Como reponder a un ataque Ransomware

Conoce como enfrentar un ataque cibernético del tipo Ransomware, como las empresas se están preparando para responder a este tipo de ataque cibernético.

La pandemia de COVID-19 ha desencadenado un cambio en las prácticas laborales de las empresas en todo el mundo, los piratas informáticos están utilizando esta situación para su beneficio, especialmente los ataques de ransomware han aumentado un 72%, por lo que es solo cuestión de tiempo para enfrentar un ataque de ransomware, en tal caso es imperativo estar preparado y saber cómo proceder.

¿Que es Ransomware?

Se le conoce como “Secuestro de Datos”, es un tipo de software malicioso que impide el acceso a información critica de la empresa en donde los ciberdelincuentes solicitan un soborno para proporcionar el código de acceso o de lo contrario harán publica la información de la empresa en Internet.

¿Es mi empresa un blanco de Ransomware?

Las PYMES se han convertido en un blanco atractivo de ransomwere por el nivel de vulnerabilidad de estas empresas y la evolución de este software malicioso que se comercializa de manera masiva en un modelo de SaaS (Software como Servicio) en campañas automáticas, es decir se propaga en general sin un blanco especifico.

Recientemente un hospital fue atacado por este software malicioso y contribuyo al deceso de un paciente, cuando contactaron a los ciberdelincuentes para solicitar el código de acceso y se percataron que se trataba de un hospital los ciberdelincuentes proporcionaron la clave sin ningún pago, pero fue demasiado tarde para un paciente.

Muere paciente por ataque Ransomware

Ser víctima de un ataque de ransomware, perder archivos y experimentar tiempo de inactividad es perjudicial. Sin embargo, si se maneja mal las secuelas, el daño a la reputación podría ser duradero o incluso el final del negocio, ya que en muchos casos se pueden exponer datos críticos de clientes.

Utilizando las fases de “The Incident Handlers Handbook”, de Patrick Kral publicado por * SANS Institute, tenemos una buena referencia para definir como manejar un incidente de ransomware.

Nota*. SANS Institute es la fuente más confiable y, con mucho, la mayor fuente de capacitación en ciberseguridad del mundo.

A continuación, encontrará algunos de los elementos a considerar en las diferentes fases para enfrentar un incidente de ataque cibernético tipo ransomware:

  1. Fase de preparación:

La fase de preparación es la fase más crucial en comparación con todas las demás, ya que determinará qué tan bien la empresa podrá responder en caso de una crisis. Por lo tanto, todos en una empresa deben saber qué procedimientos y como proceder para minimizar los riesgos y efectos negativos de un ataque de ransomware, lo más rápido posible.

La empresa debe de tener la capacidad de responder ¿Cómo se forma y se prepara a el personal? ¿Con qué herramientas y recursos están preparados para responder a un incidente de ransomware? ¿Cómo es la formación sobre conciencia de seguridad cibernética al personal? ¿Ha renovado su póliza de seguro en caso de ciberataques? ¿Ha realizado una evaluación y auditoria de vulnerabilidad / riesgo cibernético, por un tercero? ¿La empresa cuenta con respaldos verificados de la información critica?

La fase de preparación debe considerar prepararse para enfrentar los diferentes métodos de infección:

  • Suplantación de identidad (Phising)
  • Sitios web comprometidos
  • Malvertising
  • Ingeniería Social
  • Descargas de archivos maliciosos
  • Aplicaciones de mensajería
  • Fuerza bruta a través de RDP
  1. Identificación:

Esta fase se ocupa de la detección y determinación de un intento de ataque de ransomware en los sistemas y activos críticos de la organización. La empresa debe prepararse para identificar y detectar cualquier intento de ataque cibernético y definir;

¿Cómo reconocer y detectar un incidente de ransomware? ¿Cómo se puede identificar el tipo de ransomware, el vector de ataque, el grupo de ataque y la motivación real a través de la recopilación de datos y la realización de un análisis inicial?

Esta fase en particular requiere recopilar información de eventos de diversas fuentes, como archivos de registro, mensajes de error y otros recursos, como sistemas de detección de intrusos y cortafuegos, que pueden producir pruebas para determinar si un evento es un incidente.

La principal complicación en esta etapa es contar con el personal especialista en ciberseguridad que tenga la capacidad para analizar y evaluar la gran cantidad de información que se puede generar en esta etapa. Se requiere de un monitoreo continuo de 7×24 los 365 días del año ya que los cyberdelincuentes no descansan y se presentan en los días y horarios mas inesperados.

  1. Fase de contención:

El objetivo principal de esta fase es limitar el ataque y evitar que se produzcan más daños. Con el ransomware, es imperativo que los sistemas infectados se contengan rápidamente para limitar la propagación. ¿Cómo evitará que el incidente se propague a redes compartidas y otros dispositivos conectados? Acciones a considerar:

  • Apagando la red
  • Apagado del puerto de sistemas en el switch o router
  • Utilizando NOC de control de acceso a la red para aislar el sistema
  • Implementación de la función de cuarentena de su solución EDR
  • Apoyo de expertos en ciberseguridad.
  1. Fase de erradicación:

Esta fase se ocupa de la eliminación de malware y otro contenido ilícito de los sistemas afectados y de garantizar que estén completamente limpios.

Se debe de contar con la capacidad de realizará un análisis forense de los datos para determinar la causa del incidente, eliminar el ransomware de los dispositivos infectados, parchear las vulnerabilidades y actualizar la protección contra ataques cibernéticos.

Es posible que el ransomware no sea el único malware en el sistema, solo el más evidente. Considere que el ataque detectado puede ser un pivote o una desviación, por lo tanto, incluya análisis forenses más amplios y métodos para asignar atribuciones a fin de descubrir y responder a lo que podría ser una campaña más amplia.

  1. Fase de recuperación:

El propósito de esta fase es devolver los sistemas afectados al entorno de producción con cuidado, para garantizar que no provoquen otro incidente.

Se debe de definir cómo volverá al funcionamiento normal. Es posible que la recuperación de imágenes o la restauración de una copia de seguridad no funcione si el ransomware permanece activo durante la última imagen o ciclo de copia de seguridad, o si parte del ataque de ransomware fue ver y destruir copias de seguridad.

En esta fase de recuperación por ataque de ransomware se debe considerar:

  • Cómo identificar y cifrar mediante comunicaciones
  • Cómo reconstruir rápida y fácilmente los dispositivos y servidores afectados
  • Si el pago de rescate es una opción. ¿La empresa tiene la capacidad de pagar con una cuenta de acceso a bitcoins, o quizás necesite el apoyo de un intermediario? 

6. Fase posterior al incidente:

La fase más crítica después de todas las demás es la de “Lecciones Aprendidas”. El propósito de esta fase es completar cualquier documentación que no se haya realizado durante el incidente, así como cualquier documentación adicional que pueda ser beneficiosa en incidentes futuros.

Una vez resuelto el incidente, ¿qué puede aprender para evitar que vuelva a suceder en el futuro? ¿Cómo puedo minimizar el riesgo en el futuro?

  • ¿Cómo contar con los recursos y apoyo necesario en caso de enfrentar nuevos ataques cibernéticos?
  • ¿Cómo documentará el incidente? Detallar mejoras a los planes de Respuesta a Incidentes, controles de seguridad adicionales, medidas preventivas o nuevas iniciativas de seguridad.
  • ¿Cómo puede monitorear para detener la repetición de actuaciones o otras actividades conectadas? ¿Qué indicadores de compromiso necesita recopilar y cómo los usa en cualquier tecnología de monitoreo?
  • ¿Cómo puede mejorar y actualizar las fuentes de información sobre amenazas de la organización?
  • ¿Cómo comprenderá y cuantificará el impacto financiero en la organización, en términos de horas hombre, tiempo de inactividad comercial, multas reglamentarias y posiblemente rescates pagados?

Teletrabajo

Teletrabajo -Trabajo de Oficina en Casa ¿Por qué es importante una política de teletrabajo? Como todas las políticas y procedimientos de la empresa, definen las

Leer Mas »

El objetivo de este artículo es proporcionar información para entender la complejidad de enfrentar un incidente de ransomware y las áreas para manejar y administrar el entorno de riesgo real. Tenga en cuenta que los temas mencionados NO son limitativos y varían de acuerdo al tipo de empresa y nivel de riesgos, se recomienda el asesoramiento de un equipo de expertos en ciberseguridad y gestión de riesgos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comparte con tus colegas y amigos.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
certified badge
certified badge
Copyright 2021 © All rights Reserved. Design by Elementor