucediera un ataque.
Para obtener más información sobre cómo proteger sus datos ante el ransomware, asegúrese de consultar el kit de prevención de ransomware de Veeam para empezar hoy mismo.
