Hasta 2020, la principal estrategia para defenderse del malware era tener una copia de seguridad de sus datos que no este directamente accesible desde la red. El ransomware es el tipo de malware que cifra los datos corporativos y exige un rescate (normalmente en Bitcoin) a cambio de la clave necesaria para descifrarlos.
Una de las primeras acciones que realiza un ransomware tradicional es buscar y destruir también las copias de seguridad. Para superar este problema, las copias de seguridad se almacenan en servidores o soportes desconectados de la red.
Esta técnica no es perfecta porque con las copias de seguridad asíncronas y desconectadas se pierde la posibilidad de recuperar los datos más recientes, normalmente los del día del ataque.
Además, la restauración de decenas o cientos de ordenadores y servidores puede interrumpir las operaciones de la empresa durante días o semanas (la duración media de la interrupción del servicio es de 21 días, según un estudio de Coveware de finales de 2020). En cualquier caso, ante la posibilidad de perder todos los datos y el acceso a los ordenadores -quizá necesarios para la producción- era una estrategia aceptable.
La triple amenaza del nuevo ransomware
Decimos «era» porque el malware que ha estado circulando durante el último año es completamente diferente del malware del pasado, y lleva a cabo dos nuevos tipos de extorsión ante los cuales las copias de seguridad son inútiles. Antes de cifrar los datos corporativos e iniciar la petición de rescate -haciendo evidente el ataque-, el nuevo ransomware roba datos de forma silenciosa, permitiendo a los autores buscar información corporativa confidencial o comprometedora (como secretos comerciales, listas de clientes, documentación interna, correos electrónicos…).
Cuando el ransomware se manifiesta, la amenaza en este momento se sitúa en tres niveles:
- Perder los datos de la empresa para siempre, si no se tiene una copia de seguridad reciente.
- Vender de secretos comerciales a los competidores, en sitios que han surgido en la web oscura precisamente con este fin.
- Difundir públicamente información comprometedora, por ejemplo, la información personal de los clientes que podrían solicitar una indemnización -incluso como acción colectiva- por violar el GDPR.
Está claro que, frente a las dos últimas acciones, tener una copia de seguridad ya no sirve de nada.
El ransomware casi siempre se inicia en un ordenador, ya sea abriendo un documento infectado enviado por correo electrónico a un empleado (normalmente un archivo PDF o Word), o visitando un sitio comprometido (en este caso, el malware a veces sólo actúa en la memoria, sin necesidad de escribir los archivos en el disco, evadiendo muchos controles antivirus).
Por tanto, es fundamental detectar el malware en esta fase, en el primer PC, y poner en marcha una serie de acciones para aislarlo y bloquear sus efectos en toda la cadena: otros PC, recursos compartidos y la red. Los productos que hacen esto se llaman Endpoint Detection and Response. La solución GravityZone de Bitdefender es una herramienta especialmente eficaz contra el ransomware, ya que trabaja en múltiples niveles y en diferentes etapas del ataque actuando para la prevención, la detección temprana y la remediación, con una serie de acciones específicas:
- Múltiples capas de bloqueo en los puntos finales y las redes, antes de que el malware actúe (incluso si sólo está presente en la memoria)
- Múltiples capas de detección con inspección de procesos, supervisión de registros e inspección de códigos
- Múltiples niveles de recuperación con reversión efectiva desde la máquina local o el sistema remoto
- Defensas adaptativas avanzadas contra los exploits, que analizan el comportamiento del malware incluyendo el aprendizaje automático configurable
- Tecnologías de mitigación de riesgos mediante la corrección automática de vulnerabilidades, configuraciones incorrectas del sistema y comportamientos de los usuarios
- Copias de seguridad a prueba de manipulaciones, que no utilizan copias sombra, lo que impide que el ransomware elimine las copias de seguridad
- Bloqueo del ransomware a distancia y en la red mediante la creación de una lista negra de direcciones IP de los atacantes
- Limpieza de toda la organización, terminando procesos, eliminando malware y poniendo en cuarentena globalmente los archivos
Sin embargo, frente a ataques dirigidos y avanzados como los que estamos viendo, el simple uso de un producto no es suficiente si no va acompañado de una vigilancia cuidadosa y constante por parte de personal competente. No es casualidad que muchos ataques de ransomware dirigidos se produzcan los fines de semana, cuando el personal de TI no está presente.
Por lo tanto, si su organización no tiene un Centro de Operaciones de Seguridad 24/7, la mejor solución es confiar en un servicio gestionado de detección y respuesta a ciberataques. Obtenga más información sobre las soluciones de detección y respuesta gestionadas basadas en Bitdefender GravityZone aquí.
Redacción CambioDigital OnLine fuente: Bitdefender