Recuperación de ransomware: cómo recuperarse de ransomware

El ransomware ha existido durante décadas, pero los ataques ransomware han aumentado en los últimos años después de que el ataque ransomware WannaCry demostrara que estos ataques son efectivos y rentables. En los últimos años, han surgido muchos grupos de ransomware que están impulsando malware sofisticado.

Estos grupos aprovecharon la pandemia de COVID-19 para difundir sus ataques a través de RDP y terminales VPN vulnerables. Sin embargo, si bien el final de la pandemia de COVID-19 puede estar a la vista, la pandemia de ransomware parece estar acelerándose.

Más información Hable con un experto

Un aumento en los ataques de ransomware

Originalmente, el ransomware era un malware impulsado por un único grupo de amenazas que cifraba archivos en un sistema y exigía un rescate por la clave de descifrado. Sin embargo, en los últimos años, la cara de la amenaza del ransomware ha cambiado drásticamente.

Un cambio importante es la creciente escalada de estos ataques. Primero, los ataques de “doble extorsión” robaron datos confidenciales antes de cifrarlos y amenazaron con filtrar los datos si no se pagaba el rescate. Entonces, los grupos de “triple extorsión” comenzaron a amenazar y exigir también rescates a los clientes de sus víctimas. Ahora, algunos grupos de ransomware amenazan o realizan ataques de denegación de servicio distribuido (DDoS) para dar una ventaja adicional a las víctimas para que paguen el rescate.

Otra evolución importante es la aparición del modelo Ransomware como servicio (RaaS) , en el que un grupo ransomware desarrolla malware y luego lo distribuye a "afiliados" para que lo utilicen en sus ataques. Con RaaS, más grupos tienen acceso a malware sofisticado, lo que significa más ataques de ransomware.

Qué hacer cuando está infectado

Si ha sido infectado, siga estos pasos para gestionar el impacto del incidente y prepararse para la recuperación del ransomware:

  1. Mantenga la calma: los ataques de ransomware pueden ser estresantes, pero apresurarse puede significar cometer errores importantes. Mantener la cabeza fría es esencial para tomar las decisiones correctas mientras se recupera del ransomware.
  2. Poner en cuarentena los sistemas afectados: el ransomware comúnmente intenta propagarse a través de la red para infectar tantos sistemas como sea posible. Desconectar los sistemas infectados del resto de la red también puede ayudar a evitar que se cifren otros datos.
  3. Desconectar copias de seguridad: el ransomware suele atacar los sistemas de copia de seguridad porque los operadores ransomware saben que las organizaciones intentarán recuperarse de las copias de seguridad en lugar de pagar el rescate. No conecte ninguna de las copias de seguridad a la computadora infectada y supervise y ponga en cuarentena las copias de seguridad que puedan estar infectadas.
  4. Haga una copia: el descifrado de ransomware no siempre funciona y los descifradores ransomware están en desarrollo continuo. Hacer una copia de los datos cifrados podría permitir que se recuperen más tarde si algo sale mal.
  5. Mantenga los sistemas infectados en línea: algunas variantes de ransomware pueden hacer que los sistemas infectados sean inestables, lo que significa que un reinicio puede dejarlos en un estado irrecuperable. No intente reiniciar los sistemas ni realizar actualizaciones en los sistemas infectados mientras trabaja para eliminar el ransomware.
  6. Coopere y comuníquese: comuníquese con las fuerzas del orden público, los reguladores y otras partes interesadas y considere ponerse en contacto con un equipo de respuesta a incidentes de buena reputación. Pueden tener conocimientos especializados o recursos adicionales para ayudar a resolver el problema.
  7. Identifique la variante: hay muchas variantes diferentes de ransomware en circulación y la lista cambia constantemente. Si la nota de rescate no nombra al autor, consulte el Proyecto No More Ransom para obtener más información y potencialmente un descifrador gratuito.
  8. Pagar o no: Esta pregunta es difícil. Por un lado, pagar el rescate puede permitir una recuperación más rápida y económica. Por otro lado, pagar no proporciona ninguna garantía de recuperación y proporciona a los atacantes los recursos necesarios para continuar sus actividades.
  9. Aprenda del incidente: el ransomware obtuvo acceso a sus sistemas de alguna manera. Identifique el vector de infección y ciérrelo para evitar que futuros atacantes utilicen las mismas técnicas.

Cómo recuperarse de ransomware

Un ataque de ransomware exitoso cifra los datos de una manera que hace imposible descifrarlos sin la clave de descifrado adecuada. Sin embargo, existen algunas opciones para la recuperación de ransomware:

  • No More Ransom Project: Como se mencionó anteriormente, el primer lugar para buscar una solución es el Proyecto No Más Ransom. Se han lanzado descifradores gratuitos para muchas variantes de ransomware, lo que permite la recuperación sin pagar el rescate. Sin embargo, las herramientas no suelen estar disponibles para las variantes de ransomware más frecuentes.
  • Restaurar desde copias de seguridad: el ransomware suele intentar eliminar o cifrar las copias de seguridad, pero es posible que algunas permanezcan intactas. si están fuera de línea o de solo lectura. Después de verificar que la copia de seguridad está limpia y borrar completamente el equipo, incluido el registro maestro de arranque (MBR), es posible realizar una recuperación parcial o completa de las copias de seguridad.
  • Pagar el rescate: el objetivo del ransomware es colocar a las víctimas en una posición en la que pagar el rescate sea la “única opción disponible”. La decisión de pagar o no depende de la situación única de una organización y conlleva riesgos significativos.

Además de restaurar archivos, es esencial asegurarse de que los atacantes no puedan volver a cifrar inmediatamente los archivos en las computadoras infectadas. Involucrar a un equipo de respuesta a incidentes (IRT) para identificar y cerrar la vulnerabilidad utilizada para obtener acceso al entorno corporativo y detectar y eliminar cualquier puerta trasera y mecanismo de persistencia instalados en los sistemas infectados es un paso vital antes de restaurar estos sistemas.

Recuperación de ransomware con Check Point

Cuando se trata de ransomware, la prevención es siempre la mejor opción. Disponer de una solución anti-ransomware antes de que se produzca un ataque puede ahorrarle a una organización mucho tiempo, dinero y problemas. Para obtener más información sobre las soluciones anti-ransomware, consulte esta Guía del comprador y solicite una demostración gratuita de Harmony Endpoint.

Sin embargo, si es víctima de un ataque de ransomware exitoso, es una buena idea llamar a los expertos. Los equipos de detección y respuesta administradas (MDR) y respuesta a incidentes (IR) de Check Point tienen una amplia experiencia en la detección, investigación y gestión de infecciones de ransomware.

Si está experimentando un incidente de ciberseguridad, llame a nuestra línea directa de respuesta de emergencia. Para asuntos menos urgentes y para obtener más información sobre cómo protegerse contra futuros ataques de ransomware, contáctenos.

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.