Buenas prácticas y recomendaciones para hacer frente a una crisis generada por un ataque de ransomware

junio 07, 2023

Buenas prácticas y recomendaciones para hacer frente a una crisis generada por un ataque de ransomware

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

El ransomware es una industria. Como tal, tiene su propia lógica comercial: las organizaciones pagan dinero, en criptomonedas, para recuperar el control de sus sistemas y datos.

El panorama de esta industria se compone de aproximadamente 32 grupos cibercriminales que originalmente desarrollaron su propio malware de ransomware. Para dispersar el malware, trabajan con afiliados y distribuidores que utilizan ataques de phishing generalizados con la finalidad de vulnerar organizaciones.

Las utilidades se distribuyen asignando aproximadamente un 70 a 75% para los afiliados y el resto para los desarrolladores. Cabe señalar que el uso de phishing hace que las industrias en línea, como los juegos, las finanzas y los seguros, sean especialmente vulnerables.

Algunos datos globales sobre el ransomware nos alertan sobre su peligrosidad:

Entre 2020 y el segundo trimestre de 2022, el volumen de ataques de ransomware alcanzó su punto máximo en el segundo trimestre de 2021 con 188.9 millones de ataques. [SonicWALL]

El ransomware sigue siendo la forma más común de malware en 2022. Ha ganado popularidad debido a su capacidad para extorsionar grandes sumas de dinero al mismo tiempo que representa un riesgo bajo para los ciberdelincuentes. [Cybereason]

El ransomware es la segunda causa principal de filtraciones de datos en el primer trimestre de 2022, después del phishing. [Identity Theft Resouce Center]

Hubo 623.3 millones de ataques de ransomware en todo el mundo en 2021 y 304.6 millones de ataques detectados en 2020. [Statista]

En la primera mitad de 2022, hubo 236.1 millones de intentos de ransomware. [Statista]

Aunque la mayoría de las máquinas atacadas están basadas en Windows y Mac, ha habido un aumento del 146 % en el ransomware de Linux. [IBM]

El 76 % de las organizaciones sufrió uno o más ataques de ransomware en 2021. De ese 76 %:

El 42% fueron causados involuntariamente por acciones del usuario, como hacer clic en enlaces maliciosos de correos electrónicos no deseados.

El 43% se debieron a negligencia de los gerentes o administradores (riesgos relacionados con parches de software, credenciales, etc.) [Veeam]

En 2021, los cibercriminales cifraron con éxito los datos en el 65 % de los ataques, frente al 54 % registrado en 2020. [Sophos]

En 2021, hubo un aumento del 82 % en los incidentes de ransomware, con 2686 ataques frente a 1474 en 2020. [CrowdStrike]

Durante la primera mitad de 2022, hubo 707 intentos de ransomware por organización. [SonicWALL]

En este punto, podemos mencionar que gestionar una crisis de ransomware es similar a gestionar una situación de rehenes. Por lo tanto, para prepararse para un incidente de ransomware, se recomienda que las organizaciones empleen una estructura de gestión de crisis similar. Esta estructura se basa en las siguientes funciones:

1. El administrador de la crisis que coordina las áreas tecnológica, comercial y legal y que no debe ser la persona que toma las decisiones.

2. El grupo de directivos que toma decisiones informadas basadas en los datos del administrador de la crisis.

3. Contacto con autoridades cuya función puede ser tan mínima como simplemente informarles o tan profunda como permitirles ser parte de la gestión y mitigación de la crisis.

4. Contacto con aseguradoras cuya función sea evaluar el papel que pueden tener en la respuesta al incidente.

El administrador de la crisis también podrá designar un equipo que está a cargo de las siguientes actividades:

1. Identificación del alcance del evento, el cual tiene lugar dentro de las primeras 24 a 48 horas. Incluye comprender qué se comprometió, qué tan profundos están los atacantes en el sistema, si el acto es un ransomware simple, doble o triple, si el ataque tuvo una motivación financiera o si fue un ataque político o personal, etcétera.

2. Crear el perfil del atacante que incluye comprender si el grupo es conocido o desconocido, sus patrones de comportamiento y su estructura organizativa. Comprender quién es el atacante influye en la comunicación.

3. Evaluar el pago del rescate con la finalidad de identificar los posibles escenarios y lo que podría suceder si no se paga el rescate.

4. Definición de los objetivos de una posible negociación, en donde se va más a fondo en el tema de tener que pagar por la información, por más tiempo o por mejores términos. A veces, esto puede resultar en un pago más bajo, o incluso permitir que la empresa se recupere por sí sola.

¿Cuáles son algunas recomendaciones para evitar ser víctima del ransomware?

- Mantener los sistemas actualizados: Actualizar regularmente los sistemas operativos, aplicaciones y software antivirus. Los fabricantes suelen lanzar actualizaciones de seguridad para abordar vulnerabilidades conocidas.

- Utilizar un software antivirus confiable: Instalar un programa antivirus confiable y mantenerlo actualizado. Escanear regularmente el sistema en busca de malware y configurar el software para que se actualice automáticamente.

- Ser cauteloso con los correos electrónicos y los archivos adjuntos: No abrir correos electrónicos sospechosos o de remitentes desconocidos. Tener cuidado con los archivos adjuntos y evitar hacer clic en enlaces no verificados. Los cibercriminales a menudo utilizan correos electrónicos de phishing para propagar ransomware.

- Evitar descargar software de fuentes no confiables: Descargar software únicamente de fuentes confiables, como los sitios web oficiales de los desarrolladores. Evitar descargar aplicaciones y archivos de sitios web no verificados o enlaces sospechosos.

- Realizar copias de seguridad de los datos regularmente: Realizar copias de seguridad periódicas de los archivos importantes en un dispositivo externo o en la nube. Si se es víctima de ransomware, tener copias de seguridad actualizadas permitirá restaurar los archivos sin tener que pagar el rescate.

- Utilizar contraseñas fuertes y autenticación de dos factores: Utilizar contraseñas seguras para las cuentas en línea y activar la autenticación de dos factores siempre que sea posible. Esto dificultará el acceso no autorizado a las cuentas.

- Limitar los privilegios de acceso: No utilizar una cuenta de administrador para tareas cotidianas. Utilizar una cuenta de usuario con privilegios limitados para reducir el impacto potencial de un ataque.

- Mantener la conciencia de seguridad en línea: Educar a los miembros del equipo sobre las prácticas de seguridad en línea. Estar al tanto de las últimas amenazas y técnicas de ataque puede ayudar a identificar y evitar situaciones de riesgo.

Para más información, visite: https://www.silikn.com/