Ransomware, ¿y ahora qué hago?
Unos drivers defectuosos de Windows permiten desactivar el antivirus
Si tu empresa ha sufrido en su propia experiencia un ataque de Ransomware, tendrás muy claro que la protección tiene que venir de múltiples puntos y debes estar preparado antes de que el ataque ocurra, dado que una vez que se da la infección, esta se puede extender como la pólvora a través de la red corporativa y causar daños invaluables.
Lo que está claro es que el precio promedio de estos ataques es cada vez mayor, tanto por el coste de reconstrucción, como en cuanto a la pérdida de datos, a veces invaluables y no digamos el impacto en cuanto al bloqueo que se produce el tiempo que duran las tareas de remediación.
Evidentemente los cibercriminales son muy conscientes de ello y cada día solicitan más dinero de rescate, como en el caso del ransomware Ryuk, el cual ha solicitado hasta 780,000$ de rescate, sin garantía de que el secuestrador libere el software para descifrado ni que este funcione.
Este pasado año 2019, ha habido un aumento radical en cuanto a número de infecciones y virulencia de estas con respecto a años anteriores, 2020 se prepara para batir de nuevo los records y no va a parar ahí, se espera que en 2021 haya unas pérdidas globales por el impacto de Ransomware de en torno a 6 trillones americanos de dólares y no parará de aumentar.
Desde la experiencia de Asseco, hemos visto varias empresas de pequeño y mediano tamaño, teniendo que cerrar por haberse cifrado tanto los backup como los servidores de producción de su ERP, lo cual es una verdadera tragedia.¿Cuánto dinero no habrían pagado estas empresas antes de que esto ocurriera, si hubieran sabido que iban a ser atacados con semejantes consecuencias?
El dilema es ¿Cuánto está su empresa dispuesta a invertir para asegurarse de que esto no ocurra?
Esta respuesta variará dependiendo de las capacidades económicas de cada empresa, pero es evidente que, si no se toman medidas inteligentes para remediar o mitigar este tipo de ataque, la compañía puede estar en grave peligro.
Las soluciones no son simples, pasan por cosas tan básicas como la política de backup u el método de realización de estos, dado que los Ransomware más modernos no sólo cifran discos locales y unidades de red, sino que se han dado casos de cifrado de información en backups de software propietario muy extendido, por lo que hay cuidar en extremo la elección del método de copia de seguridad.
Las vías de infección más habituales son el correo electrónico, la navegación y los dispositivos USB, pero diría que el propio usuario es un punto clave en la infección en la mayoría de los casos, por tanto, se debe disponer protección para cubrir todos estos puntos, ya que sino, no se dispondrá de una protección eficaz.
En la actualidad, la detección de malware basada en Deep learning e inteligencia artificial, es a día de hoy una funcionalidad imprescindible al igual que lo fuera el análisis de comportamiento «Sandboxing» sólo hace un par de años.
Hay que reconocer que no todos los fabricantes tienen afinada al 100% dicha tecnología por su reciente aparición, por lo que siempre recomendamos las compañías clásicas que estén en el top en análisis independientes como por ejemplo NSS Labs u otros similares al igual que Gartner nos da una idea de cuales son los productos de máxima calidad.
La integración de la mayoría de los productos de protección posibles es pieza clave para que la protección y remediación automática sea lo más efectiva posible, evitando así la expansión del malware mediante el uso de gusanos de red, al igual que el proceso de gestión de vulnerabilidades de la plataforma, que deberá ser totalmente eficiente pudiéndose mitigar el riesgo en caso de infección.
En el posible impacto de un ataque y la limitación de los efectos posteriores, también tiene mucho que ver, el diseño de la red y las tecnologías de control de acceso y aislamiento, las cuales deben ser diseñadas e implementadas con sumo cuidado.
Y como no, una de las cosas más importantes, es la monitorización del estado de las amenazas de seguridad tanto externas como internas, así como una rápida actuación, basada en protocolos de actuación ante incidentes, eficaces y ejecutados por un equipo de expertos del máximo nivel, lo cual garantiza la minimización de posibles daños.
Es de igual importancia el descubrimiento de la fuente de la amenaza mediante técnicas forenses así como reversing del código malicioso y su rápida remediación, así como la monitorización y mejora de la protección ante amenazas, mediante ataques simulados con herramientas de última generación o reales tal como lo haría un atacante, permitiendo el ajuste fino de todas las capas de seguridad, detectando carencias en cuanto a las medidas actuales, para poder así determinar ineficiencias de las tecnologías actuales y poder así determinar las inversiones necesarias a futuro para disponer la máxima eficacia de protección.
Desde la división de ciberseguridad de Asseco Spain Group, estamos a tu servicio para ayudarte a trazar el mejor camino hacia la seguridad de tu empresa.
Abel Robledo
Director Técnico Ciberseguridad