Conocer los pasos de recuperación ante un ataque ransomware es realmente importante para los líderes de negocio y los profesionales de TI ya que estos ataques devastadores están golpeando a organizaciones de todos los tamaños en todo el mundo. De hecho, el costo estimado de los ataques ransomware incrementó a $20 mil millones en 2021 y se proyecta que alcance los $ 265 mil millones para 2031.
El ransomware es un tipo de malware, o código malicioso, que bloquea el acceso a la mayor cantidad posible de datos y sistemas, y exige el pago de un rescate para restaurar el acceso. Los ataques más sofisticados encriptan sus datos para bloquear el acceso e incluso copian los datos y amenazan con publicarlos a menos que se pague el rescate.
Inscríbase y conviértase en uno de “Los 20 Mejores CSO de México”
Los atacantes usan muchas estrategias diferentes para introducir su ransomware en la red de la víctima. Una opción popular es enviar un correo electrónico de phishing que parece provenir de una fuente legítima y engañar a los empleados de una empresa para que abran un archivo adjunto malicioso o hagan clic en un enlace a un sitio web. Otros ataques explotan vulnerabilidades en los sistemas operativos u otro software.
¿Cómo puede una organización recuperarse de un ataque de ransomware?
A primera vista, la forma más sencilla de recuperarse de un ataque de ransomware parecería ser simplemente pagar el rescate y esperar a que los piratas informáticos entreguen la clave de descifrado. Sin embargo, solo el 8% de las organizaciones que pagan el rescate logran recuperar todos sus datos; de hecho, tres de cada diez (29%) recuperan la mitad o menos. Además, el 80% de las empresas que pagaron el rescate sufrieron un segundo ataque, y casi la mitad de ellas cree que fue a manos de los mismos ciberdelincuentes.
Nota relacionada: Ransomware, la principal amenaza para los datos, ¿por qué no debe pagar el rescate?
En consecuencia, es fundamental establecer una estrategia sólida de recuperación de ransomware.
Cinco prácticas de recuperación de ransomware
- 1) Separar y tener un plan para las copias de seguridad: Haz copias de seguridad periódicas, incluidas las copias de Active Directory necesarias para restaurar los controladores de dominio, y probarlas para asegurarse de que estén en buen estado. Después, elige almacenar estas copias de seguridad en la nube con un proveedor confiable, lo que brinda una manera fácil de proporcionar una ubicación externa alternativa para los datos. Esto también agrega la capacidad de recuperarse en ubicaciones alternativas si es necesario. Las opciones incluyen Amazon Simple Storage Service (S3), Amazon S3 Glacier y S3 Glacier Deep Archive, y Microsoft Azure Blob Storage. Si existe la intención de utilizar el almacenamiento en la nube, asegúrate de que todos los datos de las copias de seguridad estén cifrados antes de que abandonen el perímetro de la red de la empresa.
- 2) Tener elaborado un plan para afrontar el peor de los casos: Desafortunadamente, muchas organizaciones cometen el error de limitar su estrategia de recuperación de ransomware a documentos y aplicaciones. Considera el impacto de un ataque en la red, enrutadores, conmutadores y concentradores de VPN. A menudo se pasa por alto la necesidad de proteger la infraestructura en la nube de Microsoft, lo cual es especialmente importante considerando que Microsoft informó de más de 25 mil millones de intentos de ataques en Azure AD solo en 2021. Los datos de respaldo de Microsoft 365 almacenados en Exchange y SharePoint Online, OneDrive, Teams y Calendars son igualmente susceptibles a errores de usuario, eliminación accidental, corrupción y malware.
- 3) Reunir a las personas adecuadas que puedan colaborar de manera efectiva: Un esfuerzo de recuperación de ransomware involucra a muchos equipos diferentes, como el equipo de respaldo para realizar restauraciones, personas de almacenamiento, redes, servidores, seguridad, aplicaciones y aliados externos como proveedores de almacenamiento en la nube. Es fundamental tener un responsable que pueda dirigir y coordinar todos estos equipos y tomar decisiones sobre la marcha. Asegúrate de haber documentado claramente todos los roles y responsabilidades. Incluye una sala virtual donde estos equipos puedan unirse y los subgrupos puedan dividirse para elaborar estrategias sobre problemas particulares.
- 4) Contemplar una recuperación por etapas: Cuando un ataque de ransomware trae más que solo una parte aislada de tu ecosistema de TI, la recuperación estratégica de datos y aplicaciones en fases suele ser la mejor manera de hacer que el negocio se recupere lo antes posible. Durante la planificación de la recuperación, identifica las aplicaciones que son más críticas para las operaciones comerciales principales.
- 5) Más vale calidad y no velocidad: Si bien es comprensible que las organizaciones estén ansiosas por volver a la normalidad después de un ataque, es esencial asegurarse de que la recuperación se realice correctamente, para que no se vuelva a infectar de inmediato. Es inteligente elegir una solución de recuperación que brinde la flexibilidad de elegir la mejor manera de restaurar cada uno de sus controladores de dominio.
Por: Marco Fontenelle, General Manager de Quest Sotware, Latin America.