Si ha detectado un ataque de ransomware – los archivos están siendo o han sido encriptados, los datos no están disponibles, o ha encontrado una nota de rescate – la rapidez de su respuesta podría ser la diferencia entre que algunos o todos su datos no estén disponibles.
El proceso de encriptación puede tomar minutos u horas dependiendo de la cantidad de datos a encriptar y del método de encriptación empleado por el ciber atacante, es por ello que suelen elegir los fines de semana o los feriados para iniciar el proceso. Aquí le mostramos algunos pasos a realizar para detener la propagación del malware / cifrado. Ojo que, dependiendo de su negocio, podrían no ser viables en todos los casos. Sin embargo, la preparación es clave para todas las empresas: saber dónde está la información confidencial, cuáles son sus funciones empresariales y dependencias es el primer paso importante para responder al ransomware.
Una vez identificado un incidente de ransomware, ejecute su Plan de respuesta a incidentes para garantizar que se apliquen los procedimientos y planes de comunicación pensados previamente.
La mayoría de los ransomware intentarán propagarse desde el punto de entrada inicial, el «Paciente 0», extendiéndose a través de cualquier conexión que pueda realizar, como servicios de dominio y recursos compartidos de red. Esto conduce a la propagación del malware a través de una red y todos sus puntos finales conectados. Para contener el cifrado, corte inmediatamente la computadora de todos sus posibles puntos de conexión. Si el equipo es una PC o una laptop, desconéctela inmediatamente de su red y desactive el Wi-Fi, el Bluetooth y cualquier otra capacidad de red. Si el equipo infectado estaba conectada en unidades compartidas o en red, desconéctelas también hasta que se pueda demostrar que este recurso de red compartido no está infectado. Si el recurso compartido de red no puede desconectarse, remueva los permisos tanto como sea posible. Su capacidad para restringir el tráfico de red hacia/desde el “Paciente 0” puede depender del uso comercial de la computadora y de cualquier acuerdo de nivel de servicio que implique sus datos o uso.
Si sospecha que una computadora está infectada, desconéctela inmediatamente del resto de la red y comience a examinarla, aún si no hay ningún indicador de peligro. Incluso si esto causa una interrupción, es más seguro restaurar una computadora después de una evaluación completa de la red que arriesgarse a propagar el malware de cifrado. Si las computadoras están siendo cifradas, al apagarlas se detendrá el proceso.
Los vectores de ataque más comunes para el ransomware son el Protocolo de Escritorio Remoto (RDP), el phishing y los ataques de Bloqueo de Mensajes del Servidor (SMB). El atacante utiliza estos vectores para obtener acceso a la red y luego intentar obtener credenciales de administración o privilegiadas. Estas credenciales se utilizan para desactivar los sistemas que detectarían el ataque y para acceder a aplicaciones sensibles como los controladores de dominio y las copias de seguridad. Cierre inmediatamente todos los puertos a Internet que no tengan un requerimiento de negocio, independientemente de lo seguro que crea que son. RDP y SMB suelen estar abiertos a Internet y deben ser bloqueados. Es posible que haya que bloquear más puertos en función de la configuración actual y de las necesidades de la empresa. Examine las conexiones de red, los intentos de inicio de sesión y otros registros para determinar los posibles puntos de entrada. Busque también y desactive las tareas programadas inesperadas, ya que pueden utilizarse para propagar el malware.
Asuma que las credenciales administrativas han sido comprometidas. Termine inmediatamente todas las sesiones de administrador y reinicie todas las credenciales administrativas. Al hacerlo, a veces se puede obligar al atacante a salir de la red. Ejecute un reinicio forzado de contraseñas en toda la red para asegurarse de que las credenciales antiguas o robadas no puedan ser utilizadas por el atacante para volver más tarde y reinfectar la red.
Priorice la contención y la higiene de la red sobre la restauración a partir de sus copias de seguridad. Las copias de seguridad automatizadas en los sistemas afectados deben detenerse para garantizar que los archivos infectados no sobreescriban los archivos limpios. Si restaura las copias de seguridad antes de que termine el acceso del atacante, esas copias de seguridad también podrían ser cifradas.
Si tiene un seguro cibernético o de continuidad de negocio en caso de un ciberataque, incluir a su proveedor desde el principio puede facilitar el proceso de registro del siniestro y posterior compensación económica.
Una firma de abogados con experiencia en ciberseguridad puede ayudarle a dar una respuesta, a realizar las notificaciones necesarias y a interactuar con las autoridades o reguladores.
Las autoridades locales pudieran proporcionar antecedentes adicionales e indicadores de compromiso, basados en el tipo de ransomware y/o atacante, que serán útiles para informar su respuesta estratégica al incidente.
Recopile todas las pruebas digitales posibles para analizarlas en la investigación forense para saber las causas del ataque, siempre que no obstaculicen severamente los intentos de asegurar el entorno. Si es posible, tome una foto con su celular de lo que observó. Una imagen de la nota de rescate o de un archivo cifrado puede ayudar en gran medida a diagnosticar lo que ha sucedido sin tener que volver a conectar o reiniciar la computadora afectada.
Los expertos forenses como PwC se ocupan de los ataques de ransomware con regularidad y pueden llevar a cabo una investigación exhaustiva para determinar la causa raíz, ayudar a contener y mitigar el ataque, y ayudar a las organizaciones a recuperarse del incidente. En muchos casos, los ataques de ransomware en toda la empresa obligan a las organizaciones a tomar importantes decisiones de arquitectura de TI durante el proceso de recuperación. Por ello, es importante seleccionar una firma que pueda ofrecer una amplia gama de servicios de TI y de seguridad para ayudar en la respuesta y la recuperación. La contratación de ayuda externa también ayudará a aliviar la carga de trabajo adicional que supone para el personal de TI la respuesta a un ataque.
More from my site
La gestión de riesgos en un mundo cambiante y disruptivo
Diagnóstico ciber: ¿Cómo mejorar la gestión de los activos digitales?
La importancia de una cultura de ciberseguridad
Consideraciones de control interno en el uso de servicios en la nube
La importancia de los controles de tecnología de la información
¿Por qué es importante la gestión de accesos y la segregación de funciones en los procesos de negocio?