A menudo no hay una forma fácil de salir de un ataque de ransomware, pero la forma de responder puede marcar una gran diferencia en la cantidad de daño que se hace. Esta guía le mostrará algunas de las mejores prácticas para una respuesta al ransomware y cómo minimizar el daño y volver a poner su sistema en línea de la manera más rápida y segura posible.

 

Señales de un ataque de ransomware

Si observa archivos en su computadora con nombres y extensiones extraños que no se abrirán con ningún programa, es muy probable que se esté produciendo un ataque de ransomware. Por lo general, la primera señal segura de un ataque de ransomware es una pantalla que anuncia que sus archivos han sido encriptados. La pantalla podría tener un aspecto similar al siguiente:

Recuperación de ransomware Dharma

«¡Todos tus archivos han sido encriptados!»

Esta es una experiencia terrible y cada vez más común; Los ataques de ransomware aumentaron más del 700% en 2020. Si ves un mensaje como este y descubres que no puedes acceder a tus archivos, existe una alta probabilidad de que toda tu red se vea comprometida. El ransomware a menudo está programado para infectar la mayor parte de la red antes de darse a conocer. Para la mayoría de las organizaciones, cada minuto de inactividad se traduce en pérdida de dinero. Una encuesta mostró que el costo promedio de un ataque de ransomware es de $133,000 USD, incluido el tiempo de inactividad, los pagos de rescate, los costos de red, la mano de obra, los costos de los dispositivos y las oportunidades perdidas. Para el 5% de los encuestados, el costo osciló entre 1,3 y 6,6 millones de dólares. La mayoría de las víctimas de ransomware fueron atacadas una media de dos veces, lo que apunta a la importancia de una respuesta eficaz. Una buena respuesta puede reducir significativamente las posibilidades de que te vuelvan a golpear. Muchos ataques de ransomware tienen demandas con límites de tiempo cortos, por lo que debe actuar rápido para guardar sus datos. Al mismo tiempo, es importante mantener la calma. Esta guía le dará una idea general de los pasos que se deben seguir en caso de un ataque de ransomware. Los siguientes pasos son algunas de las mejores prácticas que nuestro equipo ha desarrollado después de ayudar a numerosos clientes a restaurar sus operaciones después de ataques de ransomware.

 

1. Que no cunda el pánico.

Es fácil enfadarse porque los negocios se detienen repentinamente, pero eso no ayudará en nada. Recuerde que muchas organizaciones se han visto afectadas por ataques de ransomware y han salido airosas. Mantener un estado de ánimo tranquilo hará que sea más fácil hacer lo que hay que hacer. Tomar todas las medidas adecuadas en lugar de apresurar una respuesta mal organizada puede reducir el costo general de la recuperación y protegerlo de más ataques en el futuro.

 

2. Desconecte los dispositivos infectados.

Por lo general, no aparecerá una demanda de rescate hasta que el ransomware haya infectado todos los dispositivos a los que pueda acceder. Sigue siendo una buena práctica desconectar los ordenadores infectados, ya que el ransomware puede propagarse en función de la actividad de la red. Si detecta el ransomware antes de que se realice la demanda, es aún más importante actuar rápidamente para evitar que se propague. En el momento en que note el malware, inmediatamente:

  • Desconecte todas sus unidades de la red.
  • Apague el Wi-Fi, Bluetooth y desconecte los cables Ethernet.
  • Si es posible, apague toda la red.
  • Informe a los trabajadores remotos conectados a la red infectada y pídales que se desconecten y apaguen sus sistemas.

 

3. Notifique a su proveedor de servicios de TI y/o departamento de TI.

El ransomware tarda en propagarse a través de un sistema, por lo que si detecta un ataque, debe actuar de inmediato para evitar que la infección empeore. Este paso debe darse incluso antes de notificar a su departamento de TI, porque cada segundo cuenta. También debe notificar a su proveedor de servicios de TI lo más rápido posible. Si tiene copias de seguridad en la nube, por ejemplo, es posible que la infección ya se haya propagado a sus copias de seguridad. Dependerá del proveedor de servicios detener el ataque. Actuar rápido puede marcar la diferencia entre verse obligado a pagar un rescate o no. Si su organización tiene un departamento de TI, es mejor dejar que se encarguen de la respuesta al ransomware como se describe en los siguientes pasos. Deberán acceder al sistema de una manera que evite que el ransomware se propague. Si su organización no tiene un departamento de TI, puede ser mejor contratar ayuda externa. BeforeCrypt se especializa en ransomware, muchos de nuestros clientes son pequeñas y medianas empresas sin un departamento de TI dedicado.

 

4. Documenta el ataque.

Tome una captura de pantalla o una fotografía de cualquier mensaje de rescate. Además, tome una captura de pantalla de la apariencia de los archivos cifrados. Asegúrese de anotar la hora exacta en que se descubrió el ataque. Si puede, descargue copias de los registros del sistema y de los registros del servidor. Hay varias razones por las que es necesario documentar cuidadosamente el ataque. En primer lugar, puede ayudar a determinar qué tipo de ransomware te ha afectado. Con algunas versiones anteriores de ransomware, hay herramientas de descifrado disponibles que pueden ayudar a recuperar sus datos. Sin embargo, en la gran mayoría de los casos, no hay una salida fácil, pero conocer el tipo de ransomware puede ayudar a la policía a atrapar a los atacantes más adelante. Si su organización tiene una póliza de seguro contra ataques cibernéticos, es posible que sea necesaria una documentación completa para presentar un reclamo.

 

5. Notificar a las autoridades.

Es posible que esté o no legalmente obligado a denunciar el ataque. Dependiendo de su país y del tipo de violación de datos, es posible que deba presentar informes ante más de una agencia gubernamental. Por ejemplo, en la Unión Europea, es posible que deba presentar una denuncia en virtud del Reglamento General de Protección de Datos (RGPD). En Estados Unidos, la Ley de Responsabilidad de los Seguros Médicos y la Portabilidad (HIPAA) exige a las empresas del sector sanitario que informen de todas las violaciones de datos. Si la naturaleza de los datos es privada o personal, como nombres de usuario y contraseñas, está legalmente obligado en virtud del RGPD para Europa y, potencialmente, de EE. UU., a comunicar la violación de datos en forma de comunicado de prensa/correo electrónico a sus colegas y clientes, incluidos, entre otros:

  • El tipo de violación que se produjo
  • Una fecha y hora de la violación
  • Una evaluación exhaustiva de los daños
  • Cualquier acción que haya realizado (como pagar el rescate, restaurar a partir de copias de seguridad, informar a las autoridades policiales, etc.)
  • Proporcionar acciones sugeridas a sus clientes (como cambiar el nombre de usuario/contraseña, etc.)

Ser transparente es importante. Si bien es natural que su empresa sufra debido a la noticia de una violación de datos, cuanto más proactivo sea el enfoque que adopte, mejor será para su organización. Para obtener una explicación más completa de este tema, junto con los datos de contacto de las oficinas pertinentes, consulte nuestra Guía de cumplimiento de ransomware.

 

6. Averigüe el tipo de ransomware.

¿Has oído hablar de WannaCry? Fue uno de los ataques de ransomware más peligrosos hasta la fecha. Para cuando se resolvió, más del 25% de los sistemas de los Servicios Nacionales de Salud (NHS) del Reino Unido se vieron comprometidos, desde los servidores hasta los respiradores. Cada variante de ransomware se programa de manera diferente y, por lo tanto, se trata de manera diferente. Si bien hay miles de cepas para cualquier ransomware, los dos tipos más comunes son:

  • Ransomware de bloqueo de pantalla
  • Ransomware de cifrado de archivos

El malware de bloqueo de pantalla es ligeramente más fácil de resolver y recuperarse en comparación con este último. Dependiendo del tipo de ransomware, puede tener diferentes opciones.

 

7. Revisa tus copias de seguridad.

El mejor escenario posible es restaurar su sistema a una copia de seguridad de antes de que ocurriera la infección. Para hacer esto, necesita saber cuándo ocurrió la infección para no volver a infectarse. Aquí es donde los registros del sistema pueden ser útiles. Restaurar sistema generalmente no es una buena solución para el ransomware, ya que puede restaurar a una imagen de disco que tiene elementos del malware ocultos en lo profundo de su sistema de archivos. En algunos casos, el ransomware también puede infectar sus copias de seguridad. En este caso, es muy poco lo que puede hacer además de ceder a las demandas de los atacantes, o borrar su sistema y aceptar la pérdida de sus datos.

 

8. Encuentre la causa raíz del ataque de ransomware.

En cualquier caso, necesita saber cómo se produjo la infección. Ya sea que pague el rescate o restaure sus datos con una copia de seguridad, si no encuentra la causa del ataque, corre el riesgo de otra infección. La mayoría de los ataques de ransomware comienzan a través de phishing o exploits. Los ataques de phishing suelen producirse en forma de correo electrónico o sitio web. Los piratas informáticos pueden hacerse pasar por empresas o agencias gubernamentales de buena reputación imitando la apariencia de sus correos electrónicos o sitios web, y luego engañar a los empleados para que hagan clic en un enlace o descarguen un archivo adjunto que contenga el malware. Hay un buen recurso sobre la prevención del phishing aquí. Si la infección de ransomware se produjo debido a una vulnerabilidad en su sistema, deberá parchear esa vulnerabilidad antes de restaurar sus datos. Muchas vulnerabilidades se producen por el uso de versiones anteriores de software, por lo que debe mantenerse al día con los exploits y parches para minimizar el riesgo.

 

Los pasos 9-14 se explican en detalle en la guía completa.

 

Descarga ahora la guía completa de forma gratuita.