La pandemia de COVID-19 ha desencadenado un cambio en las prácticas laborales de las empresas en todo el mundo, los piratas informáticos están utilizando esta situación para su beneficio, especialmente los ataques de ransomware han aumentado un 72%, por lo que es solo cuestión de tiempo para enfrentar un ataque de ransomware, en tal caso es imperativo estar preparado y saber cómo proceder.
¿Que es Ransomware?
Se le conoce como “Secuestro de Datos”, es un tipo de software malicioso que impide el acceso a información critica de la empresa en donde los ciberdelincuentes solicitan un soborno para proporcionar el código de acceso o de lo contrario harán publica la información de la empresa en Internet.
¿Es mi empresa un blanco de Ransomware?
Las PYMES se han convertido en un blanco atractivo de ransomwere por el nivel de vulnerabilidad de estas empresas y la evolución de este software malicioso que se comercializa de manera masiva en un modelo de SaaS (Software como Servicio) en campañas automáticas, es decir se propaga en general sin un blanco especifico.
Recientemente un hospital fue atacado por este software malicioso y contribuyo al deceso de un paciente, cuando contactaron a los ciberdelincuentes para solicitar el código de acceso y se percataron que se trataba de un hospital los ciberdelincuentes proporcionaron la clave sin ningún pago, pero fue demasiado tarde para un paciente.
Muere paciente por ataque Ransomware
Ser víctima de un ataque de ransomware, perder archivos y experimentar tiempo de inactividad es perjudicial. Sin embargo, si se maneja mal las secuelas, el daño a la reputación podría ser duradero o incluso el final del negocio, ya que en muchos casos se pueden exponer datos críticos de clientes.
Utilizando las fases de “The Incident Handlers Handbook”, de Patrick Kral publicado por * SANS Institute, tenemos una buena referencia para definir como manejar un incidente de ransomware.
A continuación, encontrará algunos de los elementos a considerar en las diferentes fases para enfrentar un incidente de ataque cibernético tipo ransomware:
La fase de preparación es la fase más crucial en comparación con todas las demás, ya que determinará qué tan bien la empresa podrá responder en caso de una crisis. Por lo tanto, todos en una empresa deben saber qué procedimientos y como proceder para minimizar los riesgos y efectos negativos de un ataque de ransomware, lo más rápido posible.
La empresa debe de tener la capacidad de responder ¿Cómo se forma y se prepara a el personal? ¿Con qué herramientas y recursos están preparados para responder a un incidente de ransomware? ¿Cómo es la formación sobre conciencia de seguridad cibernética al personal? ¿Ha renovado su póliza de seguro en caso de ciberataques? ¿Ha realizado una evaluación y auditoria de vulnerabilidad / riesgo cibernético, por un tercero? ¿La empresa cuenta con respaldos verificados de la información critica?
La fase de preparación debe considerar prepararse para enfrentar los diferentes métodos de infección:
Esta fase se ocupa de la detección y determinación de un intento de ataque de ransomware en los sistemas y activos críticos de la organización. La empresa debe prepararse para identificar y detectar cualquier intento de ataque cibernético y definir;
¿Cómo reconocer y detectar un incidente de ransomware? ¿Cómo se puede identificar el tipo de ransomware, el vector de ataque, el grupo de ataque y la motivación real a través de la recopilación de datos y la realización de un análisis inicial?
Esta fase en particular requiere recopilar información de eventos de diversas fuentes, como archivos de registro, mensajes de error y otros recursos, como sistemas de detección de intrusos y cortafuegos, que pueden producir pruebas para determinar si un evento es un incidente.
La principal complicación en esta etapa es contar con el personal especialista en ciberseguridad que tenga la capacidad para analizar y evaluar la gran cantidad de información que se puede generar en esta etapa. Se requiere de un monitoreo continuo de 7×24 los 365 días del año ya que los cyberdelincuentes no descansan y se presentan en los días y horarios mas inesperados.
El objetivo principal de esta fase es limitar el ataque y evitar que se produzcan más daños. Con el ransomware, es imperativo que los sistemas infectados se contengan rápidamente para limitar la propagación. ¿Cómo evitará que el incidente se propague a redes compartidas y otros dispositivos conectados? Acciones a considerar:
Esta fase se ocupa de la eliminación de malware y otro contenido ilícito de los sistemas afectados y de garantizar que estén completamente limpios.
Se debe de contar con la capacidad de realizará un análisis forense de los datos para determinar la causa del incidente, eliminar el ransomware de los dispositivos infectados, parchear las vulnerabilidades y actualizar la protección contra ataques cibernéticos.
Es posible que el ransomware no sea el único malware en el sistema, solo el más evidente. Considere que el ataque detectado puede ser un pivote o una desviación, por lo tanto, incluya análisis forenses más amplios y métodos para asignar atribuciones a fin de descubrir y responder a lo que podría ser una campaña más amplia.
El propósito de esta fase es devolver los sistemas afectados al entorno de producción con cuidado, para garantizar que no provoquen otro incidente.
Se debe de definir cómo volverá al funcionamiento normal. Es posible que la recuperación de imágenes o la restauración de una copia de seguridad no funcione si el ransomware permanece activo durante la última imagen o ciclo de copia de seguridad, o si parte del ataque de ransomware fue ver y destruir copias de seguridad.
En esta fase de recuperación por ataque de ransomware se debe considerar:
6. Fase posterior al incidente:
La fase más crítica después de todas las demás es la de “Lecciones Aprendidas”. El propósito de esta fase es completar cualquier documentación que no se haya realizado durante el incidente, así como cualquier documentación adicional que pueda ser beneficiosa en incidentes futuros.
Una vez resuelto el incidente, ¿qué puede aprender para evitar que vuelva a suceder en el futuro? ¿Cómo puedo minimizar el riesgo en el futuro?
Como reponder a un ataque Ransomware Conoce como enfrentar un ataque cibernético del tipo Ransomware, como las empresas se están preparando para responder a este
Ciberseguridad 3 Elementos Indispensables Hay empresas que piensan que NO serán blancos y objetivos de cibercriminiales y NO recibirán ataques cibernéticos. Sin embargo, eso también
Teletrabajo -Trabajo de Oficina en Casa ¿Por qué es importante una política de teletrabajo? Como todas las políticas y procedimientos de la empresa, definen las
El objetivo de este artículo es proporcionar información para entender la complejidad de enfrentar un incidente de ransomware y las áreas para manejar y administrar el entorno de riesgo real. Tenga en cuenta que los temas mencionados NO son limitativos y varían de acuerdo al tipo de empresa y nivel de riesgos, se recomienda el asesoramiento de un equipo de expertos en ciberseguridad y gestión de riesgos.
Comparte con tus colegas y amigos.
