Cómo prepararse y combatir un ataque de ransomware

Tabla de contenido:

Cómo prepararse y combatir un ataque de ransomware
Cómo prepararse y combatir un ataque de ransomware
Anonim

El ransomware es devastador, costoso y va en aumento. Protéjase de las infecciones con nuestra guía, pero también planifique para lo peor. Asegúrese de que puede recuperarse limpia y rápidamente si ataca el ransomware.

Ransomware en aumento

Los ataques de ransomware están aumentando en frecuencia a un ritmo aterrador. Según el informe de mitad de año de Bitdefender 2020, la cantidad de informes globales de ransomware aumentó en un 715 por ciento año tras año. Clasificado por el número de ataques, Estados Unidos sale en primer lugar. El Reino Unido ocupa el segundo lugar.

Un ataque de ransomware cifra sus archivos y datos para que no pueda operar como empresa. Para que sus sistemas vuelvan a sus estados operativos normales, es necesario borrar y restaurar sus servidores y su computadora a partir de copias de seguridad, o el uso de la clave de descifrado para desbloquear sus archivos y datos. Para obtener la clave de descifrado, debe pagar el rescate.

Ransomware causa tremendos impactos que interrumpen las operaciones comerciales y pueden conducir a la pérdida permanente de datos. Causas del ransomware:

  • Tiempo de inactividad comercial.
  • Pérdida de productividad.
  • Pérdida de ingresos.
  • Pérdida de reputación.
  • La pérdida, destrucción o divulgación pública de información empresarial confidencial.

Si paga el rescate, tiene ese costo adicional, y es probable que tenga infecciones residuales de malware e interrupciones después del ataque

Puedes pensar que no te pasará a ti. Puede racionalizar esa creencia diciéndose a sí mismo que es demasiado pequeño y que los actores de amenazas tienen objetivos más grandes y mejores a los que atacar. ¿Por qué se molestarían con una empresa como la suya? Lamentablemente, no es así como funciona.

Todo el mundo es un objetivo. Muy por encima de cualquier otro método de entrega, el correo electrónico sigue siendo el mecanismo de entrega número uno para el ransomware. Los ataques de phishing que envían correos electrónicos maliciosos son enviados por software que utiliza listas de correo con millones de entradas.

Todas las direcciones de correo electrónico de todas las violaciones de datos que han ocurrido en los últimos diez años están disponibles en la Dark Web. El sitio web Have I be Pwned enumera más de 10 mil millones de ellos. Todos los días se recopilan nuevas direcciones de correo electrónico y se agregan a estas listas de correo. Estas son las direcciones de correo electrónico que reciben correos electrónicos de phishing. A los actores de amenazas no les importa a quién pertenecen, ni les importa.

Muy pocos ataques de ransomware tienen un objetivo selectivo. Todos los demás ataques, el 99 por ciento de ellos, no acechan a sus víctimas y realizan un reconocimiento profundo. Los malos no son francotiradores. Son artilleros que ni siquiera se molestan en apuntar. Envían correos electrónicos de cualquier manera y luego se sientan para ver a quién han logrado contactar.

¿Rescate o restauración?

Los ciberdelincuentes, los actores de amenazas, cobran un rescate para proporcionar la clave. El rescate se paga en una criptomoneda, generalmente en Bitcoin, aunque los actores de la amenaza pueden estipular otras criptomonedas. En el momento de escribir este artículo, según CoinMarketCap, hay más de 7500 criptomonedas activas.

Aunque la configuración para comerciar con Bitcoin es relativamente sencilla, aún puede llevar días tener monederos electrónicos y todo lo demás en su lugar. Y durante todo ese período, no puede operar como un negocio o, al menos, operar de manera efectiva.

E incluso si paga el rescate, no hay garantía de que vaya a recuperar sus datos. El lado de descifrado del ransomware a menudo está mal escrito y es posible que simplemente no funcione para usted. Incluso si descifra sus archivos, es probable que aún esté infectado por malware como rootkits, troyanos de acceso remoto y registradores de pulsaciones de teclas.

Por lo tanto, puede llevar días poder pagar el rescate, incluso más si solicitan el pago en una criptomoneda que solo se puede comprar con otra criptomoneda, y su sistema no estará limpio ni será confiable. después de haber sido descifrado. Claramente, es mejor morder la bala y restaurar sus sistemas a partir de copias de seguridad. Después de todo, tanto en el Reino Unido como en los Estados Unidos, se nos desaconseja pagar el rescate.

Restaurar desde copias de seguridad, entonces. Pero no tan rápido. Eso solo es posible si cuenta con un procedimiento de copia de seguridad sólido, se ha seguido el procedimiento y sus copias de seguridad se han probado en simulacros e incidentes simulados.

Además, los actores de amenazas detrás del ransomware más sofisticado tienen formas de garantizar que sus copias de seguridad también estén infectadas. Tan pronto como limpie y restaure sus servidores y computadoras, ya estará infectado.

Aún así, las copias de seguridad siguen siendo la respuesta. Pero debe planificar y salvaguardar sus copias de seguridad de una manera que las proteja y garantice su integridad cuando las necesite.

Más vale prevenir que curar

Imagen
Imagen

Nadie quiere accidentes de trabajo: heridos, mucho papeleo, posibles reclamaciones de responsabilidad. Pero todavía tienes un botiquín de primeros auxilios en las instalaciones. Sí, es mejor prevenir que curar, pero aún debe asumir que tarde o temprano necesitará ese botiquín de primeros auxilios y personal capacitado en primeros auxilios.

Lo mismo ocurre con la ciberseguridad. Nadie quiere ser atacado por ransomware, y usted hace lo que puede para evitarlo. Pero debe tener un plan de respuesta a incidentes al que pueda recurrir cuando ataque el malware. Necesita un equipo de personas que estén familiarizadas con el plan, que lo hayan ensayado y que realmente lo sigan.

Es demasiado fácil descartar el plan en el fragor del momento. Eso no puede suceder: todas sus respuestas al incidente deben ser metódicas y coordinadas. Eso solo se puede lograr siguiendo su plan de respuesta a incidentes.

Todos tenemos seguro de automóvil y esperamos no tener que usarlo. Un plan de respuesta a incidentes es así. Lo necesita, pero no quiere estar en una situación en la que tenga que implementarse. Mantener su vehículo en buen estado y solo permitir que conductores capacitados estén detrás del volante reduce la probabilidad de que tenga un accidente.

Los siguientes puntos reducirán el riesgo de que necesite implementar su plan de respuesta a incidentes.

Formación de sensibilización del personal

La mayoría de las infecciones de ransomware se deben a que alguien cae en un ataque de phishing. Sus empleados son los que están en primera línea de correo electrónico. Abren y manejan correos electrónicos y archivos adjuntos todo el día, todos los días. A veces cientos de correos electrónicos. Solo se necesita un correo electrónico de phishing para colarse sin ser detectado y usted está infectado.

Obviamente, su personal debe tener capacitación sobre seguridad cibernética para que puedan identificar correos electrónicos de phishing y otras estafas y amenazas transmitidas por correo electrónico. Y esto hay que reponerlo y reforzarlo periódicamente. El ransomware debe estar en su registro de evaluación de riesgos de seguridad cibernética, y la capacitación de concientización del personal debe ser una de sus acciones de mitigación.

Una forma de reducir los volúmenes de correo electrónico es tratar de reducir el correo electrónico interno. Cuanto menos correo electrónico interno haya, más fácil será concentrarse y prestar atención al correo electrónico externo. Son los correos electrónicos externos los que conllevan los riesgos. Las aplicaciones de chat empresarial como Microsoft Teams y Slack son excelentes para esto.

Pruebas de susceptibilidad del personal

La capacitación es excelente, pero la guinda del pastel es la prueba. Es fácil encontrar una empresa de seguridad o un servicio en línea que organice una campaña de phishing benigna.

Los empleados que no reconocen el correo electrónico falso malicioso son candidatos obvios para una sesión de actualización en la capacitación. Además de medir la susceptibilidad de su personal a caer en los correos electrónicos de phishing, también es una medida de la efectividad de la capacitación de concientización de su personal.

Principio de privilegio mínimo

Asegúrese de que los procesos y usuarios tengan los derechos de acceso mínimos para realizar sus funciones definidas por roles. El principio de privilegio mínimo limita el daño que puede causar una pieza de malware si una cuenta de usuario se ve comprometida.

Restringe quién tiene acceso a las cuentas de administrador y asegúrate de que esas cuentas nunca se usen para otra cosa que no sea la administración. Controle el acceso a recursos compartidos y servidores para que las personas que no tengan una función específica que necesite acceder a áreas confidenciales no puedan hacerlo.

Filtros de spam

Los filtros de spam no atraparán todos los correos electrónicos maliciosos, pero atraparán algunos, lo que es un gran beneficio. Detectarán y pondrán en cuarentena la mayoría del spam regular, seguro pero molesto. Esto reducirá aún más el volumen de correo electrónico que debe tratar su personal. Reducir el tamaño del pajar hace que sea más fácil detectar la aguja.

Protección de punto final

Por supuesto, los paquetes antivirus y antimalware, o un paquete combinado de protección de punto final, deben implementarse, administrarse de forma centralizada y configurarse para actualizar las firmas con regularidad. Los usuarios no deben poder rechazar ni aplazar las actualizaciones.

Parche, parche, parche

Los sistemas operativos, el firmware y las aplicaciones deben estar dentro del ciclo de soporte del fabricante y no al final de su vida útil. Deben estar actualizados con parches de seguridad y corrección de errores. Si los parches ya no están disponibles, deje de usarlos.

Arquitectura de red

Para todos los diseños de red, excepto los más simples, segmente sus redes para aislar equipos, departamentos y equipos críticos. No construyen submarinos como tubos largos y abiertos. Incorporan mamparas con mamparas estancas para poder sellar tramos que presenten alguna fuga.

Utilice una topología de red con regiones segregadas para restringir de manera similar la propagación de malware. Un segmento infectado es mucho más fácil de administrar en comparación con una red completa.

Estrategias de respaldo

Las copias de seguridad son fundamentales para un sólido plan de continuidad del negocio. Debe hacer una copia de seguridad de sus datos utilizando un esquema que pueda hacer frente a cualquier crisis previsible, ya sea cibernética o no. El viejo mantra de respaldo era la regla 3-2-1.

  • Debe tener tres copias de sus datos: el sistema en vivo y dos copias de seguridad.
  • Tus dos copias de seguridad deben estar en medios diferentes.
  • Una de esas copias de seguridad debe realizarse fuera de las instalaciones.

Para ser claros, solo tener otra copia de sus datos no es una copia de seguridad. Es mejor que nada, pero las copias de seguridad son tan importantes que deberían ser lo mejor que puede hacer con cualquier presupuesto que tenga. El software de copia de seguridad creará una copia de seguridad real y tendrá capacidades de control de versiones. El control de versiones le permite restaurar un archivo desde un punto en el tiempo. Por lo tanto, podría restaurar un archivo en el estado en que estaba a la una en punto de ayer. O de algún momento de la semana pasada, o del mes pasado. Su período de retención y la capacidad de su almacenamiento de copia de seguridad determinarán cuánto puede retroceder en el tiempo y con qué granularidad.

Las copias de seguridad deben cifrarse.

Las copias de seguridad basadas en imágenes toman una imagen de todo el disco duro, incluido el funcionamiento. Los cambios en el sistema en vivo se pueden enviar por goteo a la imagen de copia de seguridad cada dos minutos, por lo que la copia de seguridad es muy similar a una instantánea en tiempo real del sistema en vivo. Todas las soluciones de copia de seguridad de primer nivel pueden convertir una imagen de copia de seguridad en una imagen de máquina virtual. La máquina virtual se puede activar en un nuevo hardware en caso de una catástrofe. Esto le permite implementar un nuevo hardware de servidor o superar cualquier problema que haya provocado la caída del sistema en vivo, mientras que su copia de seguridad se ejecuta como un sistema en vivo provisional y su empresa permanece operativa.

Y, por supuesto, existen soluciones de copia de seguridad externas que le permiten realizar una copia de seguridad en una ubicación alejada de forma segura de sus instalaciones. Entonces, la regla 3-2-1 se puede reescribir usando cualquier número que desee. Tenga tantas copias de sus copias de seguridad como sea necesario para que se sienta cómodo, distribuidas en diferentes ubicaciones y almacenadas en diferentes dispositivos de hardware.

Sin embargo, nada de eso lo salvará si los atacantes logran infectar sus copias de seguridad. Digamos que el ransomware está configurado para retrasarse durante 28 días antes de que se active. Habrá realizado copias de seguridad muchas veces, en todas sus copias de seguridad.

Para combatir esto, se pueden usar copias de seguridad inmutables. Estas son copias de seguridad en las que no se puede escribir una vez que se han realizado. Esto significa que no pueden ser infectados por ransomware o cualquier otro malware. Una solución de copia de seguridad robusta utiliza un enfoque variado y en capas.

  • Puede implementar copias de seguridad versionadas en dispositivos locales de almacenamiento conectado a la red (NAS) para la recuperación rápida de archivos borrados accidentalmente.
  • Su segunda capa podría ser copias de seguridad basadas en imágenes en almacenamiento local y externo. Puede restaurar rápidamente un servidor fallido en caso de un bloqueo total del servidor o una falla del hardware.
  • Si completa su régimen de copia de seguridad con copias de seguridad inmutables que nunca pueden ser contaminadas por malware, tendrá un sistema de copia de seguridad sólido y completo.

Según el tamaño y la complejidad de su red, eso puede volverse costoso rápidamente. Pero comparado con el precio del fracaso, es barato. No piense en ello como si estuviera pagando por las copias de seguridad. Piense en ello como una inversión en la continuidad del negocio.

Plan de respuesta a incidentes

Imagen
Imagen

Un plan de respuesta a incidentes no solo es una herramienta vital para garantizar respuestas coordinadas y efectivas a los incidentes cibernéticos, sino que, según las actividades de su negocio, pueden ser obligatorios. Si acepta pagos con tarjeta de crédito, es probable que deba cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). El estándar PCI DSS tiene varios requisitos con respecto a los planes de respuesta a incidentes.

Un plan típico de respuesta a incidentes contendrá estas secciones, cada una de las cuales debe ser detallada y precisa.

  • Preparación Todos los puntos mencionados anteriormente, junto con cualquier otra defensa que sus circunstancias ameriten. Ensayar el plan con incidentes de ejecución en seco familiarizará a su equipo de respuesta con el plan e identificará deficiencias o problemas, lo que permitirá refinar el plan. Cuanto más preparado esté su equipo de respuesta, mejor se desempeñarán cuando sea necesario.
  • Identificación. El proceso de reconocer que un incidente está en marcha e identificar qué tipo de incidente es. ¿Qué está pasando, quién y qué está afectado, cuál es el alcance del problema, se han filtrado datos?
  • Contención. Contener la infección y evitar que se propague. Poner en cuarentena los sistemas infectados.
  • Erradicación. Limpie los sistemas infectados. Asegúrese de que el malware se haya eliminado de todas las máquinas comprometidas. Aplique cualquier parche o paso de refuerzo de la seguridad que haya adoptado su organización.
  • Recovery ¿Qué sistemas son prioritarios y deben volver a ponerse en servicio primero? Restáurelos a partir de copias de seguridad y cambie las credenciales de autenticación de todas las cuentas. Restaura desde copias de seguridad inmutables si las tienes. De lo contrario, verifique que las copias de seguridad estén libres de malware antes de restaurarlas.
  • Lecciones aprendidas. ¿Cómo ocurrió la infección y qué la habría detenido? ¿Fue una vulnerabilidad explotada o un error humano? ¿Qué pasos cubrirán la brecha en su seguridad?

Denuncialo

No olvide denunciar el ransomware como delito. También es posible que deba informar el incidente a su autoridad de protección de datos regional o nacional. En Europa, debido a que perdió el control de los datos mientras estaban encriptados, un ataque de ransomware se considera una violación de datos según las Regulaciones generales de protección de datos, incluso si no se robaron o perdieron datos. Es posible que tenga una legislación que lo rija que respete este concepto, como la Ley de Portabilidad y Responsabilidad del Seguro Médico de los Estados Unidos de 1996 (HIPAA).

Tema popular

Recomendado

Cómo controlar Plex Media Center con Amazon Echo
2023

Cómo controlar Plex Media Center con Amazon Echo

Cómo ver TV en vivo en tu Apple TV
2023

Cómo ver TV en vivo en tu Apple TV

Cómo reemplazar las teclas de su teclado mecánico (para que pueda vivir para siempre)
2023

Cómo reemplazar las teclas de su teclado mecánico (para que pueda vivir para siempre)

Cómo convertir PDF a JPG en Windows 10
2023

Cómo convertir PDF a JPG en Windows 10

Cómo comprobar la cantidad, el tipo y la velocidad de la memoria RAM en Windows 11
2023

Cómo comprobar la cantidad, el tipo y la velocidad de la memoria RAM en Windows 11

Cómo cambiar la imagen de tu perfil de Google
2023

Cómo cambiar la imagen de tu perfil de Google

Cómo ver cálculos básicos sin fórmulas en Hojas de cálculo de Google
2023

Cómo ver cálculos básicos sin fórmulas en Hojas de cálculo de Google

Cómo hacer que Alexa te avise cuando una persona te envía un correo electrónico
2023

Cómo hacer que Alexa te avise cuando una persona te envía un correo electrónico

Cómo ocultar o mostrar extensiones en la barra de herramientas de Microsoft Edge
2023

Cómo ocultar o mostrar extensiones en la barra de herramientas de Microsoft Edge

Cómo rastrear la ubicación de tu hijo en Android
2023

Cómo rastrear la ubicación de tu hijo en Android

Cómo seleccionar todos los correos electrónicos en Gmail
2023

Cómo seleccionar todos los correos electrónicos en Gmail

¿Qué es una pantalla Super Retina (XDR)?
2023

¿Qué es una pantalla Super Retina (XDR)?

¿Qué son las notificaciones automáticas?
2023

¿Qué son las notificaciones automáticas?

Cómo editar, reiniciar o continuar una lista numerada en Google Docs
2023

Cómo editar, reiniciar o continuar una lista numerada en Google Docs

La edad de oro de los CD de shareware
2023

La edad de oro de los CD de shareware

Cómo transferir tus listas de reproducción de Apple Music a Spotify
2023

Cómo transferir tus listas de reproducción de Apple Music a Spotify

Cómo subir un video a YouTube desde iPhone o Android
2023

Cómo subir un video a YouTube desde iPhone o Android

Cómo limitar el tiempo de pantalla de su hijo en Android
2023

Cómo limitar el tiempo de pantalla de su hijo en Android