Guía de actuación ante un ataque ransomware
28/12/2021
Los ataques por virus ransomware se han convertido en un evento que no por ser indeseado deja de ser preocupante y común en la actualidad.
Los expertos en ciberseguridad estiman que para el año 2025, el 75% de las organizaciones se habrán enfrentado a uno o más ataques de este tipo, con una media de gasto de 1,63 millones de euros en costes de recuperarse del incidente, junto con daños potencialmente graves como la interrupción de los servicios esenciales.
Los ataques de tipo ransomware se han extendido más allá de los intentos de cifrar los datos y dejar los sistemas inutilizables, y ahora los delincuentes están también amenazando con publicar información obtenida en los ataques, vender las credenciales comprometidas o eliminar definitivamente los datos de una organización al completo.
Además, el pago del rescate tampoco garantiza poder recuperar de modo seguro o completo la información cifrada. De hecho, también hay casos en los que, tras pagar el rescate, el delincuente desaparece y no proporciona ninguna solución a las víctimas.
Como una de las empresas líderes en España en el ámbito de la recuperación de datos y la ciberseguridad, desde RecuperaData publicamos esta guía de DXC con las mejores prácticas para ayudar a las organizaciones a coordinar su respuesta a un ataque y tomar las decisiones estratégicas oportunas en todas las fases.
Ante un ataque ransomware, deben llevarse a cabo cinco fases:
- Interrumpir y detener al enemigo.
- Entender al adversario.
- Eliminar la presencia del enemigo.
- Recuperarse del ataque y evitar volver a verse comprometidos.
- Realizar acciones necesarias posteriores al incidente.
Pasemos a desarrollar cada una de las fases de actuación ante un ataque ransomware:
- Interrumpir y detener al enemigo:
- Asegurar los elementos más importantes y los sistemas cruciales (los sistemas y servicios prioritarios).
- Bloquear el tráfico de la red.
- Aislar segmentos de red.
- Bloquear dominios y correos electrónicos maliciosos/sospechosos.
- Restablecer contraseñas y reducir la cantidad de cuentas con privilegios. Incluso restringir las cuentas con privilegios elevados si es necesario.
- Aislar hosts comprometidos conocidos.
- ¿Dónde empezó el incidente?
- ¿Quién detectó el incidente y cómo?
- ¿Qué sistemas, usuarios y servicios se han visto afectados?
- Priorizar las actividades de recuperación en función del impacto comercial, con atención especial a los servicios cruciales y las estancias o habitáculos relacionados con otros servicios e infraestructuras.
- ¿Están en riesgo la salud o la vida de las personas? ¿Se ha mitigado la amenaza?
- Ya se han aplicado contramedidas? Si es así, ¿qué medidas se tomaron? ¿Cuándo y donde?
- Se pueden separar los elementos del sistema, como las reglas de bloqueo en enrutadores y cortafuegos y la extracción de cables de red virtual?
- ¿Están separados los sistemas de IT (tecnología de la información) y OT (tecnología operativa, hardware y software)? Si no es así, ¿se puede hacer? ¿Cuáles son las estancias entre ellos?
- ¿Sigue funcionando el acceso remoto?
- ¿Se ha observado alguna actividad sospechosa como la actividad de alguna cuenta asociada con identidades privilegiadas o restablecimientos de contraseña?
- ¿Están disponibles los archivos de registro de sistemas sospechosos?
- MUY IMPORTANTE: ¿están las copias de seguridad seguras, aisladas, accesibles y/o son recuperables?
- Entender al adversario:
- Contratar un análisis forense de los sistemas, cuentas, servicios, archivos, almacenamiento, memoria, canales comprometidos, análisis de tipos de malware, ingeniería inversa, etc.
- En algunos casos puede ser interesante contratar un servicio especializado de recuperación de datos ya que, dependiendo del caso, en ocasiones este tipo de empresas son capaces de recuperar la información.
- Análisis del malware, un ejercicio complejo y difícil por los intentos de los actores de amenazas de ocultar su persistencia y cifrar las cargas útiles maliciosas.
- Recopilar rastros y definir contramedidas y herramientas de contención como implantar un firewall seguro, configuraciones de seguridad, un buen antivirus, actualizaciones de software, desactivación de componentes, etc.
- Eliminar la presencia del enemigo:
- Definir cuáles son los servicios esenciales que deben volver a funcionar lo antes posible.
- Ejecutar todas las actividades defensivas indicadas en el punto anterior.
- Si se cuenta con un "ciberseguro" que ofrezca cobertura ante este tipo de eventos, hay que asegurarse de cumplir con los requisitos de las aseguradoras para la documentación y ejecución de las actividades de respuesta a incidentes.
- Recuperarse del ataque y evitar volver a verse comprometidos:
- Reconstruya y limpie el software y los componentes adyacentes al hardware como BIOS, controladores, etc. Asegúrese de tener una biblioteca de software de confianza y hashes de software verificados.
- Reconstruya y limpie la memoria, el Sistema Operativo y el registro. Asegúrese de haber escaneado el Servidor con un antivirus y/o una herramienta de detección y respuesta de endpoints que pueda detectar el malware encontrado durante el análisis.
- Refuerce el Servidor siguiendo las recomendaciones de sus proveedores.
- Realice la limpieza de credenciales siguiendo las prácticas recomendadas: para las cuentas de servicio, permita "iniciar sesión como servicio" e "iniciar sesión como un trabajo por lotes". Deniegue el "inicio de sesión local" y el "inicio de sesión a través de servicios de escritorio remoto" y asegúrese de que no se les permita el inicio de sesión interactivo.
- Defina un cliente de administración seguro (cliente de administración seguro) que pueda acceder en exclusiva a los sistemas de alta seguridad.
- Buen antivirus en su última versión.
- Agente y herramientas de respuesta y detección de endpoints instalados.
- Nivel de parcheo y parches más recientes instalados.
- Restablecimiento de cuentas privilegiadas.
- Resultados negativos de análisis de respuesta y detección de puntos finales y antivirus.
- ¿Cuánta memoria se requiere?
- ¿Deberían usarse las mismas direcciones IP para los sistemas reconstruidos?
- ¿Qué sistemas adicionales se requieren?
- ¿Qué servicios y equipos deben recuperarse primero para comenzar a reactivar la infraestructura?
- ¿Qué información entra y sale de los distintos equipos?
- ¿Cuáles son las dependencias entre sistemas, servicios y redes? (Busque y corrija dependencias circulares como "Active Directory requiere una base de datos y la base de datos requiere Active Directory").
- ¿El ancho de banda de la red es capaz de enviar imágenes grandes? Si no es así, ¿cómo se deben distribuir las imágenes? ¿Sabrán los destinatarios de las imágenes qué hacer con ellas?
- ¿Es suficiente el almacenamiento disponible?
- Realizar las acciones necesarias posteriores al incidente:
- Realice una revisión de madurez cibernética de todo el entorno de seguridad para identificar brechas y priorizar proyectos.
- Analizar y actualizar las prácticas de seguridad.
- Mejore las capacidades de generación de informes de seguridad operativa.
- Realice ejercicios de disrupción del adversario.
- Mejorar la planificación y ejecución de contención y remediación.
La prioridad debe ser garantizar que el ransomware no se propague por todos los sistemas de la empresa u organización.
Qué actividades de contención pueden llevarse a cabo para ello:
Al mismo tiempo, se deben reactivar los sistemas y servicios afectados, analizar cómo se vio comprometido el entorno y planificar y configurar mejoras que bloqueen la capacidad de los delincuentes para volver a comprometer los sistemas.
Para ello se debe responder a las siguientes cuestiones:
Las copias de seguridad deben estar offline y encriptadas, con acceso restringido, y las organizaciones deben realizar comprobaciones habitualmente para asegurarse de que sean recuperables en caso de un incidente.
Los principales objetivos del análisis forense son comprender cómo llegó el código malicioso al sistema y aislar los dispositivos afectados de la red lo más rápido posible para evitar el cifrado de las unidades de red y otros sistemas.
Los indicadores de compromiso recopilados durante este análisis ayudarán a los equipos a articular las contramedidas necesarias y priorizar su trabajo de solucionar en función de las tácticas, herramientas y procedimientos del actor de la amenaza y la amplitud del compromiso.
Por lo general, se requieren las siguientes actividades forenses:
Una vez que se ha contenido la amenaza inmediata y se ha detenido en gran medida el cifrado, comienza el trabajo de eliminar al adversario del entorno.
Si la organización se ha preparado previamente para una situación de crisis como un ataque de ransomware, podrá responder de forma significativamente más rápida y eficaz. Los pasos clave a seguir son:
Aplique buenos valores de configuración conocidos que se hayan definido para el incidente, como:
Durante todas estas actividades, es esencial monitorizar activamente las posibles actividades sospechosas y actualizar continuamente las herramientas con información de la investigación forense.
Otras cuestiones interesantes a tener en cuenta podrían ser las siguiente:
Las actividades posteriores al incidente deben incluir lo siguiente:
Considere realizar un análisis de impacto comercial y evaluaciones relacionadas para obtener una descripción general de las necesidades de su organización y luego priorizar los proyectos que producirán la mejora general.
También sería interesante reforzar los sistemas con:
- Auntentificación de doble factor: resulta de gran interés contar con una capa de seguridad extra en el proceso de inicio de sesión de las cuentas y servicios de Internet de la empresa haciendo que sea necesario verificar mediante 2 criterios diferentes la titularidad o permiso para acceder.
En RecuperaData, además de nuestro completo servicio profesional de recuperación de datos de todo tipo de soportes informáticos, podemos facilitar todo lo anterior a aquellos clientes que lo necesiten ☺️.
Os recordamos que ante una pérdida de datos de cualquier tipo de dispositivo informático (disco duro, RAID, NAS, disco SSD, tarjeta de memoria, pendrive, SSD M.2, smartphone, etc.) y provocada por cualquier motivo, siempre podéis poneros en contacto con nosotros con total tranquilidad y sin compromiso:
- Telefónicamente en el 944 467 254 de lunes a viernes en horario de 9 a 17h.
- Rellenando cualquiera de los formularios de contacto de esta web.
- Os aconsejaremos sobre cómo proceder y os informaremos de la mejor opción para vuestro caso.
#ciberseguridad #recuperardatos #recuperacióndedatos #RecuperaData
Ver otras Noticias de Ciberseguridad