Cómo proteger las copias de seguridad del ransomware

0
16

A pesar de la reciente disminución de ataques, el ransomware todavía representa una amenaza importante para las empresas, como lo demuestran los ataques contra las organizaciones de atención médica el mes pasado. También se está volviendo cada vez más capaz. En particular, los creadores de ransomware son conscientes de que las copias de seguridad son una defensa eficaz, y están modificando su malware para rastrear y eliminar las copias de seguridad.

Ransomware dirigido a copias de seguridad
El ransomware ahora eliminará cualquier copia de seguridad que encuentre en el camino, asegura Adam Kujawa, jefe de inteligencia de malware en Malwarebytes. Por ejemplo, una táctica común del ransomware es eliminar las copias automáticas que crea Windows de los archivos. «Entonces, si trata de utilizar la restauración del sistema, no va a poder volver atrás”, explica. «También los hemos visto llegar a las unidades de red compartidas”.

Dos ejemplos muy conocidos de ransomware que tienen a las copias de seguridad en la mira son SamSam y Ryuk. En noviembre, el Departamento de Justicia de Estados Unidos acusó a dos iraníes por usar el malware SamSam para obtener más de 30 millones de dólares de más de 200 víctimas, incluyendo hospitales. Los atacantes maximizaron el daño lanzando ataques fuera del horario comercial habitual, y «encriptando las copias de seguridad de las computadoras de las víctimas”, se señala en la acusación.

Ryuk alcanzó varios objetivos de alto perfil, incluyendo Los Angeles Times y el proveedor de alojamiento en la nube Data Resolution. Según los investigadores de seguridad de Check Point, Ryuk cuenta con un script que elimina los shadow volumes y los archivos de respaldo. «Si bien esta variante particular de malware no se dirige específicamente a las copias de seguridad, sí pone en riesgo las soluciones de respaldo más simplistas -aquellas en las que los datos residen en archivos compartidos”, anota Brian Downey, director senior de gestión de productos de Continuum, una empresa de tecnología con sede en Boston que ofrece servicios de respaldo y recuperación.

La forma más común de hacer esto es a través de una función de Microsoft Windows llamada versiones anteriores, comenta Mounir Hahad, jefe de investigación de amenazas de Juniper Networks. Permite a los usuarios restaurar versiones anteriores de archivos. «La mayoría de las variantes de ransomware eliminan instantáneas de shadow copy”, señala, y agrega que la mayoría de los ataques de ransomware también atacarán las copias de seguridad en los controladores de red mapeados.

Los ataques de ransomware a copias de seguridad son oportunistas, no dirigidos
Cuando el ransomware ataca las copias de seguridad suele ser algo oportunista, no deliberado, comenta David Lavinder, director tecnológico de Booz Allen Hamilton. Dependiendo del ransomware, este suele operar a través del rastreo de un sistema en busca de tipos de archivo particulares. «Si encuentra una extensión de archivo de respaldo, seguramente lo cifrará”, señala.

El ransomware también intenta propagarse para infectar tantos sistemas como sea posible, asegura. Este tipo de capacidad de desparasitación, como con WannaCry, es donde espera ver más actividad en el futuro. «No esperamos ver que las copias de seguridad sean un objetivo deliberado, pero sí esperamos ver un esfuerzo más centrado en el movimiento lateral”, anota.

Puede proteger sus copias de seguridad y sistemas de estas nuevas tácticas de ransomware tomando algunas precauciones básicas.

Complementar las copias de seguridad de Windows con copias adicionales y herramientas de terceros: Para defenderse del ransomware que elimina o cifra las copias de seguridad locales de los archivos, Kujawa sugiere usar copias de seguridad adicionales, utilidades de terceros u otras herramientas que no formen parte de la configuración predeterminada de Windows. «Si no hace las cosas de la misma manera, el malware no sabrá dónde eliminar las copias de seguridad”, anota. «Si sus empleados se infectan con algo, pueden borrarlo y [restaurar desde esa copia de seguridad]”.

Aislar las copias de seguridad: Cuantas más barreras haya entre un sistema infectado y sus copias de seguridad, más difícil será para el ransomware alcanzarlas. Un error común es cuando los usuarios utilizan el mismo método de autenticación para sus copias de seguridad en varios lugares, comenta Landon Lewis, CEO de Pondurance, una empresa de servicios de ciberseguridad con sede en Indianápolis. «Si la cuenta del usuario está comprometida, lo primero que el atacante va a querer hacer es escalar sus privilegios”, asegura. «Si el sistema de respaldo utiliza la misma autenticación, podrá tomar el poder de todo”.

Un sistema de autenticación independiente, con diferentes contraseñas, hace que este paso sea mucho más difícil.

Mantener múltiples copias de seguridad en diferentes ubicaciones: Lewis recomienda que las empresas conserven tres copias diferentes de sus archivos importantes, utilizando al menos dos métodos de copia de seguridad distintos, y al menos uno de ellos debe estar en otra ubicación. Las copias de seguridad basadas en la nube proporcionan una opción remota y fácil de usar, comenta. «El almacenamiento de bloques en Internet es muy económico. Es difícil argumentar por qué alguien no lo usaría como un método de respaldo adicional. Si usa un sistema de autenticación diferente, es aún mejor”.

Muchos proveedores de copias de seguridad también ofrecen la opción de rollbacks, o múltiples versiones del mismo archivo. Si un ransomware ataca y cifra archivos, la utilidad de respaldo automáticamente hace copias de seguridad de las versiones cifradas y sobrescribe las buenas; de esta manera, el ransomware ni siquiera tiene que hacer un esfuerzo extra para llegar a las copias de seguridad. Como resultado, los rollbacks se están convirtiendo en una característica estándar y las empresas deben verificar antes de decidirse por una estrategia de respaldo. «De todas maneras agregaría eso a mis criterios”, agrega Lewis.

Probar, probar, probar las copias de seguridad: Muchas empresas de repente descubren que sus copias de seguridad no se realizaron o son demasiado voluminosas para recuperarlas después de haber sido víctimas de un ataque. «Si no ha realizado ningún tipo de ejercicio de restauración, no está documentado y nadie está familiarizado con eso, seguimos viendo que muchos clientes consideran pagar -y, en algunos casos, realmente lo hacen-, porque pagarle al atacante es en realidad más económico desde el punto de vista operativo”, señala Lewis.

Bob Antia, CSO de Kaseya, una empresa de tecnología que proporciona soluciones de respaldo como parte de sus ofertas, también recomienda verificar si los proveedores de copias de seguridad pueden detectar un ataque de ransomware, especialmente las variedades más nuevas y sigilosas. Algunos ransomware se mueven lentamente de manera deliberada o permanecen inactivos antes de encriptarse, indica. «Estas dos técnicas reflejan que es difícil saber en qué momento en el tiempo debe restaurar sus copias de seguridad”, añade. «Me imagino que el ransomware continuará encontrando formas más engañosas de ocultarse para dificultar la recuperación”.

«No hemos visto muchos ataques globales importantes como WannaCry y Petya recientemente”, señala Antia. Pero cuando sucede, puede ser extremadamente perjudicial. «Hemos visto a organizaciones individuales perder millones de dólares como resultado de ataques recientes”.

Maria Korolov CSOonline.com