Conocer los pasos para reponerse de un ataque de ransomware es realmente importante para los líderes de negocio y los profesionales de TIC. Estos ataques devastadores están golpeando a empresas de todos los tamaños, incluidas las de atención a la salud. De hecho, el costo estimado de los ataques de ransomware se incrementó a 20,000 millones de dólares en 2021 y se proyecta que alcance los 265,000 millones para 2031.
El ransomware es un tipo de malware (código malicioso) que bloquea el acceso a la mayor cantidad posible de datos y sistemas. Para restaurar el acceso exige el pago de un rescate. Los ataques más sofisticados encriptan los datos para bloquear el acceso e incluso copian los datos y amenazan con publicarlos a menos que se pague el rescate.
Los atacantes usan muchas estrategias diferentes para introducir su ransomware en la red de la víctima. Una opción popular es enviar un correo electrónico de phishing. Parece provenir de una fuente legítima y engaña a los destinatarios para que abran un archivo adjunto malicioso o hagan clic en un enlace a un sitio web. Otros ataques explotan vulnerabilidades en los sistemas operativos u otro software.
A primera vista, la forma más sencilla de reponerse de un ataque de ransomware parecería ser simplemente pagar el rescate. Luego, esperar a que los piratas informáticos entreguen la clave de descifrado. Sin embargo, solo el 8% de las organizaciones que pagan el rescate logran recuperar todos sus datos. De hecho, tres de cada diez (29%) recuperan la mitad o menos. Además, el 80% de las empresas que pagaron el rescate sufrieron un segundo ataque. Casi la mitad de ellas cree que fue a manos de los mismos ciberdelincuentes.
En consecuencia, es fundamental establecer una estrategia sólida para reponerse de un ataque de ransomware.
Ruta para reponerse de un ataque de ransomware
●Separar y tener un plan para las copias de seguridad: Haz hacer copias de seguridad periódicas. Incluye las copias de Active Directory necesarias para restaurar los controladores de dominio. Hay que probarlas para asegurarse de que estén en buen estado. Después, elige almacenar estas copias de seguridad en la nube con un proveedor confiable. Ello brinda una manera fácil de proporcionar una ubicación externa alternativa para los datos. Esto también agrega la capacidad de reponerse en ubicaciones alternativas si es necesario.
Las opciones incluyen Amazon Simple Storage Service (S3), Amazon S3 Glacier y S3 Glacier Deep Archive, y Microsoft Azure Blob Storage. Si existe la intención de utilizar el almacenamiento en la nube, asegúrate de que todos los datos de las copias de seguridad estén cifrados antes de que abandonen el perímetro de la red interna.
●Tener elaborado un plan para afrontar el peor de los casos: Desafortunadamente, muchas organizaciones cometen el error de limitar su estrategia para reponerse de un ataque de ransomware a documentos y aplicaciones. Considera el impacto de un ataque en la red, enrutadores, conmutadores y concentradores de VPN. A menudo se pasa por alto la necesidad de proteger la infraestructura en la nube de Microsoft. Resulta especialmente importante, considerando que Microsoft informó de más de 25,000 millones de intentos de ataques en Azure AD solo en 2021. Los datos de respaldo de Microsoft 365 almacenados en Exchange y SharePoint Online, OneDrive, Teams y Calendars son igualmente susceptibles a errores de usuario, eliminación accidental, corrupción y malware.
Importa más la calidad que la velocidad
●Reunir a las personas adecuadas que puedan colaborar de manera efectiva: Un esfuerzo para reponerse de un ataque de ransomware involucra a muchos equipos. Entre otros, el de respaldo para realizar restauraciones, personas de almacenamiento, redes, servidores, seguridad, aplicaciones y aliados externos, como proveedores de almacenamiento en la nube.
Es fundamental tener un responsable que pueda dirigir y coordinar todos estos equipos y tomar decisiones sobre la marcha. Asegúrate de haber documentado claramente todos los roles y responsabilidades. Incluye una sala virtual donde estos equipos puedan unirse y los subgrupos puedan dividirse para elaborar estrategias sobre problemas particulares.
●Contemplar una recuperación por etapas: Cuando un ataque de ransomware trae más que sólo una parte aislada de tu ecosistema de TIC, la recuperación estratégica de datos y aplicaciones en fases suele ser la mejor manera de hacer que el negocio se reponga lo antes posible. Durante la planificación de la recuperación, identifica las aplicaciones que son más críticas para las operaciones principales.
●Más vale calidad y no velocidad: Es comprensible que las organizaciones estén ansiosas por volver a la normalidad después de un ataque. Sin embargo, es esencial asegurarse de que la recuperación se realice correctamente, para que no se vuelva a infectar de inmediato. Es inteligente elegir una solución de recuperación que brinde la flexibilidad de elegir la mejor manera de restaurar cada uno de sus controladores de dominio.