Cómo afrontar un ataque de ransomware

Un ataque de ransomware es una de las mayores amenazas a las que se enfrentan los usuarios en línea. En este artículo describimos lo que sucede durante un ataque de ransomware y los pasos que debe seguir para proteger su organización a partir de ahí.

Cómo se debe afrontar un ataque de ransomware

Los ataques de ransomware son una gran amenaza para las organizaciones, ya que el 90 % afecta a su capacidad para operar y se tarda, de media, un mes para recuperarse del ataque. Son altamente perjudiciales para los negocios y un vector de amenazas que va en aumento. Para 2031 se prevé que habrá una empresa víctima de un ataque de ransomware cada dos segundos (frente a una cada 11 segundos en 2021).

¿Qué es un ataque de ransomware?

El ransomware es un tipo de malware que cifra los datos de una organización de forma que ya no pueda acceder a ellos. Se exige un rescate, el promedio es de 570 000 USD y, después de pagar, se emiten las claves de descifrado para que la organización recupere el acceso.

Si bien ningún sector vertical específico está a salvo de los efectos del ransomware, un actor malintencionado generalmente elegirá una organización en función de dos factores:

Oportunidad: por ejemplo, si la empresa tiene un equipo de seguridad reducido, carece de recursos de TI o es una organización con una gran riqueza de datos.

Beneficios financieros potenciales: las empresas que requieren un acceso inmediato a sus archivos y es más probable que paguen un rescate rápidamente, como abogados o agencias gubernamentales.

Los actores malintencionados pueden obtener acceso a los datos de la organización a través de varias tácticas, por ejemplo:

Suplantación de identidad: se utilizan técnicas de ingeniería social para engañar a los usuarios para que hagan algo, como hacer clic en un enlace malicioso en un correo electrónico.

Acceso remoto: se escanea Internet en busca de puertos abiertos, como el protocolo de escritorio remoto, para capturar credenciales válidas para autenticarse mediante una solución de acceso remoto.

Concesión de cuenta con privilegios: aprovechando las cuentas de administrador, se accede a más sistemas y datos confidenciales.

Vulnerabilidades conocidas de software o aplicaciones: se explotan las vulnerabilidades conocidas para las que había parches disponibles para solucionar el problema pero no se han aplicado.

Antes de cifrar los datos, un actor malintencionado puede optar por hacer copias y amenazar con filtrarlas si el rescate no se paga a tiempo. Se conoce como "doble extorsión". Una vez que comienza el cifrado, el proceso es rápido: la variante de ransomware promedio puede cifrar casi 100 000 archivos con un total de 54,93 GB en tan solo 42 minutos y 52 segundos, por lo que actuar con rapidez es esencial después de un ataque.

Qué hacer en caso de ataque de ransomware

En cuanto sepa que ha sido víctima de un ataque de ransomware, generalmente porque aparecerá una gran notificación en la pantalla, es esencial que aísle el dispositivo infectado. Retire los cables de datos y de red, los USB y los dongles, desactive el WiFi y el Bluetooth para evitar que el dispositivo establezca cualquier conexión que pueda hacer que la amenaza se propague.

En esos momentos iniciales, es probable que la adrenalina entre en acción, junto con las sensaciones de conmoción, ira y miedo. Es importante no entrar en pánico y mantener la calma mientras evalúa la situación. Una forma de lograrlo es a través de simulaciones de ransomware donde la empresa realiza practicas sobre cómo reaccionaría ante un ataque, de modo que las personas estén familiarizadas con los pasos a dar para contener la irrupción de manera tranquila y oportuna:

Notificar a la empresa/contactos

Es importante que todas las comunicaciones se gestionen de forma centralizada dentro de la organización para evitar cualquier información errónea o confusión. Esto debe incluir una directiva respecto a no hablar con nadie en los medios ni publicar nada en las redes sociales.

Los anuncios de relaciones públicas deben prepararse cuidadosamente para evitar que se inquieten los accionistas, las partes interesadas y el mercado en general.

Una vez que se conoce el ataque, se debe avisar de la amenaza a todas las personas de la empresa. Si alguien sospecha que su dispositivo está infectado, debe tomar medidas para aislarlo de inmediato de la red. Las mejores prácticas también indican que los usuarios deben restablecer todos sus credenciales, especialmente en las cuentas privilegiadas, para evitar que el actor malintencionado recopile datos valiosos que podrían usarse para lanzar más ataques.

Identificar el tipo de ransomware

Usando la herramienta de escaneo de malware del dispositivo, o a través del centro de operaciones de seguridad de la organización, ejecute un escaneo de malware para ayudar a identificar qué ransomware se ha utilizado, ya que esto ayudará a determinar las acciones correctivas que deben adoptarse.

Además, tome notas sobre el ataque, incluida la fecha, la hora, los detalles del archivo, las primeras señales de ransomware, los dispositivos afectados, lo que estaba haciendo inmediatamente antes del ataque y cuándo se conectó su dispositivo. Además, haga fotos y lleve un registro de los programas, archivos y ventanas emergentes sospechosos.

Toda esta información se introduce después en la herramienta de identificación de ransomware para ayudar a determinar con qué se vio afectada la empresa y las acciones correctivas que deben adoptarse.

Pago del rescate

Los profesionales de ciberseguridad y las agencias federales están de acuerdo en algo: no pague el rescate.

Las investigaciones demuestran que solo 3 de cada 5 organizaciones recuperaron el acceso a sus datos/sistemas, por lo que no hay garantía de que obtenga acceso a sus datos u ordenador. Además, incluso si recupera sus datos, no hay garantía de que sean seguros, los datos confidenciales del 18 % de las víctimas de ransomware que pagaron el rescate continuaron expuestos en la web oscura por los actores malintencionados.

Eliminar el ransomware de sus dispositivos

Desafortunadamente, eliminar el ransomware de los dispositivos no es tan simple como hacer clic en "borrar". En muchos casos requiere de un reset completo de fábrica, que es irreversible e implica el riesgo de perder los datos. Por lo tanto, siempre es mejor buscar la ayuda de un profesional que pueda usar las herramientas de descifrado apropiadas y restaurar la normalidad en el sistema de forma segura.

Recuperación de datos de copias de seguridad

Mantener una copia de seguridad actualizada es la forma más eficaz de recuperarse de un ataque de ransomware. Una buena práctica es seguir la 'regla de "3-2-1": 3 copias de los datos, almacenadas en 2 ubicaciones diferentes, de las cuales 1 esté fuera de línea.

Para restaurar los datos, lo primero que hay que hacer es escanear sus datos en busca de malware y asegurarse de que las copias de seguridad solo están conectadas a dispositivos limpios conocidos para evitar la reinfección.

Denunciar el ataque

Una vez que su negocio vuelva a estar en línea, debe informar del ataque de ransomware a las autoridades competentes, por ejemplo, CISA en EE. UU. o NCSC en el Reino Unido. Esta información es muy valiosa para las agencias, ya que les ayuda a rastrear la forma en que se desarrollan los ataques de ransomware y detener a los ciberdelincuentes, apoyan a las herramientas de reparación y evitan una mayor propagación.

Protéjase de futuros ataques de ransomware

El comportamiento del usuario final puede ser una de las mejores medidas disuasorias de las que dispone cuando se trata de abordar la amenaza del ransomware. Proporcione formación sobre los conceptos básicos y refuerce continuamente su importancia para garantizar que se tengan estos comportamientos:

• Actualización de su dispositivo y activación de las actualizaciones automáticas.
• Habilitación de la autenticación multifactor.
• Realización de copias de seguridad periódicas.
• Control sobre quién puede acceder a qué en sus dispositivos.
• Activación de la protección contra ransomware.

Póngase en contacto con Ontrack para la recuperación tras un ransomware

Cada ataque de ransomware es único y su complejidad varía, pero es posible recuperar los datos. En Ontrack hemos desarrollado una serie de herramientas específicas, patentadas, para recuperar datos: actualmente tenemos capacidades de cifrado en 138 tipos de ransomware y rastreamos continuamente 271 variantes diferentes.

Con laboratorios ubicados por todo el mundo, nuestros especialistas están disponibles las 24 horas del día, los 7 días de la semana para proporcionar ayuda y asistencia en el peor de los casos.

Lea nuestra guía definitiva sobre ransomware.

Lea por qué más de 600 000 personas y empresas han confiado en Ontrack para recuperar sus datos.