¿Cómo recuperarse de un ataque de ransomware?

A lo largo de 2021 y en 2022, el ransomware ha sido un tema importante en las noticias. Es posible que hayas escuchado historias de asaltos a importantes empresas, organizaciones u organismos gubernamentales, o que hayas sido personalmente víctima de un ataque de ransomware en tu dispositivo. Según un estudio realizado entre enero y febrero de 2021, los ataques de ransomware afectaron a alrededor del 37% de las empresas de todo el mundo.

Tener todos tus archivos y datos como rehenes hasta que pagues es un asunto serio y una idea aterradora. Hoy hablamos de cómo recuperarse de un ataque de ransomware en caso de que ya hayas sido víctima de uno.  

Ransomware: Visión general, definición y ejemplos

El ransomware es un software malicioso que bloquea el ordenador o los archivos y exige un rescate para desbloquearlos. El ransomware puede instalarse a través de correos electrónicos de phishing, anuncios falsos o software descargado de sitios web poco fiables. Una vez instalado, el ransomware puede cifrar todos sus archivos, impidiéndole utilizarlos.

A diferencia de otros virus o malware, el ransomware no está interesado en robar o vender datos en la web oscura. Solo existe para extorsionar a sus víctimas manteniendo su información como rehén hasta recibir el pago deseado a cambio de su liberación.

Último ejemplo de ataque de ransomware: Kaseya - Julio 2021

En julio de 2021, Kaseya sufrió uno de los ataques de ransomware más importantes de los últimos tiempos. Al infectar a unos 50 proveedores de servicios gestionados que utilizaban los productos de Kaseya, el ataque contra la empresa de TI se extendió a 1.500 organizaciones.

Kaseya se negó a pagar la demanda de 70 millones de dólares del infame grupo REvil para reparar los daños. Aunque una empresa de seguridad externa creó una clave de descifrado universal para detener el ataque, la Seguridad Nacional seguía interesada en él debido a su gran tamaño. Menos de dos semanas después, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) publicó las normas sobre el ransomware.

Formas de prevenir un ataque de ransomware

¿Cómo evitar un ataque de ransomware?

En primer lugar, su principal objetivo debe ser la protección contra el ransomware. A continuación, algunas formas que pueden ayudar a evitar los ataques de ransomware:

  • Una solución de copia de seguridad segura.
  • Mantenga su software antivirus actualizado con las últimas definiciones de virus.
  • Asegúrese de controlar sus sistemas y datos mediante un proveedor de servicios gestionados (MSP).
  • Forme a su personal de TI en las mejores prácticas de seguridad para asegurarse de que conoce las últimas amenazas y cómo evitarlas.
  • Considere la posibilidad de invertir en pasarelas web seguras, soluciones de seguridad para el correo electrónico y otro software de protección de puntos finales para protegerse contra las infecciones de malware en todas las etapas del ciclo de vida del ataque (prevenir, detectar, bloquear).
  • Utilice métodos de autenticación de correo electrónico como DMARC.

¿Cómo ayuda DMARC?

DMARC es la abreviatura de Domain-based Message Authentication, Reporting, and Conformance. Está diseñado para detectar y prevenir la suplantación de identidad mediante la alineación de dominios.

DMARC utiliza los estándares de autenticación SPF y DKIM para detectar direcciones IP maliciosas, falsificaciones y suplantaciones de dominios.

Si utiliza DMARC, cuando un correo electrónico no se autentifica (porque parece que lo ha enviado alguien que no es el remitente), se clasifica como spam y se descarta antes de que llegue a su bandeja de entrada. 

Al enviar el correo electrónico, si ha configurado DMARC con una política de política DMARC (p=rechazo/cuarentena), los correos electrónicos que la incumplan serán rechazados o designados como spam, reduciendo la probabilidad de que sus destinatarios puedan ser víctimas de un ataque de ransomware.

Esto protege la reputación de su empresa, los datos sensibles y los recursos financieros.

¿Cómo recuperarse de un ataque de ransomware?

Para salir del apuro, hay que saber cómo recuperarse de un ataque de ransomware. Echemos un vistazo a las estrategias rápidas:

Paso nº 1: no se deje llevar por el pánico

No hay necesidad de entrar en pánico si te ataca un ransomware. Aunque el ransomware puede ser perjudicial, recuperarse de un ataque no siempre es imposible. Si los archivos tienen una copia de seguridad y no hay problemas legales de por medio -por ejemplo, si no estás utilizando software pirata-, el camino hacia la recuperación puede ser bastante sencillo.

Paso 2: No pague el rescate

No tiene que pagar nada. Esto se debe a unos cuantos factores:

  • Ten en cuenta que estás tratando con un criminal. No siempre recuperarás tus datos, aunque pagues el rescate.
  • Estás demostrando la eficacia del método del atacante, lo que les motivará a atacar a otras empresas que seguirán tu ejemplo y harán la restitución: es un círculo vicioso.
  • Hacer frente a un ataque cuesta el doble cuando se paga el rescate. Aunque consiga recuperar sus datos, la infección seguirá presente en sus servidores, lo que hará necesaria una limpieza exhaustiva. Además del rescate, tendrá que pagar el tiempo de inactividad, el tiempo del personal, los costes de los dispositivos, etc.

Paso 3: Restaurar los archivos desde las copias de seguridad

Si tiene copias de seguridad periódicas de sus datos almacenadas fuera del sitio en caso de desastre, podrá restaurarlas después del ataque. 

Paso #4: Detener todas las conexiones entrantes

El ransomware suele utilizar una vulnerabilidad en Internet Explorer u otro navegador para acceder a su ordenador. Si esto ocurre, desconéctate inmediatamente de Internet desenchufando el módem o apagando el Wi-Fi de tu dispositivo. 

Paso #5: Auditar sus prácticas de seguridad

Un buen paso es llevar a cabo una auditoría de sus prácticas de seguridad para ver lo que hay que mejorar. Aunque es esencial hacer cambios que aborden el problema inmediato, también es importante no pasar por alto otras áreas de su red que podrían ser vulnerables. 

Paso 6: Cambie todas sus contraseñas

Esto incluye las contraseñas de las cuentas de correo electrónico y de las redes sociales, así como de cualquier cuenta que se haya visto comprometida por este ataque, incluidos los extractos financieros en los que puede estar almacenada información sensible como los números de las tarjetas de crédito. También debes cambiar las contraseñas de los dispositivos conectados a Internet que no hayan sido infectados por el ransomware.

Paso 6: Llamar a los expertos

Si su organización ha sido afectada por el ransomware, llame a expertos que sepan cómo tratar este tipo de malware. Pueden ayudarle a evaluar lo sucedido y determinar si hay que hacer algo más antes de permitir que los empleados vuelvan a entrar en la red (o si deberían volver a entrar). Y es probable que tengan sugerencias sobre la mejor manera de protegerse contra futuros ataques.

Palabras finales

Es probable que experimentes un ataque de ransomware en algún momento. Lo importante es saber cómo recuperarse de un ataque de ransomware y ser capaz de restaurar de forma segura tus datos cuando el malware haya sido eliminado por completo de tu sistema.

Configuración de un analizador DMARC es el primer paso para adquirir protección contra las amenazas de ransomware. En PowerDMARC, le ayudamos a pasar fácil y rápidamente a la aplicación de DMARC que le protegerá contra una amplia gama de ataques a los que los usuarios de correo electrónico suelen enfrentarse a diario.

Últimas publicaciones de Ahona Rudra (ver todas)