Los ataques de ransomware han aumentado últimamente. «¿Por qué no puedo abrir ese documento? Mi ordenador va cada vez más lento; necesito ayuda». Todo comienza con esto, y luego se recibe una llamada de su equipo de TI diciéndole las palabras que esperaba no escuchar: «¡Hemos sido atacados, señor!» ¡Básicamente, estas son algunas señales que muestran que puede ser víctima de un ataque de ransomware! La buena noticia es que se encuentra en un lugar seguro donde aprenderá paso a paso lo que debe hacer después de un ciberataque.
«¿Qué hago ahora?», se preguntará. Primero, no entre en pánico porque su respuesta al ataque puede marcar la diferencia. En cambio, intente tomar algunas medidas iniciales que pueden ayudarle a proteger sus datos.
¿Qué debe saber sobre el ransomware?
En pocas palabras, el ransomware suele propagarse a través de correos electrónicos de phishing o spam. Aunque se puede recibir el ransomware al entrar en sitios web o al descargar diferentes archivos. Una vez instalado, el ransomware mantiene los archivos de la organización bloqueados, utilizando un fuerte cifrado hasta que la organización paga un rescate para restaurarlos.
¿Cuáles son los pasos de un típico ataque de ransomware?
- Infección: tras llegar al sistema a través de un archivo adjunto de correo electrónico, un correo de phishing, una aplicación infectada u otro método mencionado, el ransomware se instala en el punto final y en cualquier dispositivo de red al que pueda acceder.
- Intercambio seguro de claves: el siguiente paso se produce cuando el ransomware se pone en contacto con el servidor de mando y control operado por los atacantes para generar claves de cifrado que se utilizarán en el sistema local.
- Cifrado: el software malicioso comienza a cifrar todos los archivos que encuentra en los dispositivos locales y en la red.
- Extorsión: una vez completado el trabajo de cifrado, el ransomware mostrará las instrucciones para la extorsión y el pago del rescate y amenazará con destruir los datos si no se paga.
- Desbloqueo– las organizaciones pueden pagar el rescate y esperar que los ciberdelincuentes descifren realmente los archivos afectados, o pueden intentar recuperarlos borrando los archivos y sistemas infectados de la red y restaurando los datos desde una copia de seguridad limpia. Por desgracia, las negociaciones con los ciberdelincuentes suelen resultar en un fracaso, ya que un informe reciente reveló que el 42% de los archivos de las organizaciones que pagaron el rescate no fueron descifrados.
Ahora que ya sabemos lo que ocurre durante el ataque, ¡vamos a ver qué podemos hacer a continuación!
¿Qué hacer a continuación?
Infectarse con un ransomware es algo muy malo que le puede pasar. Por suerte, hay algunas medidas que se pueden tomar para minimizar la propagación y remediar algunos de los daños.
1. Aislar la infección
- Evite que la infección se propague a sus otros archivos desconectando el ordenador de la red (tanto por cable como por Wi-Fi) y aísle el disco duro.
2. Identificar la infección
- Desde herramientas de identificación, pruebas en el ordenador y mensajes. Pero, en primer lugar, se debe determinar la cepa de malware con la que se enfrenta.
- Principalmente se puede reconocer cuando se pide un rescate. Numerosos sitios específicos permiten identificar el ransomware (por ejemplo, ID Ransomware).
- Identificarlo le ayudará a entender el tipo de ransomware que tiene, cómo se propaga, los tipos de archivos que cifra y sus opciones de eliminación y desinfección. También le permitirá denunciar los ataques a las autoridades, lo cual es recomendable.
3. Informar a las autoridades
Utilizando la cámara de su teléfono, realice una fotografía del mensaje de rescate que aparece en la pantalla. A continuación, puede presentar una denuncia ante el FBI en el Centro de Denuncias de Delitos en Internet.
4. Determinar sus opciones
Sus opciones a la hora de ser víctima de un ataque son las siguientes:
- intentar eliminar el malware
- pagar el rescate
- limpiar los dispositivos y volver a instalarlos desde cero
Pagar el rescate suele considerarse una mala idea porque fomenta la aparición de más ransomware y, en muchos casos, el desbloqueo de los archivos cifrados no tiene éxito. Incluso si se decide a pagar, es muy posible que no se recuperen los datos. Eso le deja otras dos opciones: eliminar el malware y restaurar selectivamente su sistema o borrar todo e instalar desde cero.
5. Copias de seguridad
Aunque las copias de seguridad juegan un papel crucial en la reparación, es importante entender que no son inmunes al ransomware. Gran parte del software malicioso moderno se dirige específicamente a las copias de seguridad de una empresa e intenta cifrarlas, anularlas o eliminarlas. En ese caso, debe asegurar sus copias de seguridad desconectando el almacenamiento de copias de seguridad de la red o bloqueando el acceso a los sistemas de copia de seguridad hasta que se solucione la infección.
6. Identificar la fuente
- Después de desconectar los dispositivos infectados, encuentre el origen investigando su red.
- Si su empresa es grande, puede parecerle un poco difícil encontrar el «paciente cero». Por lo tanto, tendrá que acudir a sus empleados para averiguar quién fue el primer objetivo del ataque. Intenta averiguar si han pulsado un enlace en un correo electrónico que ha provocado la irrupción del ransomware o si han notado avisos inusuales en sus navegadores.
- También tendrá que determinar qué permisos necesitamos para modificar los archivos y quién tiene esos permisos.
- Una vez encontrado el paciente cero, se podría limitar la infección actuando rápidamente. Sin embargo, hay que tener en cuenta que la mayoría de las infecciones no se notan hasta que se ha completado toda la operación.
7. Desencriptar los archivos
- Dependiendo de la ética del atacante, puede recibir una herramienta para desencriptar los archivos una vez que se pague el rescate. Por lo tanto, hay que utilizar el software proporcionado por el atacante para descifrar los archivos.
8. Restaurar o empezar de cero
- Es discutible si se puede eliminar con éxito y por completo una infección. No existe un desencriptador que funcione para todos los ransomware conocidos. Por lo tanto, cuanto más nuevo sea el software malicioso, más sofisticado será, y menos tiempo habrán tenido los expertos para desarrollar un descifrador.
- La forma más segura de estar seguro de que el ransomware ha sido eliminado del sistema es hacer una limpieza completa de todos los dispositivos de almacenamiento y reinstalar todo desde cero. Además, al formatear los discos duros de su sistema evitará que queden fragmentos de malware.
Reflexiones finales
Ahora está claro que la mejor manera de responder a un ataque de ransomware es evitar tenerlo en primer lugar. ¿Y cómo se hace eso? Sólo dos acciones esenciales:
- Formar a sus empleados para que tengan cuidado
- Asegurarse de tener buenas copias de seguridad
Llegados a este punto, es importante saber cómo reaccionar ante un ataque de ransomware para proteger su negocio.
ATRIBUCIÓN: