CIBERCRIMEN | Noticias | 07 ABR 2016

Cómo responder a las amenazas de ransomware

¿Qué hacer ante ataques de ransomware? Todo dependerá del nivel de riesgo y en qué condiciones queremos que los datos sean devueltos sin haber sido dañados. Ofrecemos una serie de recomendaciones y pasos a dar para facilitar la recuperación de la información.
Petya ransomware pantalla rescate
Ryan Francis

Hablar de ransomware es casi como hablar de secuestro, y tratar con los autores puede ser muy parecido a negociar con alguien que intenta saltar desde un tejado. El Institute for Infraestructure Technology (ICIT) ha publicado  un informe en el que se describe cómo tratar con criminales que tienen tus datos como rehenes. El informe habla de cómo actuar una vez que la brecha ha sido encontrada. Para el ICIT, la respuesta dependerá del nivel de riesgo que puedan tolerar las organizaciones, el impacto potencial de los datos secuestrados, el impacto en la continuidad de los negocios.

Opción 1: Dar respuesta al incidente

El equipo de seguridad debería tener un plan para proceder en caso de un ataque de ramsonware. Deberían empezar por notificarlo a las autoridades y a los organismos reguladores correspondientes. Este plan identifica el tiempo objetivo de recuperación (RTO) y el punto objetivo de recuperación (RPO) en caso de ataques. En el caso de que exista una copia de seguridad, las pruebas forenses cibernéticas deben guardarse y documentarse por y para cumplimiento de la ley. En el caso de que no existan sistema redundante o si los sistemas secundarios hubieran quedado comprometidos, el equipo de seguridad deberá encontrar e implementar una nueva solución o una herramienta de descifrado.

Opción 2: Tratar de implementar una solución sin información de seguridad

En muchos casos, los archivos quedan parcialmente corrompidos  o no están totalmente desencriptados. Incluso si la solución de los proveedores es fácil de ejecutar, la víctima no puede estar segura de si parte de su sistema ha quedado comprometido con ransomware inactivo, puertas traseras u otro malware. La infección inicial suele producirse por un error humano, por ejemplo abriendo un email infectado, o por una infección preexistente. Sin información y una mayor sensibilización sobre la gestión del sistema, hay muchas posibilidades de que los sistemas queden de nuevo comprometidos.

Opción 3: Intentar recuperar los datos

Las copias de seguridad y de recuperación del sistema son la única solución real contra el ransomware. Si hay una copia de seguridad, la recuperación será un simple problema de restauración del sistema. Se podría intentar recuperar los archivos a través de copias ocultas o con algún software de recuperación de archivos. Aunque muchos de estos ransomware son capaces de eliminar esas copias ocultas e incluso de detectar el software de recuperación, lo que haría imposible la recuperación del sistema desde el último punto no afectado.

Opción 4: No hacer nada

Sin un equipo de seguridad o la solución de un proveedor, las opciones se limitan a pagar el rescate o aceptar la pérdida del sistema o de los datos secuestrados. Si el sistema está respaldado y la copia de seguridad es fiable, entonces se puede ignorar la demanda del ransomware y restaurar el sistema teniendo en cuenta esta copia de seguridad. Si dicha copia no existe, el rescate puede costar más que el propio sistema y la víctima debería comprar un nuevo dispositivo y deshacerse del sistema infectado.

Opción 5: Pagar el rescate

Si realmente el culpable nos da la clave de desencriptación correcta, pagar el rescate puede aliviar mucho la situación de la empresa. Muchos de los atacantes liberan el sistema tras el pago del rescate ya que no hacerlo podría suponer que otras víctimas se negaran a pagar. Algunos atacantes reconocen esta dicotomía. Saben que si los archivos no se liberaran, las víctimas no pagarían nunca los rescates. Como resultado, variantes como CTBLocker dan la opción de descifrar algunos archivos como muestra de buena fe. Si pagas el rescate una vez, la respuesta lógica del atacante sería fortalecer su posición con la esperanza de que vuelvas a pagar de nuevo.

Opción 6: Una solución híbrida

Si el rescate que se pide es bajo, por ejemplo, el pago de 300 dólares a una multinacional, entonces tiene sentido adoptar una solución híbrida. Esta solución podría incluir esfuerzos simultáneos para pagar el rescate e intentar restaurar el sistema desde el servidor de la copia de seguridad. Las compañías valoran si el tiempo que el sistema está sin funcionar supone peores consecuencias que pagar el rescate. Para minimizar los recursos y el impacto en la compañía, las soluciones híbridas deberían ser gestionadas por un equipo de seguridad entrenado y preparado.

Conclusión

Una cultura corporativa centrada en la ciberseguridad que cultive un ambiente de concienciación sobre la misma es la manera más efectiva de minimizar los ataques. La composición de un equipo de seguridad cuyo único propósito sea la gestión de la InfoSec es el primer paso para crear una estrategia la empresa. La actividad de un equipo de InfoSec debe cubrir: un análisis inmediato sobre la vulnerabilidad de la compañía, una estrategia para la gestión de crisis que tenga en cuenta todas las amenazas conocidas, dispositivos habituales y aplicación de parches, verificación de los acuerdos de terceros y proveedores, pruebas de penetración organizativa y actualizaciones tecnológicas centradas en la seguridad.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información