Si sospecha que ha sido atacado por un ataque de ransomware, es importante que actúe rápidamente. Afortunadamente, hay varios pasos que puede seguir para tener la mejor oportunidad posible de minimizar el daño y volver rápidamente a la normalidad.
Aísle el dispositivo infectado:
el ransomware que afecta a un dispositivo es un inconveniente moderado.
El ransomware que puede infectar todos los dispositivos de su empresa es una gran catástrofe y podría dejarlo fuera del negocio para siempre.
La diferencia entre los dos a menudo se reduce al tiempo de reacción.
Para garantizar la seguridad de su red, unidades compartidas y otros dispositivos, es esencial que desconecte el dispositivo afectado de la red, Internet y otros dispositivos lo más rápido posible.
Cuanto antes lo haga, menos probable será que otros dispositivos se infecten.
Detenga la propagación
Debido a que el ransomware se mueve rápidamente, y el dispositivo con ransomware no es necesariamente el Paciente Cero, el aislamiento inmediato del dispositivo infectado no garantizará que el ransomware no exista en otra parte de su red.
Para limitar su alcance de manera efectiva, deberá desconectar de la red todos los dispositivos que se comporten de manera sospechosa, incluidos los que operan fuera de las instalaciones; si están conectados a la red, presentan un riesgo sin importar dónde se encuentren.
Cerrar la conectividad inalámbrica (Wi-Fi, Bluetooth, etc.) en este punto también es una buena idea.
Evalúe los daños
para determinar qué dispositivos se han infectado, busque archivos cifrados recientemente con nombres de extensión de archivo extraños y busque informes de nombres de archivo extraños o usuarios que tengan problemas para abrir archivos.
Si descubre algún dispositivo que no se haya cifrado por completo, debe aislarlo y apagarlo para ayudar a contener el ataque y evitar más daños y pérdida de datos.
Su objetivo es crear una lista completa de todos los sistemas afectados, incluidos los dispositivos de almacenamiento en red, almacenamiento en la nube, almacenamiento en disco duro externo (incluidas las memorias USB), computadoras portátiles, teléfonos inteligentes y cualquier otro vector posible.
En este punto, es prudente bloquear las acciones. Todos ellos deben ser restringidos si es posible; si no, restrinja tantos como pueda.
Si lo hace, detendrá cualquier proceso de cifrado en curso y también evitará que se infecten recursos compartidos adicionales mientras se realiza la reparación.
Pero antes de hacer eso, querrá echar un vistazo a los recursos compartidos cifrados.
Si lo hace, puede proporcionar una información útil: si un dispositivo tiene una cantidad mucho mayor de archivos abiertos de lo habitual, es posible que haya encontrado su Paciente Cero. De lo contrario…
Localice al paciente cero
el seguimiento de la infección se vuelve considerablemente más fácil una vez que haya identificado la fuente.
Para hacerlo, verifique si hay alertas que puedan provenir de su antivirus/antimalware, EDR o cualquier plataforma de monitoreo activa.
Y debido a que la mayoría del ransomware ingresa a las redes a través de enlaces y archivos adjuntos de correo electrónico maliciosos, que requieren una acción del usuario final, preguntar a las personas sobre sus actividades (como abrir correos electrónicos sospechosos) y lo que han notado también puede ser útil.
Finalmente, echar un vistazo a las propiedades de los archivos en sí también puede proporcionar una pista: la persona que figura como propietario es probablemente el punto de entrada. (¡Tenga en cuenta, sin embargo, que puede haber más de un Paciente Cero!)
Identifique el ransomware
antes de continuar, es importante descubrir con qué variante de ransomware está tratando. Una forma es visitar No More Ransom, una iniciativa mundial de la que Trellix forma parte.
El sitio tiene un conjunto de herramientas para ayudarlo a liberar sus datos, incluida la herramienta Crypto Sheriff: simplemente cargue uno de sus archivos cifrados y lo escaneará para encontrar una coincidencia.
También puede usar la información incluida en la nota de rescate: si no detalla la variante de ransomware directamente, usar un motor de búsqueda para consultar la dirección de correo electrónico o la nota en sí puede ayudar.
Una vez que haya identificado el ransomware y realizado una investigación rápida sobre su comportamiento, debe alertar a todos los empleados no afectados lo antes posible para que sepan cómo detectar las señales de que se han infectado.
Informe el ransomware a las autoridades:
Tan pronto como el ransomware esté contenido, querrá ponerse en contacto con la policía, por varias razones.
En primer lugar, el ransomware es ilegal y, como cualquier otro delito, debe informarse a las autoridades correspondientes.
En segundo lugar, según la Oficina Federal de Investigaciones de los Estados Unidos, «las fuerzas del orden pueden utilizar autoridades y herramientas legales que no están disponibles para la mayoría de las organizaciones».
Se pueden aprovechar las asociaciones con las fuerzas del orden internacionales para ayudar a encontrar los datos robados o encriptados y llevar a los perpetradores ante la justicia.
Finalmente, el ataque puede tener implicaciones de cumplimiento: según los términos del RGPD, si no notifica al ICO dentro de las 72 horas posteriores a una violación que involucre datos de ciudadanos de la UE, su empresa podría incurrir en multas considerables.
Evalúe sus copias de seguridad
Ahora es el momento de comenzar el proceso de respuesta.
La forma más rápida y sencilla de hacerlo es restaurar sus sistemas a partir de una copia de seguridad.
Idealmente, tendrá una copia de seguridad completa y no infectada creada lo suficientemente recientemente como para ser beneficiosa.
Si es así, el siguiente paso es emplear una solución antivirus/antimalware para asegurarse de que todos los sistemas y dispositivos infectados estén libres de ransomware; de lo contrario, seguirá bloqueando su sistema y cifrando sus archivos, lo que podría corromper su copia de seguridad.
Una vez que se hayan eliminado todos los rastros de malware, podrá restaurar sus sistemas a partir de esta copia de seguridad y, una vez que haya confirmado que se restauraron todos los datos y que todas las aplicaciones y procesos están respaldados y funcionando con normalidad, volver a la normalidad. .
Desafortunadamente, muchas organizaciones no se dan cuenta de la importancia de crear y mantener copias de seguridad hasta que las necesitan y no están allí.
Debido a que el ransomware moderno es cada vez más sofisticado y resistente, algunos de los que crean copias de seguridad pronto descubren que el ransomware también las ha corrompido o encriptado, dejándolas completamente inútiles.
Investigue sus opciones de descifrado
si se encuentra sin una copia de seguridad viable, todavía existe la posibilidad de que pueda recuperar sus datos.
Se puede encontrar un número creciente de claves de descifrado gratuitas en No More Ransom.
Si hay uno disponible para la variante de ransomware con la que está tratando (y suponiendo que ya haya borrado todos los rastros de malware de su sistema), podrá usar la clave de descifrado para desbloquear sus datos.
Sin embargo, incluso si tiene la suerte de encontrar un descifrador, aún no ha terminado; aún puede esperar horas o días de tiempo de inactividad mientras trabaja en el remedio.
Continúe
Desafortunadamente, si no tiene copias de seguridad viables y no puede encontrar una clave de descifrado, su única opción puede ser reducir sus pérdidas y comenzar desde cero.
La reconstrucción no será un proceso rápido ni económico, pero una vez que haya agotado sus otras opciones, es lo mejor que puede hacer.
¿Por qué no debería simplemente pagar el rescate?
Cuando se enfrenta a la posibilidad de semanas o meses de recuperación, puede ser tentador ceder a la demanda de rescate. Pero hay varias razones por las que esto es una mala idea:
Es posible que nunca obtenga una clave de descifrado.
Cuando paga una demanda de ransomware, se supone que debe obtener una clave de descifrado a cambio.
Pero cuando realiza una transacción de ransomware, depende de la integridad de los delincuentes.
Muchas personas y organizaciones han pagado el rescate y no han recibido nada a cambio; luego pierden decenas, cientos o miles de dólares y todavía tienen que reconstruir sus sistemas desde cero.
Podría obtener repetidas demandas de rescate.
Una vez que paga un rescate, los ciberdelincuentes que implementaron el ransomware saben que está a su merced.
Es posible que le den una llave que funcione si está dispuesto a pagar un poco (o mucho) más.
Es posible que reciba una clave de descifrado que funcione, más o menos.
Los creadores del ransomware no están en el negocio de la recuperación de archivos; están en el negocio de hacer dinero.
En otras palabras, el descifrador que recibe puede ser lo suficientemente bueno para que los delincuentes digan que no cumplieron con su parte del trato.
Además, no es extraño que el propio proceso de cifrado corrompa algunos archivos sin posibilidad de reparación.
Si esto sucede, incluso una buena clave de descifrado no podrá desbloquear sus archivos: se habrán ido para siempre.
Puedes estar pintando un objetivo en tu espalda.
Una vez que paga un rescate, los delincuentes saben que es una buena inversión.
Una organización que tiene un historial probado de pago del rescate es un objetivo más atractivo que un nuevo objetivo que puede o no pagar.
¿Qué impedirá que el mismo grupo de delincuentes vuelva a atacar en uno o dos años, o que inicie sesión en un foro y anuncie a otros ciberdelincuentes que usted es un blanco fácil?
Incluso si de alguna manera todo termina bien, todavía estás financiando actividades delictivas.
Digamos que paga el rescate, recibe una buena clave de descifrado y vuelve a poner todo en funcionamiento.
Este es simplemente el mejor de los peores escenarios .
Cuando paga el rescate, está financiando actividades delictivas.
Dejando de lado las implicaciones morales obvias, está reforzando la idea de que el ransomware es un modelo de negocio que funciona.
(Piénselo: si nadie nunca pagó el rescate, ¿cree que seguirían lanzando ransomware?)
Reforzados por su éxito y su enorme día de pago, estos delincuentes seguirán causando estragos en las empresas desprevenidas y seguirán dedicando tiempo y dinero.
Dinero para desarrollar cepas de ransomware más nuevas e incluso más nefastas, una de las cuales puede llegar a sus dispositivos en el futuro.
