Con algo de preparación avanzada, puedes sobrevivir a un ataque de ransomware

Esta columna está disponible en un boletín semanal llamado Mejores prácticas de TI. Haga clic aquí para suscribirse.  

Sabes que es malo cuando una ola de delitos cibernéticos hace que las víctimas salgan de los departamentos de policía de EE. UU. Las agencias de aplicación de la ley en al menos siete estados han sido chantajeadas por ciberatacantes que utilizan ransomware. Los datos en las computadoras departamentales han sido encriptados por malware y retenidos como rehenes, con la demanda de que se pague un rescate en bitcoins. No acostumbrados a ceder ante los delincuentes, muchas de las agencias se negaron a pagar y posteriormente perdieron el acceso a su información para siempre..

Los ciberdelincuentes también han estado atacando hospitales de EE. UU. En un caso de alto perfil, un hospital de California perdió el acceso a sus registros críticos de pacientes durante una semana hasta que se pagó un rescate por un valor de aproximadamente $ 17,000. Los expertos estiman que esta instalación en particular estaba perdiendo hasta $ 100,000 por día en un solo departamento porque no podía realizar tomografías computarizadas sin acceso a sus datos.

El ransomware se está ejecutando en todo el mundo y está afectando enormemente tanto a las personas como a las empresas. El dinero del rescate, si se paga, es solo la punta del iceberg cuando se trata del costo del ataque. Los costos reales se pueden calcular en términos de pérdida de productividad y oportunidades comerciales, los recursos para responder al ataque y reparar o reemplazar los sistemas afectados.

Los grandes sindicatos de delincuencia extranjera que operan a escala mundial son responsables de la mayoría de los ataques. Muchas de las campañas detrás de los ataques de ransomware son de naturaleza industrial. Por ejemplo, los investigadores de McAfee Labs vieron más de 4 millones de muestras de ransomware solo en el segundo trimestre de 2015. Symantec informa que detectó solo una variante de ransomware 500,000 veces en un lapso de 18 días. Los ataques son bastante rentables para los delincuentes. McAfee estima que los perpetradores están recaudando entre $ 10 millones y $ 50 millones al mes de víctimas en todo el mundo.

Hay formas de proteger sus sistemas para evitar convertirse en la próxima víctima, o al menos para mitigar los efectos del ataque, pero debe actuar antes de que un ataque ataque. Los investigadores dicen que puede tomar menos de 5 minutos desde el momento en que el malware ingresa a un sistema hasta el momento en que los archivos primarios se cifran, los archivos de respaldo se eliminan y se presenta la demanda de rescate..

Dicho esto, aquí hay algunos pasos para sobrevivir a un ataque de ransomware:

Planifica tu respuesta ahora - Para la mayoría de los tipos de ataques de ransomware, los minutos y segundos cuentan, por lo que el tiempo para planificar cómo responder es mucho antes de que ocurra un ataque. Los expertos recomiendan desarrollar un plan de respuesta a incidentes que sea específico para este tipo de ataque. El plan debe detallar roles, responsabilidades y acciones a tomar tan pronto como la organización se dé cuenta de un ataque activo..

Copia de seguridad de sus datos - Los ataques de ransomware son conocidos por encriptar datos actuales y también eliminar datos de respaldo donde sea que se pueda acceder. Cryptolocker cifra los archivos en todas las unidades que están asignadas. Esto incluye dispositivos externos como memorias USB, servicios de respaldo como Carbonite y almacenes de archivos en la nube donde se ha asignado una letra de unidad. Asegúrese de que no se pueda acceder a las copias de seguridad desde los puntos finales a través de los montajes de disco porque también se cifrarán.

Gary Warner, científico jefe de amenazas de PhishMe, recomienda mantener varias copias de seguridad en serie en caso de que las nuevas se corrompan o se cifren. Si puede restaurar sus datos de copias de seguridad recientes, el ataque realmente se convierte en un problema. Además, tener buenas copias de seguridad es prácticamente la única forma de recuperarse de un ataque si no quiere arriesgarse a pagar el rescate y esperar que el atacante proporcione la clave de descifrado. (Tenga en cuenta que pagar el rescate no garantiza que obtendrá la clave de descifrado o que funcionará).

Mantenga actualizado su software antivirus - Todos los principales proveedores de software antivirus están investigando el ransomware para poder tratar de mantenerse al día con las amenazas que cambian continuamente. Por su propia naturaleza, las firmas AV siempre estarán un paso por detrás de las últimas variantes, pero deberían ser lo suficientemente buenas como para detener un alto porcentaje de intentos de ataque..

Pantalla de correos electrónicos para phishing / malware - El Informe de incidentes de violación de datos de Verizon 2016 dice que los mensajes de correo electrónico con archivos adjuntos o enlaces maliciosos son una vía importante para la instalación de ransomware. FireEye confirma que la mayoría del ransomware se entrega por correo electrónico. Esto hace que sea importante analizar los correos electrónicos entrantes y filtrar lo que parecen ser mensajes de phishing o archivos adjuntos maliciosos. Es especialmente importante filtrar en archivos ejecutables. Algunos mensajes de phishing utilizan el engaño al hacer que los archivos ejecutables parezcan archivos PDF normales.

Enseñar a las personas a no caer en intentos de phishing - Los humanos son el eslabón débil. Somos crédulos y confiamos, y caemos en trucos de ingeniería social que nos hacen abrir y hacer clic en los phishing que se nos presentan. Enseñe a sus trabajadores a conocer sus acciones y ayúdelos a reconocer los mensajes sospechosos de phishing para que no abran el ransomware en primer lugar..

Autenticar las fuentes de correo electrónico - Más allá de escanear los correos electrónicos entrantes en busca de amenazas, puede ganar más confianza en el correo que reciben sus usuarios al autenticar a los remitentes de mensajes utilizando tecnologías como Informes y Conformidad de Autenticación de Mensajes de Dominio (DMARC), Correo Electrónico Identificado de Dominios (DKIM) y Marco de Políticas de Remitente (SPF) . (Ver DMARC está teniendo un impacto positivo en la reducción de correo falso y cómo implementar DMARC en su organización).

Prepara tus sistemas defensivos - Los investigadores de seguridad han creado muchos indicadores que puede ingresar a sus sistemas defensivos para que puedan bloquear o poner en cuarentena las actividades relacionadas con el ransomware. Existen numerosas fuentes de información de inteligencia, incluidos proveedores de seguridad, ISAC (centros de análisis e intercambio de información) de la industria y agencias de seguridad gubernamentales. Se pueden encontrar varias listas de fuentes de información de inteligencia en http://thecyberthreat.com/cyber-threat-intelligence-feeds/ y http://thecyberthreat.com/government-cyber-intelligence-sources/.

Use soluciones de protección de punto final - El ransomware generalmente llega a los dispositivos del usuario final, así que protéjalos con aplicaciones de protección de punto final. Numerosas soluciones en esta área hacen de todo, desde sandboxing de software sospechoso hasta ejecutar todas las aplicaciones en una máquina virtual para que no puedan extender sus acciones más allá de un solo dispositivo. Desde el punto de vista de la red, si se descubre que un punto final está comprometido, debe ponerse en cuarentena lo más rápido posible. Esto puede ayudar a evitar que el malware afecte a los archivos compartidos.

Tener un plan de recuperación ante desastres de ransomware - En caso de que un ataque pase y tenga éxito en el cifrado, eliminación o daño de archivos, necesita un plan sobre cómo recuperarse del ataque. Como no sabe si el ataque dejó caer software latente oculto en sus sistemas, es mejor reemplazar los sistemas en lugar de repararlos si es posible. También considere el impacto en su negocio si tiene que restaurar datos de una copia de seguridad anterior, o si no puede recuperar los datos en absoluto.

En el caso del ransomware, el viejo adagio "Una onza de prevención vale una libra de cura" es bastante apropiado. La mejor manera de sobrevivir a un ataque es estar completamente preparado para ello en primer lugar..

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.