Zero Gravity: Chris Childerhose habla de tecnología con el Ootbi VSA | Únete a nosotros >>
Cómo comprarSolicitar una demo
Negocios

Historias de terror de

| 7 min to read

Durante mi tiempo trabajando en las trincheras de la Protección de Datos, me encontré con ransomware numerosas veces. Estas fueron verdaderas historias de horror donde los propietarios de negocios estaban al borde de la quiebra o la pérdida total de reputación. Lo siguiente es una breve colección de pensamientos y descripciones de mi historia de horror sobre ataques de ransomware.

Al principio, había una simple restauración

Nunca olvidaré la primera vez que recibí una llamada después de que un cliente había sido golpeado por un extraño nuevo virus que había encriptado todos sus archivos. Habían intentado todo, pero no pudieron averiguar cómo hacer que su negocio volviera a funcionar. Esa experiencia fue difícil, pero una rápida restauración completa desde la última copia de seguridad hizo el truco, y todos estaban felices.

Desafortunadamente, esto no iba a desaparecer, y no pasó mucho tiempo antes de que llegara la siguiente llamada unas semanas después. Esta era una historia de horror que iba a ser continua y en constante evolución.

Aumentando la apuesta

No pasó mucho tiempo antes de que los creadores de ransomware se dieran cuenta de que las copias de seguridad estaban obstaculizando sus esfuerzos de extorsión y, por lo tanto, debían ser neutralizadas.

La monótona cadena de llamadas de ransomware ordinarias terminó abruptamente cuando, un día, el cliente anunció que sus copias de seguridad también habían sido encriptadas. Los actores maliciosos habían encriptado el servidor de copias de seguridad y el repositorio NTFS ubicado en el disco local del servidor de copias de seguridad. Esta era una configuración típica en muchas organizaciones pequeñas y medianas. Afortunadamente, el cliente también tenía trabajos de copia de seguridad en cinta, y pudimos restaurar una copia de seguridad algo más antigua pero, no obstante, buena. Se hizo cada vez más evidente que cuando se trataba de protección contra ransomware, más copias de seguridad eran definitivamente mejores.

Ellos evolucionan, nosotros evolucionamos

Después de ese incidente, comenzamos a decirles a nuestros clientes que eliminaran el servidor VBR del dominio de producción y que tuvieran copias de seguridad fuera del sitio o copias de seguridad fuera de línea. En el pasado, habíamos pensado en las copias de seguridad fuera del sitio principalmente desde el punto de vista de desastres, en otras palabras, problemas físicos potenciales en el centro de datos local, pero con la llegada del ransomware, la importancia de mantener una copia adicional fuera del sitio se volvió esencial.

Sin embargo, no pasó mucho tiempo antes de que tuviéramos nuestro primer caso de copias de seguridad en la nube eliminadas. Las pandillas de ransomware habían descubierto cómo eliminar los trabajos de copia de seguridad de Cloud Connect una vez que habían tomado el control del servidor VBR. En respuesta a esto y a las amenazas internas, Veeam agregó protección contra amenazas internas, que movería cualquier copia de seguridad eliminada a una papelera de reciclaje oculta. Sin embargo, los astutos delincuentes pudieron, en algunos casos, reducir la retención de copias de seguridad y encriptar las últimas copias de seguridad, lo que afectó este mecanismo defensivo. ¡Tenía que haber algo más!

Entra la Inmutabilidad

El sistema de archivos de Linux ha soportado el bit inmutable durante bastante tiempo. Sin embargo, esto solo se combinó relativamente recientemente con las copias de seguridad de Veeam para crear copias de seguridad sólidas e inamovibles.

Ahora, incluso si el actor malicioso tomaba el control del servidor VBR, aún no podría eliminar las copias de seguridad.

Agregar inmutabilidad, pensamos que era la solución, ¡el ajo para nuestros vampiros de ransomware!

¡Halloween todos los días!

Lamentablemente, las historias de horror no terminaron ahí. Desafortunadamente, nuestros espeluznantes enemigos idearon nuevos métodos para socavar las defensas de protección de datos. Al colocar ransomware inactivo en los sistemas atacados, podían infectar las copias de seguridad de modo que, incluso si no podían eliminar estas últimas, simplemente volverían a infectar a la víctima poco después de que se hubieran completado todas las restauraciones. Este fue quizás uno de los escenarios más aterradores y peores, ya que las montañas rusas emocionales de tener que realizar múltiples sesiones de restauración durante numerosos días seguidos desgastarían significativamente a los equipos de TI. Restaurarían sus sistemas solo para encontrarlos re-infectados nuevamente poco después. Se libraron intensas batallas utilizando métodos de detección de ransomware y antivirus, lo que resultó en más tiempo de inactividad y estrés para los clientes afectados.

Cuando se trata de ransomware, Halloween no llega una vez al año, sino que es una amenaza diaria y repetitiva. La forma de truco o trato de las pandillas de ransomware es simplemente demasiado lucrativa para que se rindan, y con cada nueva defensa, intentan encontrar algún tipo de laguna para continuar en sus caminos malvados pero altamente rentables.

¡La única solución es ahuyentar a los fantasmas!

ZTDR, o Zerto Trust Data Resilience, es la nueva estrategia de Veeam para asustar a los demonios del ransomware. Sus principios incluyen asumir la violación, segmentar el almacenamiento de copias de seguridad lejos de los otros componentes de la configuración de Protección de Datos, probar las copias de seguridad en busca de infecciones aprovechando el escaneo en línea y las reglas de Yara, y, por supuesto, asegurarse de que todas sus copias de seguridad sean inmutables.

Si no quiere entrar en el cementerio de ransomware de datos comerciales encriptados, entonces asegúrese de seguir ZTDR 

Noticias del producto

Al enviar este formulario, confirmo que he leído y acepto la Política de Privacidad.

También te puede interesar