En 2022 -según la firma de seguridad Mandiant- se identificaron 55 ciberamenazas de «día cero», es decir, nunca antes identificadas y explotadas, cuatro de las cuales fueron utilizadas con fines delictivos, principalmente a través de ransomware. No siempre tanto las empresas como los usuarios están preparados para responder a un ciberataque, a veces los retrasos en la respuesta o los procedimientos incorrectos pueden beneficiar paradójicamente a los atacantes. ¿Puede el apagado de un sistema infectado por ransomware salvar los datos que contiene de ser encriptados por el código malicioso? ¿Qué se debe hacer si un ordenador está infectado por un ransomware?
Análisis
El ransomware sigue siendo una gran amenaza para empresas y organizaciones de todo el mundo. No pasa una semana sin que tengamos noticias de nuevos ataques a empresas en nuestro país. El modelo de extorsión detrás de esta amenaza ha evolucionado con los años, al principio los grupos criminales sólo pretendían que los datos no estuvieran disponibles para las víctimas cifrándolos, hoy en día los mismos actores utilizan múltiples niveles de extorsión, el más famoso de ellos es el robo de los datos antes de cifrarlos y la amenaza de revelarlos si no se paga el rescate. En este contexto, es evidente que el conocimiento de cómo responder a estos ataques puede determinar su éxito.
Determinar la familia de ransomware que ha afectado al sistema es importante para evaluar la posible existencia de sistemas de descifrado gratuitos desarrollados por empresas de seguridad o la policía. A continuación, hay que erradicar la amenaza de la red y protegerla corrigiendo los fallos explotados por los atacantes. Estas actividades requieren un conocimiento profundo de la amenaza y de los actores maliciosos que están detrás de ella, por lo que se sugiere la participación de expertos en seguridad que puedan apoyar a la víctima en las fases de investigación y reparación. La disponibilidad de copias de seguridad intactas podría permitir a las víctimas restaurar los sistemas infectados sin tener que pagar el rescate, aunque muchos grupos de ransomware implementan ahora un modelo de extorsión dual amenazando a las víctimas con la divulgación de los archivos robados en caso de impago. Por último, un consejo a menudo ignorado por las empresas: no pague el rescate. Pagar un rescate no garantiza la restauración de los archivos cifrados, y además alimenta e incentiva una actividad de extorsión cada vez más agresiva.
El principal error que cometen los usuarios cuyos sistemas han sido infectados por un ransomware es apagarlos por miedo a que la amenaza cause más daños. En realidad, esta acción puede hacer que los archivos cifrados por el ransomware sean imposibles de recuperar. Apagar el PC durante el proceso de cifrado de los archivos podría corromperlos y, por tanto, hacer imposible su descifrado, incluso en posesión de las claves utilizadas. Además, apagar un ordenador infectado por el ransomware no detendría el proceso de cifrado de forma permanente, ya que en el siguiente reinicio el ransomware podría haber sido desarrollado para reanudar el proceso desde donde se interrumpió.
Conclusiones
El procedimiento correcto a seguir cuando un sistema ha sido infectado por un ransomware es aislarlo de la red inmediatamente. Desconecte el cable de red o interrumpa la conexión Wi-Fi. Esto evitará que el ransomware se propague dentro de la red que aloja la tarea del sistema e infecte otros ordenadores. Sólo entonces podrá procederse a una investigación para determinar cómo se inoculó el ransomware y si se ha producido una violación de datos.
Autor: Pierluigi Paganini, CEO de Cybhorus y profesor de ciberseguridad en la Universidad Luiss Guido Carli.
