Los incidentes de ransomware aumentan cada año. Comprender el peor de los casos que podría ocurrir y tener un plan para ello puede ayudarte a mitigar sus efectos. Seamos francos: el peor de los casos en los incidentes de ransomware es que un negocio no se recupere y tenga que cerrar.
¿A qué puedes enfrentarte?
●El atacante envía malware a tu sistema y obtiene acceso a tus datos: Una de las formas más comunes en que un atacante de ransomware obtiene acceso a tu sistema es comprando credenciales de un corredor de acceso inicial en la web oscura. Una vez dentro, el atacante normalmente permanece en el entorno durante algún tiempo para plantar puertas traseras que permitan retener el acceso.
Luego, instalan malware en el sistema. Este generalmente se ejecuta sin ser detectado en segundo plano durante un período de tiempo hasta que el atacante decide iniciar la fiesta.
●El malware infecta o elimina Active Directory: Active Directory (AD) es un objetivo principal para los atacantes. Esto es porque forma la base de las cuentas y los activos de datos de la mayoría de las organizaciones. Si AD está infectado, has perdido el control total de tu infraestructura de TIC. Cuando un atacante tiene privilegios de administrador de dominio, puede ir a cualquier lugar y hacer cualquier cosa dentro de tu sistema.
Navegación comprometida
●Tu sistema de nombres de dominio (DNS) se corrompe: El ransomware puede resultar en suplantación de DNS, envenenamiento de caché o secuestro. Básicamente, todos estos ataques significan que no podrás acceder a los sitios web que deseas y podrías ser redirigido a un sitio malicioso.
La suplantación de identidad y el secuestro requieren una toma de control física de la configuración de DNS. Sin embargo, el envenenamiento de caché se puede realizar insertando una entrada de DNS falsa en la caché. Eso enviará a los usuarios a una ubicación de IP alternativa.
●El atacante se mete con los servicios de tiempo de tu sistema: Los servicios de tiempo de tus sistemas son críticos para muchas operaciones de TIC. Las copias de seguridad y otras tareas se programan como tareas regulares y se realizan automáticamente entre bastidores. Si se cambia la hora o la fecha de la red, podría generar un efecto dominó de problemas. Los sistemas de facturación automatizados podrían causar estragos al enviar facturas fuera de tiempo, podrían perderse copias de seguridad, perderse o eliminarse citas, etc.
●Tus copias de seguridad no funcionan: Si bien este problema no se debe necesariamente a los incidentes de ransomware como tales, podría exacerbar en gran medida tus problemas. Es catastrófico si tus copias de seguridad se destruyen, corrompen o pierden durante los incidentes de ransomware (hablamos del peor de los casos, recuerda). Las cintas y las unidades se dañan con el tiempo. Por ello, probarlas regularmente es una parte crucial para estar preparado para lo peor.
Planear para los incidentes de ransomware
●La compañía dedicada a respuesta a incidentes no llega: Elegir el equipo de respuesta a incidentes (IR) correcto también es una parte fundamental de tu estrategia de preparación. Hay muchas opciones hoy en día y es importante examinar tu elección, tenerla en reserva y validarla con tu compañía de seguros.
●Tu reputación podría sufrir mediáticamente: La reputación de tu organización es un activo valioso. Si bien los incidentes de ransomware son cada vez más comunes, tus clientes aún quieren saber que estás haciendo todo lo posible para proteger sus datos e intereses, incluso si estás bajo ataque. Parte de la planificación previa es decidir cómo manejarás la comunicación en torno a un incidente.
●Las ramificaciones legales son demasiado costosas para sobrevivir: Cuando llega el ransomware, hay múltiples implicaciones legales a considerar. En muchos casos, podría ser ilegal pagar el rescate si los atacantes se encuentran en ciertas regiones del mundo. También deberás decidir si intentarás manejar el incidente internamente o contratarás una respuesta a incidentes o una firma legal de terceros para obtener ayuda. Y una vez que se conozca el ataque, también podría enfrentarse a una avalancha de demandas por parte de tus clientes.
Si ocurre el peor de los casos y todos estos factores convergen para crear una “tormenta perfecta” de catástrofe, tendrás dificultades para manejar todo correctamente o de manera efectiva cuando las cosas se pongan difíciles. La conclusión es que la preparación te servirá bien.
No se garantiza que nadie esté a salvo de los incidentes de ransomware en el clima de seguridad actual, pero tener un equipo de respuesta de emergencia y un plan listo puede evitar que te derrumbes por completo. Esto último puede requerir un proceso de reconstrucción manual costoso y lento.