Un repaso rápido a un ransomware: De la infección a la remediación

 In Información

¿Qué es ransomware?

Ransomware es un software malicioso (malware) empleado con el fin de cifrar los datos de una víctima mediante una clave y solicitar un rescate económico para recuperar esta información.

Cómo se cifra la información y cómo la recupero

El proceso de cifrado de datos se realiza mediante un algoritmo prácticamente indescifrable que impide la recuperación de la información. Los datos críticos como documentos, copias shadow, imágenes y demás tipos de archivos sensibles a contener datos dejan de ser accesibles. Una empresa afectada por un ransomware se verá obligada a tomar decisiones para recuperar su información, por ejemplo, recuperar la información a través de un respaldo o inevitablemente, realizar el pago. Esta última opción, debería ser considerada como última alternativa ya que nadie nos asegura recibir la clave de recuperación de la información.

A pesar de disponer de información muy extensa los últimos meses sobre este tipo de amenaza, debemos apuntar que el secuestro o daño de información no es una tendencia novedosa. PC Cyborg (1989) puede ser considerado (aunque mucho menos sofisticado) el primer ransomware conocido. En este caso, no pedía el pago con moneda criptográfica sino a través de un envío postal a Panamá.

Este tipo de amenazas son especialmente lucrativas para los atacantes y, por esta misma razón, el ransomware evoluciona rápidamente aprovechando nuevas vulnerabilidades, incrementando peligrosamente su propagación, agresividad y ratio de propagación. El malware aprovecha la brecha entre la liberación de la vulnerabilidad y el tiempo de remediación para maximizar la tasa de infección y conseguir muchos más ingresos para el ciberatacante en concepto de rescates por su información.

Consecuencias de una infección por ransomware

No todo el daño se limita a la brecha de datos producida por el malware. Si bien es uno de los mayores perjuicios provocados, hay de otros que pueden ser devastadores:

  • Cumplimiento regulatorio: Marcos regulatorios como PCI o la nueva normativa europea penalizan severamente a empresas que se vean afectadas por brechas o pérdidas de información.
  • Sanciones económicas: La multa económica por incumplimiento de cualquier normativa regulatoria de datos, puede ser muy elevada según la gravedad del incidente.
  • Daños en la imagen de marca: El daño a la disponibilidad del servicio y la pérdida de información suponen una pérdida de credibilidad a la imagen de su organización y directamente  afectar a ventas y futuros acuerdos comerciales.
  • Pérdida de volumen de negocio: El tiempo de recuperación de los datos es el tiempo que su organización se mantiene bloqueada sin opción de generar más negocio.

Un dato positivo dentro de lo negativo

Para arrojar un pequeño rayo de luz en este entramado tan oscuro, mencionar que algunas variantes de ransomware como TeslaCrypt han liberado sus claves maestras para poder desbloquear sus ficheros después de una infección. Este hecho es prácticamente insignificante en relación al número de malwares en circulación, aunque ofrece una pequeña esperanza al ser uno de los ransomwares más propagados.

Cómo protegerse de ransomware

No hay balas de plata ni criptonita adecuadas para ahuyentar a un ransomware (y mucho menos dada la tasa de variantes liberadas diariamente). Sin embargo, para mejorar los niveles de seguridad frente a este tipo de amenazas es recomendable seguir una serie de puntos que deberían ser tomados como criterios de buenas prácticas:

Evitar ataques de phishing a través de educación en seguridad

Nuestros usuarios no tienen por qué conocer de seguridad TI. A pesar de ello, sí es recomendable formarlos sobre cómo evitar ataques de ingeniería social y educarlos en ser más “desconfiados” al descargar adjuntos y abrir ficheros de remitentes desconocidos o poco seguros. Una de las mayores entradas de malware pasa por ataques de phishing y en muchos casos podría ser evitado con identificar el mensaje sospechoso y mandarlo a la papelera.

Estar al día de actualizaciones es una buena práctica

El ransomware aprovecha vulnerabilidades zero-day para infectar servidores y equipos informáticos. Mantener todo el equipamiento al día puede ser una tarea complicada, pero es necesaria para reducir las posibilidades de infección.

Copia de seguridad

Realizar copias de seguridad de la información debe ser prioritario. Estas copias de seguridad deben ser periódicas y analizar qué datos deben ser tratados con especial atención al considerarse críticos para el negocio.

Aunque sea obvio, el espacio donde residen las copias de seguridad debe estar protegido en caso de propagación del ransomware. Si el servidor de copia de seguridad se infecta o si los datos de copia de seguridad se encuentran en un recurso de red compartido accesible desde una máquina infectada, ransomware puede cifrar también los datos de copia de seguridad. ¡Suena obvio, pero es importante recordar!

Remediación después de un ransomware

El principal objetivo para recuperarse de una infección de ransomware pasa por disponer de una estrategia de recuperación de datos. Como hemos comentado anteriormente, el pago del rescate debe tomarse como última alternativa y nunca nos asegura que lleguemos a recibir la clave de desbloqueo.

Con una solución de copia de seguridad avanzada (como Arcserve UDP), disponemos de una gran herramienta para ayudar en la lucha contra ransomware. Vayamos paso por paso: Eduquemos a nuestros usuarios, apliquemos mejores prácticas para defendernos y estudiemos una estrategia de recuperación de datos por si llega el momento y es necesario.

¿Te ayudamos a diseñar tu estrategia de backup para hacer frente al ransomware?

Ransomware

Recommended Posts

Leave a Comment

Start typing and press Enter to search