Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

Plan de Respuesta a Ransomware: Cómo Recuperarse Después del Ata

El ransomware no perdona a nadie. Las organizaciones medianas, escuelas, bibliotecas e incluso hospitales—todos sufren ataques de ransomware tan a menudo como una vez cada once segundos.

Las posibilidades de ser víctima de ransomware nunca son cero, independientemente de la postura de seguridad de una empresa. En otras palabras, no se trata de si ocurrirá, sino de cuándo ocurrirá el ataque.

La prevalencia del ransomware hace que sea vital para cada negocio tener un plan de respuesta sólido. Sin él, una infiltración exitosa causará inevitablemente estragos en toda la organización.

El siguiente artículo describe un plan de respuesta al ransomware que cada organización puede seguir tras un ataque de ransomware. Ha sido preparado y revisado por expertos de Object First, una empresa singularmente dedicada a detener el ransomware en seco.

¿Qué es un Plan de Respuesta al Ransomware?

Un plan de respuesta al ransomware es un conjunto de pasos que amortigua el impacto del ransomware. Instruye y recuerda a los administradores sobre lo que pueden y deben hacer para minimizar las consecuencias del ataque.

¿Por qué deberían tener un plan de respuesta al ransomware los administradores en primer lugar? Porque el ransomware siempre es repentino y devastador, dejando incluso a los expertos más consumados en un estado de pánico. Un buen plan proporciona un esquema para la emergencia y consuelo en el momento de necesidad.

El ransomware no es una sentencia de muerte — a pesar de todas las apariencias en contrario. Es más útil pensar en él como una inundación. La inacción solo permitirá que se propague, mientras que las contramedidas adecuadas pueden contenerlo y a veces incluso revertirlo.

Razones para Crear un Plan de Respuesta al Ransomware

La guía asume el peor de los escenarios, en el que el ransomware cifra las copias de seguridad. Esto no es poco probable. Los perpetradores han comprendido desde hace tiempo que las copias de seguridad hacen que sus esfuerzos criminales sean inútiles, por lo que cada vez las atacan más.

Este plan de respuesta a incidentes de ransomware ayudará a recuperar incluso aquellos sin un copia de seguridad inmutable. Al marcar los elementos en este plan, una organización podrá:

  • proteger recursos;
  • identificar la amenaza;
  • preservar la reputación;
  • prevenir la reentrada.

Plan de Respuesta a Incidentes de Ransomware en Cinco Etapas

1. Respuesta

La primera regla de la respuesta a emergencias: no entrar en pánico. El miedo es natural, pero si no se controla lleva a decisiones apresuradas y juicios precipitados. Una breve meditación o un paseo por el parque ayudarán a calmar la mente. Después de eso, no dudes en pasar a la acción.

  • Comunicar de forma segura. Mantén al intruso en la oscuridad y comunica exclusivamente a través de llamadas telefónicas. Los servicios celulares operan fuera de las redes corporativas y pasan desapercibidos para el ransomware.
  • Captura instantánea de la nube. Haz una copia de los recursos en la nube de la empresa y ponla en cuarentena para una investigación forense.
  • Identificar y aislar. Averigua qué sistemas están afectados y sepáralos del resto. Si cortarlos a nivel de interruptor falla, sepáralos físicamente de la red desconectando cables o apagando el Wi-Fi.
  • Apagar dispositivos. Si un sistema se resiste a la desconexión, apágalo. Sin embargo, ten en cuenta que este es un medio de último recurso. Apagar el hardware borra posibles evidencias de la memoria de acceso aleatorio.
  • Clasificar sistemas por orden de importancia. La priorización guiará la eventual recuperación. Si está disponible, consulta la lista predefinida de servicios críticos de la organización.
  • Inspeccionar sistemas de prevención. Revisa el antivirus, EDR y los registros del sistema en busca de trazas de amenazas precursoras—el tipo de malware que precede y habilita el ransomware. Ejemplos incluyen Bumblebee, Dridex y Anchor. Elimínalos para prevenir una mayor exposición al ransomware.
  • Mapear la intrusión. Investiga posibles rutas de ataque. La información sobre los puntos de entrada y las vías de infiltración informará las tácticas de prevención futuras y mejorará la postura de seguridad.
  • Detectar la amenaza. Presta especial atención a las cuentas de Active Directory, nuevos inicios de sesión, modificaciones de endpoints, software de monitoreo y gestión remota (RRM), PowerShell y PsTools, comunicación de endpoint a endpoint, y cualquier actividad alrededor de herramientas del sistema Windows y Administradores de Dominio. Cualquier cosa fuera de lo común debería provocar una inspección más cercana, llevando al malware detrás del cifrado.

2. Reporte

Dar la alarma sigue inmediatamente a la respuesta inicial. Este paso es indispensable a pesar de ser desagradable. Compartir información sobre el ataque permite a las partes afectadas mantenerse alerta y ofrecer una mano amiga si pueden.

  • Informar internamente. En este punto, cada parte impactada, incluidos los interesados, debe conocer la violación y las acciones tomadas en su contra. También deben recibir actualizaciones regulares a medida que la situación se desarrolla.
  • Contactar a un Abogado de Violaciones. Un abogado de violaciones es un organismo externo de expertos que asiste a las empresas afectadas por ransomware. Las compañías de seguros suelen incluir una lista de abogados de violaciones en sus pólizas o sitios web.
  • Alertar a las autoridades. El ransomware constituye un delito en muchas jurisdicciones, por lo que las organizaciones pueden estar obligadas a informar a las fuerzas del orden y agencias gubernamentales sobre ello.

En EE. UU., considera contactar:

En Europa, consulta esta lista de Europol.

Sin perjuicio de los requisitos legales, las organizaciones estatales pueden proporcionar recursos adicionales contra la amenaza—por ejemplo, mecanismos de descifrado o análisis forense de muestras de datos.

  • Notificar a los clientes. Las empresas prefieren mantener los incidentes de ransomware en secreto por miedo al daño reputacional. Pero la noticia del ataque saldrá a la luz tarde o temprano, y los clientes es mejor que se enteren de ello por la empresa que por otra persona. La comunicación externa sobre el incidente debe mencionar su alcance y los riesgos asociados, como las filtraciones de datos.

3. Contención

Enfócate en el culpable con esfuerzos de investigación severos. Moviliza al equipo de ciberseguridad de la empresa y une fuerzas con profesionales externos para intensificar la presión sobre el atacante.

  • Aislar datos para análisis.

ADVERTENCIA: Esta es una operación delicada que es mejor realizar por o con el apoyo de expertos en seguridad, como el Abogado de Violaciones o CISA. Procede con precaución.

Extrae muestras de datos de los sistemas afectados. Concéntrate en elementos relevantes y que susciten sospechas, como registros, binarios específicos, entradas de registro y direcciones IP. Recoge datos temporales antes de que desaparezcan—por ejemplo, registros de seguridad de Windows o búferes de registro de firewall.

  • Encontrar el origen. Revisa todos los sistemas y cuentas, incluidos los correos electrónicos, para identificar el punto de entrada inicial.
  • Asegurar endpoints. Cierra todos los endpoints y las interfaces que apunten hacia afuera, como VPNs, servidores de acceso remoto, recursos de inicio de sesión único, etc. De lo contrario, seguirán siendo una posible vía de entrada a tus sistemas.
  • Eliminar mecanismos de persistencia. Encuentra y neutraliza cualquier proceso a largo plazo que los atacantes puedan haber dejado atrás, como autenticaciones prolongadas, puertas traseras, explotaciones de vulnerabilidades, etc.

4. Erradicación

El perímetro está asegurado. Ahora, devuelve los sistemas a la capacidad operativa limpiando y reiniciando todo lo que pudo haber estado en contacto con malware. Esta es la única forma de expurgar el residuo malicioso de la infraestructura.

  • Borrar sistemas afectados. Puede ser tentador eliminar solo los datos infectados para que no se sacrifique todo el sistema, pero no vale la pena el riesgo de omisión. Para máxima seguridad, limpia todo lo infectado.
  • Recargar desde imágenes. Reemplaza los servicios comprometidos con sus imágenes frescas de acuerdo con la lista de prioridades. Con la nube, confía en la infraestructura como código para el mismo proceso.
  • Restablecer contraseñas. Los atacantes no podrán reinfectar si no pueden usar las credenciales que podrían haber robado.

5. Prevención

Ahora que la amenaza ha pasado, disminuye las probabilidades de que vuelva a ocurrir. Hay algunas cosas que una organización puede hacer para fortalecer su resiliencia contra el ransomware:

  • Educar. Organiza capacitación sobre las mejores prácticas en seguridad de datos para todos los empleados para que sepan cómo evitar las trampas de la ingeniería social y reconocer las primeras señales de amenazas.
  • Auditar. Examina los sistemas en términos de resiliencia al software malicioso.
  • Asegurar. Configura los Puertos de Escritorio Remoto (RDP) para aceptar solo hosts de confianza y siempre apaga los inactivos. Aplica configuraciones de seguridad estrictas a todos los endpoints.
  • Segmentar. Compartmentaliza la red físicamente y con VPN—separa los elementos de red que apuntan hacia adentro de los que apuntan hacia afuera. Aplica principios de Zero Trust a la gestión de control de acceso.
  • Actualizar. Siempre mantén todo actualizado. Incluso un ligero retraso en la actualización puede dar a los hackers una ventana para entrar.
  • Hacer cumplir. Prepara y sigue una estrategia de respaldo robusta con inmutabilidad en el centro.

Recursos útiles

Una robusta estrategia de defensa contra ransomware disminuye las probabilidades de futuros ataques, pero siempre vale la pena tener recursos concretos listos. Considera crear, mantener y actualizar regularmente la siguiente información:

  • Equipo de respuesta a incidentes. Enumera las personas responsables de remediar un ataque.
  • Inventario de activos. Especifica los activos de hardware y software, idealmente como un gráfico. Proporcionará una vista instantánea y panorámica de la infraestructura de la empresa.
  • Lista de servicios críticos. Define una lista jerárquica de recursos digitales, como aplicaciones, conjuntos de datos y copias de seguridad.
  • Lista de contactos. Anota la información de contacto de los afiliados y miembros de la organización que podrían sufrir las consecuencias de un ataque de ransomware.
  • Oportunidades de capacitación. Detalla los ejercicios teóricos y prácticos, como cursos, talleres y simulaciones de incidentes, disponibles para los empleados y preferiblemente categorizados por dificultad para coincidir con el nivel adecuado de experiencia.
  • Lecciones aprendidas. Recoge información de ataques pasados y simulacros de seguridad para apoyar la mitigación futura.
  • Plan de Respuesta a Incidentes de Ransomware. Elabora un plan de acción detallado de respuesta al ransomware para agilizar el control de daños.

Copia de seguridad inmutable contra ransomware

Una copia de seguridad es inmutable cuando nadie—incluidos administradores y root—puede modificarla o eliminarla. Estas copias de seguridad se basan en el mecanismo de escribir una vez, leer muchas (WORM), implementado a nivel de software o hardware.

La inmutabilidad basada en software es más flexible y rentable porque puede definirse por tiempo y reemplazarse con nuevos datos cuando su tiempo de protección expira.

Las copias de seguridad inmutables resisten el cifrado, lo que las convierte en el seguro perfecto contra el ransomware. Si se produce un ataque, sigue nuestro plan de respuesta a incidentes de ransomware para deshacerte del malware y luego procede a la recuperación de copias de seguridad inmutables.

Ootbi—inmutabilidad lista para usar para Veeam

Ootbi de Object First es un dispositivo de copia de seguridad basado en propósito adaptado para Veeam. Viene con inmutabilidad lista para usar, funciona con S3 Object Lock, y utiliza almacenamiento de objetos para acomodar mejor grandes volúmenes de datos. Montado, apilado y alimentado en menos de quince minutos, Ootbi se integra sin problemas con cualquier instancia de Veeam, admite todos los protocolos de Veeam y no requiere experiencia técnica para configurarlo.

Conclusión

El ransomware se ha demostrado como una de las mayores amenazas de seguridad en la década actual. Las empresas que desean mantenerse seguras y relevantes deben idear un plan de respuesta al ransomware o enfrentar un tiempo de inactividad significativo y pérdida de datos que generalmente resulta de un ataque.

Los dispositivos de copia de seguridad inmutables y desconectados, como Ootbi, emergen como la última línea de defensa y una rara garantía contra el ransomware. El plan y la copia de seguridad proporcionan la mejor protección contra ransomware que una empresa puede esperar.

FAQ

¿Qué es un Plan de Respuesta al Ransomware?

Un plan de respuesta al ransomware enumera los pasos a seguir en caso de un incidente de ransomware. Permite a las organizaciones contrarrestar y contener rápidamente el ataque, manteniendo el daño al mínimo.

¿Cuál es la mejor práctica en la respuesta al ransomware?

Los expertos son unánimes en que la mejor manera de prevenir y frustrar el ransomware es a través de copias de seguridad regulares. Sin embargo, en última instancia, solo las copias de seguridad inmutables garantizan tranquilidad porque nadie puede manipularlas.

¿Cuál es la regla 3-2-1 del ransomware?

La regla 3-2-1 del ransomware recomienda que cada organización confíe en tres copias de seguridad. Dos deben estar en diferentes tipos de medios, y una debe estar fuera del sitio.

Una variación de la regla la extiende a 3-2-1-1-0—el adicional 1 y 0 representan una copia desconectada e inmutable y cero errores en las pruebas de copia de seguridad.

Noticias del producto

Al enviar este formulario, confirmo que he leído y acepto la Política de Privacidad.