ransomware
Seguro que ya has leído nuestros miles de artículos sobre cómo proteger tu red de todas las amenazas habidas y por haber. Pero a veces, y a pesar de todas las precauciones, se produce una infección. Este es el momento para actuar con determinación, rapidez y raciocinio. Con tu respuesta, el incidente podría ser un tremendo dolor de cabeza para la empresa o un punto a tu favor.
A medida que avanzas por el proceso de recuperación, no te olvides de documentar todas tus acciones, lo que favorecerá la transparencia tanto para los empleados como para el público en general. Y, sobre todo, no te olvides de hacer todo lo posible por guardar pruebas del ransomware, ya que, en el futuro, esto te ayudará a localizar otras herramientas maliciosas que tengan tu sistema en el punto de mira. Esto implicará guardar los registros y otros rastros de malware que podrían ser útiles para otras investigaciones.
Primera parte: Localizar y aislar
El primer paso es determinar hasta dónde ha llegado la intrusión. ¿El malware se ha expandido por toda la red? ¿A más de una oficina?
Busca primero los ordenadores y segmentos de red infectados en la infraestructura corporativa y aíslalos de inmediato del resto de la red, con el objetivo de contener la contaminación.
Si no hay muchos ordenadores en la empresa, comienza con el antivirus, el EDR y los registros del firewall. En entornos muy reducidos, también está la opción de llevar a cabo una revisión máquina por máquina físicamente.
Si hay muchos ordenadores, lo mejor es analizar los eventos y los registros en el sistema SIEM. Esto no eliminará el trabajo de campo, pero es un buen inicio para plantearte el panorama completo.
Después de aislar las máquinas infectadas de la red, crea imágenes de disco de estas y, si es posible, apártalas hasta terminar la investigación. (Si la empresa no puede costear el tiempo muerto de estos ordenadores, crea las imágenes igualmente y guarda el volcado de memoria para la investigación).
Segunda parte: Analizar y actuar
Una vez que hayas hecho la comprobación correspondiente, te encontrarás ante una lista de máquinas con discos llenos de archivos cifrados, además de las imágenes de estos discos. Todos están desconectados de la red, por lo que ya no son una amenaza. Podrías iniciar el proceso de recuperación de inmediato, pero primero garantiza la seguridad del resto de la red.
Ha llegado el momento de analizar el ransomware, de averiguar cómo ha entrado y qué grupos lo utilizan normalmente, es decir, iniciar el proceso de caza de la amenaza. El ransomware no aparece así de la nada; un dropper, una RAT, un cargador de troyanos o algo de su misma calaña debe haberlo instalado. Tienes que buscarlo y erradicarlo.
Para ello, haz una investigación interna. Busca en los registros para determinar qué ordenador se infectó primero y por qué no pudo detener el ataque.
Con ayuda de tus resultados, elimina el malware escurridizo que avanza por la red y, si es posible, reinicia las operaciones de la empresa. Después, averigua qué lo hubiera detenido, es decir, qué faltaba en términos de software de seguridad y cubre todas esas fisuras.
Lo siguiente es alertar a los empleados sobre lo sucedido, dándoles instrucciones preliminares para detectar y evitar dichas trampas y organizando posteriormente formaciones en sensibilización sobre la materia de ciberseguridad.
Por último, y en adelante, instala las actualizaciones y parches oportunos. La gestión de las actualizaciones y parches es una prioridad crítica de los administradores informáticas, ya que, con frecuencia, el malware se filtra a través de vulnerabilidades para las que ya existen parches.
Tercera parte: Limpiar y restaurar
Hasta ahora, ya te has encargado de la amenaza a la red y de la fisura por la que entró. Ha llegado el momento de centrarse en los ordenadores que están fuera de servicio. Si ya no son necesarios para la investigación, formatea los discos duros y restaura los datos desde la copia de seguridad limpia más reciente.
En caso de que no tengas una copia de seguridad, tendrás que tratar de descifrar lo que haya en los discos. Entra en el sitio web de Kaspersky No Ransom donde es posible que ya exista un descifrador para el ransomware que te ha atacado; si no existe, comunícate con tu proveedor de ciberseguridad para recibir asistencia. En cualquier caso, no elimines los archivos cifrados. Con cierta frecuencia aparecen descifradores nuevos, por lo que tal vez mañana haya uno; no sería la primera vez.
En ninguna circunstancia pagues. Estarías patrocinando la actividad delictiva y, aún así, no te garantiza que acabes descifrando tu información. Además de bloquear tus datos, es posible que los atacantes del ransomware los roben para fines de chantaje. Además, pagar a ciberdelincuentes codiciosos solo los anima a pedir más. En algunos casos, apenas unos meses después de recibir el pago, los intrusos regresaron para pedir más dinero bajo la amenaza de publicar todo si no recibían un nuevo pago.
En general, considera todo dato robado como de conocimiento público y prepárate para enfrentarte a la filtración. Tarde o temprano tendrás que hablar sobre el incidente: con los empleados, los grupos de interés, agencias gubernamentales y, posiblemente, con periodistas. Una actitud abierta y honesta es de vital importancia y de buena acogida por el público.
Cuarta parte: Tomar medidas preventivas
Un ciberincidente importante siempre da lugar a graves problemas y la mejor protección es la prevención. Prepárate por adelantado para lo que podría salir mal:
- Instala una protección de confianza en todos los endpoints de la red (incluidos los smartphones).
- Segmenta la red e instala firewalls bien configurados o, mejor aún, utiliza un firewall de siguiente generación (NGFW) o un producto similar que reciba datos de forma automática sobre las nuevas amenazas.
- Ve más allá del antivirus y busca herramientas potentes para la caza de amenazas.
- Implementa un sistema SIEM (para grandes empresas) que emita alertas inmediatas.
- Forma a los empleados en ciberseguridad mediante sesiones interactivas periódicas.
