¿Qué es Ransomware y cómo funciona?

Ransomware es un tipo de malware que cifra sus archivos y exige el pago de un rescate a cambio de restaurar el acceso a sus datos. Si el rescate no se paga, sus datos pueden borrarse, ser retenidos o exfiltrados en la web oscura o en otros sitios web por intención maliciosa. Como no hay ninguna garantía de que un perpetrador cumpla los términos del rescate, la mejor opción es prevenir el ransomware creando una arquitectura resistente a los datos que emplee las mejores prácticas de ciberseguridad y la inmutabilidad.

Informe ESG: Iluminar el camino hacia la preparación y la mitigación

Al igual que todo el malware, el ransomware debe descargarse en su máquina o red para poder acceder a sus datos. La manera más común de contraer el ransomware es mediante un archivo adjunto descargable que se envía a través de un correo electrónico de phishing, pero las unidades de memoria, las aplicaciones comprometidas, los sitios web infectados, la ingeniería social y las amenazas internas también son vectores de ataque viables.  

Una vez descargado y ejecutado, el ransomware cifra los archivos del sistema host, lo que hace que sea computacionalmente inaccesible sin la clave de descifrado adecuada. Normalmente, se presenta una nota de rescate a los propietarios del sistema comprometido con detalles sobre cómo y cuánto pagar para que se liberen los archivos. Un ransomware más sofisticado puede proporcionar su carga útil sin depender de los errores humanos y, en su lugar, aprovechando las vulnerabilidades críticas del software de su sistema.

Reconocer los signos de una infección por ransomware es crucial para una detección y una respuesta tempranas. Estos son los indicadores clave que hay que tener en cuenta:

• Archivos bloqueados: Descubre que sus archivos son repentinamente inaccesibles o que se les añaden extensiones de archivo inusuales.
• Nota sobre el rescate: Aparece un mensaje en su pantalla que le pide que pague a cambio de una clave de descifrado.
• Extensiones de archivos modificadas: Sus archivos tienen extensiones inusuales añadidas, lo que indica el cifrado.
• Actividad inusual de la red: Mayor tráfico de red, sobre todo en dominios desconocidos o sospechosos.
• Rendimiento lento: Su sistema o red experimenta una ralentización significativa del rendimiento.
• Software de seguridad inhabilitado: Ransomware a menudo intenta desactivar el antivirus o el software de seguridad.

Entender las posibles consecuencias de los ataques de ransomware es esencial para estar preparado. El impacto de estos ataques puede ser de gran alcance e incluye:

• Pérdida de datos: El cifrado de sus archivos puede provocar la pérdida permanente de datos si no tiene copias de seguridad.
• Pérdida financiera: Pagar el rescate no garantiza la recuperación segura de sus datos y puede generar pérdidas financieras.
• Alteración operativa: Ransomware puede interrumpir las operaciones de su empresa y provocar tiempos de inactividad y pérdidas de productividad.
• Daño a la reputación: Ser víctima de un ataque de ransomware puede dañar la reputación de su organización y erosionar la trus.
• Consecuencias regulatorias: Las vulneraciones de datos derivadas de los ataques de ransomware pueden conllevar sanciones legales y regulatorias.

Ransomware a los operadores de ransomware una tarifa de suscripción por el acceso a los kits de RaaS que pueden usarse para desplegar, supervisar y gestionar sus propias campañas de ransomware. 

Los kits de RaaS suelen incluir paneles de control dedicados para que la filial realice un seguimiento y gestione sus campañas, lo que les proporciona visibilidad de los archivos cifrados y las máquinas infectadas. El portal de RaaS también permite que los usuarios establezcan mensajes de usuario personalizados, establezcan demandas de rescate y realicen un seguimiento de los beneficios.  

Los kits de RaaS se pueden encontrar en la web oscura, con soporte 24x7, reseñas de usuarios, foros y otras características normalmente asociadas con proveedores de SaaS legítimos. Se puede acceder a ellos con una tarifa de suscripción fija o a través de programas de afiliados, con un porcentaje de los beneficios destinados al desarrollador del ransomware.

El malware de limpiaparabrisas, también conocido como wiperware, es un tipo de pseudo ransomware en el que el objetivo del malware es destruir los sistemas y los datos de una víctima en lugar de extraer un rescate a cambio de descifrar los archivos. El Wiperware puede seguir usando los mensajes de ransomware para dejar entrever la esperanza de recuperar todos sus archivos, pero esta es una táctica de retraso que se utiliza para comprar tiempo para acceder a más sistemas, propagarse a otros usuarios y aumentar la huella de daños. Los mensajes de ransomware también sirven para ocultar la verdadera intención del ataque el tiempo suficiente para ejecutarse. Dado que un rescate no es el objetivo, estos ataques suelen llevarse a cabo como ciberespionaje por parte de los gobiernos que intentan dañar la infraestructura.

Las medidas proactivas para prevenir los ataques de ransomware son primordiales para proteger los datos y las operaciones de su organización. Tenga en cuenta las siguientes estrategias preventivas:

• Educación del usuario: Formar a los empleados para que reconozcan los correos electrónicos de phishing y eviten descargar archivos adjuntos sospechosos.
• Actualizaciones de software: Mantenga actualizado su sistema operativo y software para corregir las vulnerabilidades conocidas.
• Soluciones de ciberseguridad: Invierta en herramientas de ciberseguridad como cortafuegos, software antivirus y sistemas de detección de intrusiones.
• Control de acceso: Limite los privilegios de usuario y el acceso a los sistemas críticos para minimizar la superficie de ataque.
• Copias de seguridad de datos: Implementar copias de seguridad de datos regulares con almacenamiento externo para garantizar las opciones de recuperación de datos.
• Plan de respuesta a incidentes: Desarrolle un plan de respuesta a incidentes completo para minimizar los daños en caso de ataque.

En caso de un ataque de ransomware, es esencial un plan de respuesta bien definido para minimizar los daños y facilitar la recuperación. Aquí le explicamos cómo responder de manera efectiva:

• Aísle el sistema infectado: Desconecte el sistema comprometido de la red para evitar una mayor propagación.
• Evalúe el daño: Determine el alcance del cifrado de datos y evalúe el impacto en las operaciones.
• Informe del incidente: Notificar a las fuerzas del orden público y a las autoridades pertinentes según lo exijan las normativas.
• No pague el rescate: No se recomienda pagar el rescate, ya que no garantiza la recuperación de los datos y financia las actividades delictivas.
• Restaurar a partir de las copias de seguridad: Utilice sus copias de seguridad seguras para restaurar los datos cifrados y reanudar las operaciones.
• Mejore la seguridad: Refuerce sus medidas de ciberseguridad para prevenir futuros ataques.

Más allá de la prevención y la respuesta, aquí tiene algunos pasos que puede seguir para mitigar los daños y los tiempos de inactividad, como:

• Crear una arquitectura de resiliencia con copias de seguridad por niveles para mantener los datos seguros y disponibles.
• Mantener actualizado su sistema operativo y su pila tecnológica para anticiparse a los exploits y vulnerabilidades conocidos.
• Invertir en ciberseguridad (por ejemplo, formación en InfoSec, auditorías de seguridad de la red y pruebas de vulnerabilidad).
• Controlar el acceso a los archivos y datos seguros, mediante la gestión de los derechos y los privilegios de administración.
• Realizar copias de seguridad de sus archivos mediante copias instantáneas frecuentes y otros métodos de protección de datos.

Descubra por qué la resiliencia de los datos es la máxima prioridad en la estrategia de ciberseguridad de la Casa Blanca. >>

Las medidas de protección de datos convencionales se diseñaron para salvaguardar sus datos de los desastres naturales o provocados por el hombre, los daños en los datos o los borrados accidentales. Sin embargo, los ataques de ransomware pueden poner al límite la infraestructura de protección de datos existente, que puede estar basada en arquitecturas tradicionales, como el disco y la cinta, más de lo previsto. Para responder a las amenazas en constante evolución, como el ransomware, la resiliencia de los datos debe integrarse en la arquitectura desde cero. 

Las copias instantáneas SafeMode ™ de Pure Storage® proporcionan una protección integrada para sus datos en caso de un ataque de ransomware, al realizar copias de seguridad frecuentes de su sistema en copias instantáneas de solo lectura desde las que puede recuperar sus datos. SafeMode ayuda a proteger los datos críticos, ya que estas copias instantáneas no pueden modificarse, eliminarse o cifrarse, incluso si las credenciales de administrador se han visto comprometidas. Piense en estas copias instantáneas inmutables, como las bolsas de aire, que no evitarán un choque, pero aumentarán sus posibilidades de dejar de sufrir el choque sin sufrir daños.

Disponible con todos los sistemas FlashBlade y FlashArray ™, SafeMode está incluido en el entorno operativo Purity como parte de su suscripción a Pure Storage.

Cuando se sufre un ataque de ransomware, hay que restaurar los datos rápidamente. Sin embargo, los sistemas tradicionales y los dispositivos diseñados específicamente son notablemente lentos y no están diseñados para la recuperación. Rapid Restore , que funciona con los sistemas FlashBlade de Pure Storage, aumenta drásticamente la velocidad de restauración de los datos sin necesidad de cambiar su software de copia de seguridad. FlashBlade proporciona una restauración rápida y una recuperación de petabytes a escala, con un rendimiento de recuperación de datos de hasta 270TB/h.