El ransomware es una amenaza de rápido crecimiento que afecta a organizaciones de todos los tamaños y en todos los sectores. El Centro de Quejas de Delitos en Internet (IC3) del FBI recibió 2084 informes de ataques de ransomware solo en la primera mitad de 2021, un aumento del 62 % con respecto al año anterior y que representa más de $16,8 millones en pérdidas. Algunos expertos predicen que los daños por ransomware aumentarán a $265 mil millones para 2031 .
Un factor importante para el crecimiento de los ataques de ransomware ha sido el aumento del ransomware como servicio.(RaaS) y la venta de kits de ransomware en mercados ilegales en linea. Además ya no se enfocan solo en las grandes corporaciones para obtener grandes pagos. Desde los gobiernos municipales hasta los distritos escolares locales , la infraestructura crítica y los hospitales , las corporaciones globales y las tiendas familiares , todos están potencialmente en riesgo.
En medio de este panorama de amenazas, las organizaciones deben asumir que ya no se trata de si serán atacadas , sino de cuándo serán atacadas. Por esa razón, cada organización necesita un plan detallado sobre qué hacer inmediatamente después de un ataque de ransomware.
¿Qué hacer frente a un ataque de ransomware?
En caso de un ataque de ransomware, estos son los pasos que debe seguir.
1. Mantén la calma
- Comience a desarrollar su plan de respuesta a incidenteshoy para que esté listo antes de que ocurra un ataque. La diferencia entre una reacción fortuita y una respuesta estratégica es tener un plan.
- Considere quién sería más probable que atacara a su organización o industria, cuáles serían sus motivos y qué tipo de datos probablemente atacarían (datos financieros de la empresa, propiedad intelectual, información de identificación personal de los clientes u otros).
- Determinar los escenarios más probables lo ayudará a desarrollar un plan detallado a seguir para que pueda tomar medidas sensatas durante los momentos de alta presión después de un ataque.
2. Detener la propagación
- Aísle rápidamente y desconecte cualquier dispositivo infectado para evitar que el ransomware se propague más por su red. Para hacer esto, los administradores de TI deben tener un conocimiento actualizado de todos los activos de la organización y las herramientas para administrarlos fácilmente. Después de todo, no puede detectar un ataque a un activo que no sabe que existe.
- Detenga cualquier actualización de la arquitectura de TI, como migraciones a nuevos entornos o la instalación de nuevas aplicaciones.
- Detenga cualquier copia de seguridad en curso. Debe pausarse para evitar que los dispositivos recién infectados se comuniquen con la red. Los atacantes de ransomware han aprendido a identificar y cifrar las copias de seguridad en línea, por lo que es de vital importancia realizar copias de seguridad periódicas y almacenar copias fuera de línea para que pueda volver a ellas fácilmente en caso de un ataque. Guarde de forma segura todo lo que haya sido encriptado.
3. Investiga
Una vez que haya detenido la propagación del ransomware, puede investigar la amenaza.
- Determine el vector de ataque, incluida la forma en que el atacante se infiltró en su organización y qué tipo de ransomware se <utilizó. Lo ayudará a fortalecer sus sistemas para evitar futuros ataques.
- Obtenga la ayuda de un tercero de confianza, como un proveedor de detección y respuesta administrada (MDR) o la policia. Depende del caso que haya sucedido esto puede ser recomendable. Estos expertos pueden tener una mayor comprensión de la cepa del ransomware o de los propios atacantes, especialmente si se trata de un grupo de ciberdelincuentes conocido.
- Comience a buscar posibles herramientas de descifrado. Esto puede permitirle recuperar datos que han sido robados o encriptados. Consulte la lista de Bitdefender de descifradores gratuitos o el sitio web nomoreransom.org para obtener un índice actual de herramientas disponibles gratuitamente. Los investigadores de seguridad están constantemente desarrollando nuevos descifradores, y es posible que pronto esté disponible una herramienta para ayudarlo.
4. Pagar o no pagar
Una de las consideraciones más importantes es determinar si pagará el rescate o no. Puede ser una decisión difícil, pero es esencial mirar el panorama general. Si todas las organizaciones pueden ponerse de acuerdo en que no cederemos a las demandas de estas bandas criminales, podemos cortar el suministro y los ataques de ransomware ya no serán rentables.
No es recomendable pagar. Desafortunadamente, parece que pagar a los criminales simplemente los incentiva a elevar sus demandas.
- Algunos estudios han demostrado que entre el 50% y el 80% de las empresas que pagaron el rescate sufrieron ataques repetidos por parte de los mismos u otros actores.
- Las víctimas a menudo no recuperan el acceso completo a su información después de pagar la demanda inicial de rescate, y los atacantes se involucran cada vez más en la doble extorsión .
5. Aprende de la experiencia
Identificar las lecciones aprendidas, documentar los procedimientos y actualizar su plan es quizás el aspecto más importante de la respuesta a incidentes. Analice dónde estaban sus vulnerabilidades, qué podría haber hecho de manera diferente y qué mejores prácticas aprendió en el proceso.
Con esta información puede elaborar un mejor plan de respuesta que puede probar, practicar y actualizar para garantizar la mejora continua y una mayor resiliencia cibernética. Después de todo, es posible que solo sea cuestión de tiempo antes de que vuelvas a ser el objetivo.
Soluciones de seguridad anti-ransomware
No existe un plan de respuesta único para un ataque de ransomware. La situación de cada organización será única. Sin embargo, existen prácticas recomendadas que toda organización debe seguir y ante el aumento de los ataques, vale la pena estar lo más preparado posible.
En resumen:
- Centrarse en la prevención.
- Utilice varias capas de protección proactiva contra ransomware.
- Mantenga sus sistemas actualizados y parcheados.
- Almacene copias de seguridad frecuentes sin conexión.
- Tenga listo un plan completo de respuesta a incidentes y no tenga miedo de solicitar la ayuda de expertos si es necesario. Con las soluciones y el plan de seguridad correctos, es menos probable que reaccione con pánico y más probable que responda con una estrategia sólida que recupere sus datos.
Adquiera la protección antivirus que mas se adecue a su empresa aquí –> https://www.bitdefenderperu.com/empresas/
Obtenga más información sobre cómo prevenir ataques avanzados de ransomware y filtraciones de datos .