¿Qué pasos se deben seguir durante un ataque de "ransomware"?
Los ataques de "ransomware" son cada vez más frecuentes, y han aumentado, transformándose y evolucionando a lo largo del tiempo. Según un reciente informe del panorama global de amenazas del laboratorio de inteligencia de amenazas de la empresa de seguridad informática Fortinet, FortiGuard Labs, los ataques de ransomware se multiplicaron por siete en la última mitad de 2020 y se volvieron aún más efectivos al atacar a casi todos los sectores y en todo el mundo.
Las tácticas de los cibercriminales cambian y ya no basta con tener las estrategias defensivas adecuadas. Es necesaria una evaluación en forma continua de las políticas de seguridad para garantizar que las redes tengan respuestas actualizadas frente a este tipo de ataques. Desde Fortinet compartieron con iProfesional una lista de verificación para ayudar a las organizaciones a lidiar con un ataque de ransomware cuando éste ocurre:
No entrés en pánico, ejecutá un plan de respuesta
Mantené la calma y comenzó a ejecutar tu plan de respuesta a incidentes (IR), si lo tenés. Si no tenés un plan de respuesta a incidentes, los pasos que se indican a continuación pueden ayudarte.
Solicitá ayuda a tu proveedor de seguridad o buscá el asesoramiento de expertos. Muchas organizaciones utilizan servicios de respuesta a incidente. Considerá el impacto potencial que puede tener el incidente de seguridad.
Aíslá tus sistemas y detené la propagación
Existen técnicas para que puedas ejecutar la aislación de la amenaza y evitar que se propague. En primer lugar, identificá el alcance del ataque. Si ya sabés que el incidente se ha extendido, aplicá bloqueos a nivel de red como el aislamiento del tráfico en el conmutador o en el borde del "firewall" o considerá la posibilidad de interrumpir temporalmente la conexión a Internet.
La tecnología de detección y respuesta para endpoint (EDR, por sus siglas en inglés) tiene capacidad para bloquear el ataque a nivel de proceso. Esta sería la mejor opción inmediata con una interrupción mínima del negocio.
La mayoría de los atacantes de ransomware encuentran una vulnerabilidad para entrar en tu organización como un RDP expuesto, correos electrónicos de suplantación de identidad u otro método que los atacantes utilizan para introducirse en su entorno.
Identificá la variante de ransomware
Muchas de las tácticas, técnicas y procedimientos (TTP) de cada variante de ransomware están documentadas y son públicas. Determinar la cepa del ataque puede dar pistas sobre la ubicación de la amenaza y cómo se propaga. Según la variante, existen herramientas de descifrado que pueden estar disponibles para descifrar los archivos.
Identificá el acceso inicial
Determinar el punto de acceso inicial, o paciente cero, ayudará a identificar y cerrar el agujero en tu seguridad. Los vectores de acceso inicial más comunes son el "phishing", los "exploits" en tus servicios de borde (por ejemplo, los servicios de escritorio remoto) y el uso no autorizado de credenciales. Encontrar el punto de acceso inicial es a veces difícil y quizás debas requerir la experiencia de equipos forenses digitales y expertos en IR.
Identificá todos los sistemas y cuentas infectadas
Identificá cualquier malware activo o restos persistentes en los sistemas que aún se comunican con el servidor de comando y control (C2). Las técnicas de persistencia más comunes so-n la creación de procesos nuevos que ejecutan la carga útil maliciosa, el uso de claves de registro de ejecución o la creación de nuevas tareas programadas.
Localizá tus copias de seguridad y determiná su integridad
Un ataque de ransomware intentará borrar tus copias de seguridad para disminuir las posibilidades de recuperación de los datos. Por ello, aseguráte de que tu tecnología de copias de seguridad no se ha visto afectada por el incidente y sigue siendo operativa.
En muchos ataques de ransomware, los atacantes suelen haber estado en tu red durante días, hasta semanas, antes de decidirse a cifrar tus archivos. Esto significa que podés tener copias de seguridad que contengan cargas útiles maliciosas que no quieras restaurar en un sistema limpio. Analizá sus copias de seguridad para determinar su integridad.
Saneá los sistemas o creá nuevas construcciones
Si confiás en tu capacidad para identificar todo el malware activo y los incidentes de persistencia en tus sistemas, entonces podés ahorrar algo de tiempo al no reconstruir. Sin embargo, puede ser más segura y fácil la creación de sistemas nuevos y limpios. Incluso podés considerar la posibilidad de crear un entorno limpio completamente separado al que puedas migrar.
Esto no debería llevar demasiado tiempo si estás ejecutando un entorno virtual. Cuando reconstruyas o sanees tu red, aseguráte de que se han instalado los controles de seguridad adecuados y que se siguen las mejores prácticas para garantizar que los dispositivos no se vuelvan a infectar.
Informá el incidente
Es importante informar del incidente. También debés determinar si es necesario y obligatorio informar a las fuerzas de seguridad. Tu equipo legal puede ayudar a abordar cualquier obligación legal en torno a los datos regulados.
Si el ataque es grave y tu empresa se extiende por varias regiones geográficas, es posible que tengas que ponerte en contacto con los servicios policiales nacionales en lugar de una agencia policial local o regional.
¿Pagar el rescate?
Las fuerzas de seguridad aconsejan no pagar el rescate. Sin embargo, si lo estás considerando, deberías contratar a una empresa de seguridad con conocimientos especializados para que te ayude.
Además, pagar el rescate no va a remediar las vulnerabilidades que los atacantes explotaron, así que aseguráte de haber identificado el acceso inicial y parchear las vulnerabilidades.
Realizá una revisión posterior al incidente
Revisá tu respuesta a los incidentes para comprender lo que ha ido bien y para documentar las oportunidades de mejora. Esto asegura la mejora continua de tus capacidades de respuesta y recuperación para el futuro.
Considerá la posibilidad de simular los detalles técnicos y no técnicos del ataque para poder revisar sus opciones. Cuando se produce un ataque de ransomware es esencial tomar las medidas adecuadas para minimizar el impacto en vos, tu equipo y tu organización.
Una vez que se produce un ataque, el pánico puede extenderse por la empresas y crear problemas mayores. Los encargados de seguridad saben que sobrevivir a un ataque de ransomware requiere un plan de respuesta a incidentes, pero el reto es el tiempo para documentar un plan completo y tener los recursos adecuados para implementarlo cuando sea necesario.