Getty Images/iStockphoto
Cómo detener el ransomware: 4 pasos para contenerlo
Incluso con los mejores esfuerzos de seguridad, el ransomware a veces rompe las defensas de las organizaciones, pero los equipos de TI pueden evitar que un ataque de ransomware se intensifique con estos cuatro pasos.
Hoy en día, sufrir un ataque de ransomware no es una cuestión de "si", sino de "cuándo". La posibilidad de realizar pagos anónimos en línea significa que este tipo de ataque no va a desaparecer; al contrario, han surgido varias industrias nuevas para enfrentarse a él.
Aunque no hay una respuesta fácil sobre cómo detener el ransomware, seguir los siguientes pasos para la contención del ransomware puede evitar que una mala situación se agrave.
Paso 1. Realizar cierres estratégicos del sistema
Los objetivos de un ataque de ransomware suelen intentar detener la propagación apagando los sistemas que está cifrando. Sin embargo, los equipos de TI deben entender la diferencia entre apagar un sistema que no ha sido infectado y uno que está en proceso de ser cifrado. Un cierre limpio es siempre el mejor enfoque, pero detener el proceso de cifrado antes de que se complete puede dar lugar a sistemas corruptos y a la pérdida de datos.
Aunque pueda parecer contradictorio dejar que el ransomware termine de cifrar un sistema, las herramientas de descifrado que ofrecen los hackers no son de nivel empresarial. La mayoría de los desencriptadores de ransomware son herramientas de línea de comandos o hashes que no pueden recuperar los datos corruptos. Apagar un sistema a mitad del descifrado puede conducir a la pérdida total de datos debido a la corrupción, incluso si la organización paga el rescate.
Saber qué sistemas han sido atacados por el ransomware, y cuáles no, es el verdadero reto. Empiece por buscar actividad masiva en el disco. Normalmente es el mejor indicio de que un disco está siendo cifrado, aunque también podría significar que los atacantes están robando los datos y cifrándolos por el camino.
Paso 2. Analizar el tráfico de red
El segundo paso en la contención del ransomware es analizar el tráfico de red. A veces es posible interrumpir el acceso a internet para evitar el robo de datos y detener el tráfico general de la red para limitar la propagación del ransomware de este a oeste.
Por desgracia, esto es más fácil de decir que de hacer: Para lograrlo, los administradores de TI deben estar al tanto del problema a medida que se produce. Además, los hackers suelen activar el ransomware antes o después de las horas de trabajo normales, cuando las organizaciones suelen tener poco personal.
Cortar una conexión de red conlleva un cierto nivel de riesgo debido a la posibilidad de corrupción de datos. Sin embargo, una organización puede decidir que la compensación vale la pena si la alternativa es un riesgo inaceptable. Se trata de una decisión empresarial que requiere el conocimiento de la dirección de la empresa.
El aislamiento es el primer instinto de muchos departamentos de TI para contener el ransomware, pero en realidad, el ransomware podría haber estado en los sistemas de la organización durante algún tiempo. El ransomware a veces funciona como un virus, moviéndose a través de la organización y propagándose en tiempo real, pero también puede abrirse camino a través de la organización de forma inadvertida antes de que los atacantes lo activen en un momento determinado.
Los equipos de TI y de seguridad deben tomar precauciones para aislar los sistemas y dispositivos cuando y donde tenga sentido hacerlo, por ejemplo, desenchufando un cable de red para aislar una planta o un equipo clave del centro de datos. Aunque esto no detiene el proceso de cifrado, puede limitar la propagación del ransomware a otros equipos.
Del mismo modo, cualquier equipo que ya esté desconectado o aislado no debe ser introducido o encendido hasta que la organización tenga controlada la propagación del ransomware. Lo mismo se aplica a cualquier PC o equipo del proveedor conectado a la red.
Paso 3. Mantener y gestionar las copias de seguridad
Cuando el ransomware golpea, las copias de seguridad son a menudo el primer tema de discusión, pero los equipos de TI no deben asumir que todas las copias de seguridad son buenas. Una reacción instintiva común es eliminar las máquinas virtuales cifradas y restaurar a partir de las copias de seguridad. Aunque esta lógica puede parecer acertada, hay un par de preguntas clave que deben hacerse primero.
En primer lugar, ¿puede el personal de TI acceder al servidor de copia de seguridad para realizar la restauración? Si la consola de gestión es un ladrillo encriptado, esto podría no ser posible. Una crisis es fácil de manejar cuando todas las herramientas están disponibles, pero puede convertirse en un desastre cuando esas herramientas son inaccesibles. Antes de empezar a tomar decisiones clave, haga un balance de las herramientas que aún son accesibles.
En segundo lugar, y más importante: ¿todavía están ahí las copias de seguridad? El ransomware tiene la desagradable costumbre de borrar las copias de seguridad como primer paso, así que no confíe en ninguna copia de seguridad hasta que haya probado algunas.
Esto pone de manifiesto un aspecto operativo clave en lo que respecta a las copias de seguridad. El personal de TI suele eliminar las máquinas virtuales codificadas para dejar espacio a lo que necesitan restaurar. Pero si la imagen de restauración tiene un problema o está encriptada, la VM encriptada que la organización debe pagar para desbloquear acaba de ser eliminada. No es ideal pagar una cuota de ransomware, porque no hay garantía de que los datos se recuperen incluso después de pagar el rescate, pero no hay absolutamente ninguna posibilidad de recuperación si los datos han desaparecido.
Paso 4. Revisar y planificar las vías de comunicación
Durante cualquier crisis, la comunicación es clave, pero no se puede entrar en un chat de grupo si el servidor de chat es un ladrillo cifrado. La falta de comunicación entre el personal que trabaja en los problemas y la dirección puede conducir a errores devastadores, así que haga planes sobre cómo comunicarse cuando las herramientas de comunicación no estén disponibles.
Cree un plan alternativo para la comunicación durante un ataque de ransomware y asegúrese de que todo el mundo sabe de antemano qué funciones desempeñará. Especialmente si la organización recurre a consultores externos para ayudar en la contención del ransomware, las comunicaciones deben funcionar sin problemas para garantizar una toma de decisiones oportuna e informada.