El ransomware se ha convertido en una amenaza critica para las empresas a nivel mundial. No es más que un software malicioso que impide que los usuarios accedan a sus datos secuestrando su información para así exigir un pago de rescate. Es el tipo de problema que exige una preparación previa para enfrentarlo de manera efectiva.
El ransomware es un tipo de malware y como ya sabemos el término malware es un acrónimo de las palabras malicioso y software. La palabra ransomware también es un acrónimo, casi se explica por sí mismo. Este es un software utilizado para el rescate. Por lo general, el ransomware retiene los datos como rehenes, esperando el pago por su liberación. Comúnmente, se hace cifrando dichos datos.
El juego funciona porque el propietario de los archivos le gustaría recuperarlos y pagará una cierta cantidad de dinero para obtener la clave de descifrado. El ransomware tiempo atrás fue dirigido a individuos específicos, pero en los últimos años, los atacantes han ido tras las empresas, ya que se puede ganar mucho dinero atacando grandes compañías haciéndolo un negocio rentable.
Una preocupación común sobre el ransomware es, ¿Qué sucede si pagamos para obtener la clave y el atacante no la proporciona? Hemos pagado y todavía no tenemos nuestros archivos.
Algo muy importante que debemos recordar es que se trata de una transacción comercial. Al atacante le conviene proporcionarle la clave. Si no lo hacen, rápidamente se corre la voz de que la variedad de ransomware que lo ha afectado lo dejará con archivos permanentemente inaccesibles, por lo que nadie se arriesgara a pagar el rescate y por ende los atacantes no tendrán ingresos.
<<Suena gracioso, pero si los atacantes no proporcionan la clave después del pago estarán poniendo en juego la confiabilidad y los ingresos de su negocio.>>
A pesar de que el Ransomware es un malware tienen sus diferencias al momento de tratar estas amenazas. Durante un brote o ataque de malware, los equipos infectados deben aislarse, y los sistemas operativos deben limpiarse; lo más fácil por hacer cuando se encuentra con malware es borrar el sistema y reconstruirlo, para asegurarse de haber limpiado completamente los equipos infectados. Generalmente el malware se encuentra en los ejecutables, registros de los sistemas o algunos directorios pudiendo tener la posibilidad de copiar de forma segura todos sus documentos, imágenes, música y otros archivos personales antes de borrar el sistema. El problema con el ransomware es que no puede copiar sus archivos antes de limpiar los equipos infectados, aunque el aislamiento y la limpieza será el mejor enfoque para el ransomware, tal como lo es para las formas más tradicionales de malware. Los archivos estarán cifrados o de otro modo inaccesibles y necesitará la clave de descifrado para recuperar dichos archivos.
Las organizaciones detrás del ransomware son empresas y siempre buscan maximizar sus ganancias. Cuantos más sistemas puedan infectar dentro de una empresa, más dinero podrán exigir. Desde el punto de vista de los ingresos, es mucho más eficiente infectar empresas (donde pueden exigir grandes pagos) que infectar sistemas domésticos (donde es menos probable que se les pague o el pago será mucho menor).
El ransomware normalmente no afectará el sistema operativo ni a los archivos .exe o .dll, por ejemplo. También se dejan solos varios directorios, incluidos los directorios de Archivos de programa y Windows. Si los archivos en esos directorios estuvieran cifrados, el sistema dejaría de funcionar. Recuerde, el propósito de una infección de ransomware es obtener dinero de la víctima. Si la víctima tiene que borrar y restaurar porque el sistema operativo no funciona, pagar el rescate no sería una opción para la víctima.
También es común que en los sistemas afectados por ransomware haya un archivo con las demandas de rescate. Puede encontrar un archivo de texto en su directorio «Documentos» que tendrá un nombre que incluye palabras como descifrado, instrucciones, ayuda, restauración o recuperación. Este archivo incluirá instrucciones sobre cómo pagar el rescate, así como un enlace a un sitio, probablemente en la red The Onion Router (TOR), donde puede realizar una prueba de descifrado para validar que el atacante tiene la clave. Puede haber incluso amenazas en el sentido de lo que no se debe hacer, o se perderán los datos.
Usted se estará preguntando entonces ¿Cómo me protejo contra el ransomware? Las técnicas comunes utilizadas para combatir el malware no serán efectivas. Si fueran efectivas, el ransomware no sería el problema que es. Se necesita una variedad de técnicas para combatir el ransomware. Esto requiere comprender cómo funciona el ransomware. Una forma de obtener este conocimiento, sin pasar por ataques de ransomware reales, es obtener inteligencia de amenazas. La inteligencia de amenazas es información sobre la forma en que trabajan los atacantes. Hoy en día existen muchos proveedores con muy buenas herramientas de inteligencia de amenazas que usted podría utilizar.
El marco de ciberseguridad NIST divide la ciberseguridad en diferentes fases: identificar, proteger, detectar, responder y recuperar.
Si pasa todo su tiempo en la fase de protección, es probable que no detecte o responda a un ataque, por ejemplo, el antimalware tiende a pasar por alto el ransomware. Hay muchas razones para esto, incluido el hecho de que gran parte del antimalware todavía se basa principalmente en firmas, y es fácil ajustar el ejecutable en el que se entrega el ransomware para que pueda evadir la detección. Un mejor enfoque es no solo usar controles de protección, sino también contar con controles de detección. De esta manera, si sus protecciones fallan, puede detectar el ataque rápidamente y responder para mantenerlo bajo control. Sin embargo, para hacer eso, debe identificar qué es lo que está buscando. Aquí es donde la inteligencia de amenazas es útil.
Ahora que sabe cómo funciona el negocio del ransomware es importante que tenga estrategias de protección y planes de remediación basados en las técnicas de ataque de ransomware actuales. La recuperación en realidad requiere mucha planificación. No puede simplemente volver a funcionar después de un ataque devastador como el ransomware sin mucha preparación.
Primeramente, debe poder identificar las amenazas contra su organización para poder protegerse contra ellas. Identificar y proteger son las dos primeras fases según NIST. Sin embargo, la detección no es suficiente. Obviamente, es bueno saber cuándo fallan sus protecciones, pero aún debe poder responder a la alerta para poder eliminar al atacante del entorno lo más rápido posible. Por último, la remediación, usted también deberá solucionar cualquier problema que haya permitido al atacante entrar en el entorno. Tanto la respuesta como la remediación requieren planificación para ser efectivas. La planificación puede ayudar a garantizar el éxito.
Los brotes de ransomware están aumentando tanto en número como en intensidad. El objetivo del atacante siempre es ganar dinero, por lo que a medida que las empresas encuentren formas de evitar pagar el rescate, los atacantes encontrarán nuevas formas de obligar a las empresas a pagar.
Las siguientes son consideraciones para un plan de ransomware:
- Introduzca o mejore la inteligencia de amenazas: obtener un proveedor de inteligencia de amenazas lo ayudará a protegerse y responder mejor a todas las amenazas en el mundo actual.
- Implemente una estrategia de copia de seguridad sólida: cuando ocurre un ataque de ransomware, tener una estrategia de copia de seguridad sólida puede ayudar a que el proceso de recuperación sea más fluido. Los sistemas se pueden borrar y reinstalar, luego restaurar desde la copia de seguridad.
- Implemente capacitación en concientización sobre seguridad: la capacitación en concientización sobre seguridad puede ayudar a mantener a los empleados atentos a las diferentes formas en que los atacantes podrían intentar aprovecharse de los usuarios para obtener acceso al entorno.
- Consulte con un asesor legal: asegúrese de tener planes establecidos con un asesor legal. Entenderán las consideraciones legales y reglamentarias. Por ejemplo: La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos ha emitido un fallo que indica que cualquier empresa que pague un rescate para recuperar sus datos estará sujeta a multas. (Este tipo de fallos debería saberlo un asesor legal dependiendo del país que se encuentre).
- Entidades externas: es probable que necesite ayuda si se ve afectado por un evento de ransomware, así que considere lo siguiente: empresa de respuesta a incidentes, empresa de negociación de ransomware, empresa de comunicación de crisis y asesores externos con experiencia en incidentes relacionados con la seguridad.
- Póliza de Seguro Cibernético: Hay muchos factores en juego cuando se trata de ransomware. Idealmente, tendría una estrategia de copia de seguridad sólida y no se preocuparía por pagar para recuperar sus datos. Sin embargo, el problema con eso es que restaurar cientos o miles de sistemas puede llevar mucho tiempo. Mientras tanto, el negocio puede estar inactivo o al menos tener un gran impacto operativo que perjudique la generación de ingresos. Este es el tipo de costo que puede esperar que una compañía de seguros asuma, o al menos comparta con usted.
