Cómo recuperarse de un ataque de Ransomware

 In Información

¿Su negocio se ha detenido de golpe porque sus datos han sido cifrados? En ese caso es muy probable que haya sido víctima de un ransomware. Este tipo de amenazas están causando mucho daño a las organizaciones, no solo por la pérdida de datos, sino por el tiempo que la empresa tarda en volver a funcionar de nuevo.

En 2016, los ciberdelincuentes consiguieron extorsionar la increíble cifra de 1.000 millones de dólares a las empresas, frente a los 27 millones de 2015, según el FBI. Y los expertos sugieren que estos ataques no paran de aumentar.

El ransomware es un tipo de amenaza que, a pesar de no ser nueva, estos últimos años ha cobrado protagonismo por haber sido portada en numerosos medios por los daños ocasionados a múltiples organizaciones alrededor del mundo. El objetivo de un ransomware es cifrar los datos de un equipo o conjunto de equipos en una red para cobrar un rescate para recuperar esa información. El malware usa técnicas de ingeniería social o exploit kits para conseguir infectar el equipo y proceder a alterar la información.

El daño a la información no solo son a los datos, sino también a los registros VSS (Volume Shadow Service) y unidades externas y de red, haciendo mucho más difícil la recuperación de la información.

Lamentablemente, la información suele cifrarse con fuertes algoritmos que hacen prácticamente imposible (a menos que existiera algún error en el proceso) recuperar los datos afectados. Así que, la única manera fiable de volver a recuperar la normalidad después de un ataque ransomware es haber realizado un backup que esté validado y sea reciente.

Ataques globales de ransomware con ETERNALBLUE y ETERNALROMANCE

Estos últimos meses hemos presenciado una serie de ataques a gran escala con los ransomware WannaCry y NotPetya. Su notoriedad es debida al gran número de equipos afectados, a la importancia de las empresas afectadas y porque hicieron uso de una vulnerabilidad supuestamente detectada por la NSA. Estas vulnerabilidades del servidor SMB de Windows fueron explotadas con los exploit kits llamados ETERNALBLUE y ETERNALROMANCE que permitían alterar ciertos paquetes para poder ejecutar código remotamente en la máquina afectada.

El backup es criptonita para un ransomware

Si has sido infectado y tus datos han quedado inservibles, tienes tres soluciones:

  • Tienes muchísima suerte (pero mucha) y equipos de seguridad han encontrado o desarrollado alguna herramienta para recuperar tus datos. Este es el caso menos común y del que prácticamente no se dan casos. Hay muchísimas variantes de este tipo de malware y unas pocas herramientas de recuperación. Es cuestión de suerte.
  • La segunda pero no más recomendable es pagar el rescate que solicita al ransomware, que puede oscilar a menos de un bitcoin a unas cuantas. El bitcoin es una moneda criptográfica que es prácticamente imposible de rastrear, lo que la convierte en un método de pago ideal para los ciberdelincuentes. El pago no te asegura en ningún caso recibir la clave de desbloqueo y, si igualmente has decidido pagar, piensa que estás incentivando que este tipo de ataques se perpetúen.
  • La última y única solución viable es tener una copia de seguridad válida y reciente que nos permita volver a la normalidad cuanto antes. Sí, la única cosa que teme un ransomware es haber conseguido cifrar los datos pero que el usuario tenga una copia de ellos que no haya sido afectada. Un backup es criptonita para un ransomware y la última línea de defensa.

 

¿Qué pasos debo realizar para recuperar mi negocio de un ransomware?

Para empezar, es importante conocer el modo que más nos interesa para proteger nuestros datos. Arcserve, como referente mundial en la protección de información recomienda tres modos de protección:

  • Protección de los datos en la nube: Un servicio DRaaS es una alternativa muy novedosa para proteger nuestra información. El uso de aplicaciones nativas en la nube nos permite almacenar información de forma segura, poder recuperarla en caso de emergencia y poder establecer un más que interesante procedimiento de recuperación de datos.
  • Protección de información con un appliance: Arcserve UDP en formato appliance proporciona a las organizaciones un entorno de protección de datos llave-en-mano. La solución está lista y configurada en pocos minutos y, con el soporte a políticas de seguridad granulares, el backup en la nube y la tecnología assured recovery, proporciona un marco ideal para descansar tranquilo frente a un ataque ransomware, protegiendo entornos físicos, virtualizados y en la nube.
  • Protección con UDP: Arcserve UDP es la primera solución del mercado que unifica las funciones de protección contra ransomware para entornos físicos, virtualizados y en la nube.

Recomendaciones para una protección de datos a prueba de ransomware

Arcserve UDP es una herramienta increíblemente poderosa para luchar contra el ransomware aunque siempre existen recomendaciones para llegar a un nivel de protección mucho más alto. Los consultores de Arcserve nos proporcionan los siguientes consejos:

Proteger la máquina y educar al usuario para protegerse del ransomware:

  • Sí, el backup es importante, pero lo es más no llegar a ser infectado. Para ello, debemos tomar precauciones y una de ellas es la educación en seguridad a nuestros usuarios. Podemos ayudarles a identificar un mensaje sospechoso y tener una correcta “higiene en seguridad” evitando abrir indiscriminadamente todos los ficheros y enlaces recibidos por medios sociales o correo electrónico.
  • Un acuerdo de nivel de servicio es esencial para planificar una defensa antiransomware y, para ello, es necesario establecer cada qué tiempo necesitamos realizar un backup de nuestra información crítica ¡El negocio depende de ello!
  • Es importante seguir un criterio de copias de seguridad adecuado, no solo la periodicidad sino el número de copias a mantener. Recomendamos una estrategia 3-2-1: Mantener 3 copias de la información (2 copias + origen), en mínimo 2 medios distintos y 1 de ellas, offsite.
  • Asegúrate que la solución de copia de seguridad elegida incluye el modo de espera virtual para sistemas críticos para una recuperación más rápida.
  • Y por último, recordar que si el malware tiene acceso al backup ¡también lo cifrara! Protégelo.

Protege tus datos mediante replicación

  • Periódicamente, copia los puntos de recuperación en medios sin conexión, como discos USB.
  • Considera la posibilidad de aprovechar la cinta como un medio de copia de seguridad para los datos críticos. Es una forma práctica de realizar puntos de recuperación periódicos fuera de línea.

Con estos pasos, dormirás tranquilo porque tus datos están protegidos y, aunque la seguridad 100% no existe, una buena estrategia asegura una buena continuidad del negocio y volver a la normalidad será un puro trámite.

 

Estrategias de recuperación frente al ransomware

Recommended Posts

Leave a Comment

Start typing and press Enter to search