Boom de secuestro de datos: los 10 tips de la empresa líder en ciberseguridad para saber qué hacer cuando ocurren

Según estadísticas, las compañías alrededor del mundo se encuentran frente a una disparada de casos de ransomware o secuestro de datos. Fortinet, líder mundial en soluciones de ciberseguridad amplias, integradas y automatizadas, preparó una lista de verificación para ayudar a las organizaciones a lidiar con este tipo de ataques.

La pandemia, con sus respectivas cuarentenas alrededor del mundo, obligó a las empresas a trabajar remotamente. Esta hiperconectividad de hace más de un año potenció los ciberataques provocando que las amenazas de ransomware sean cada vez más frecuentes.

Para los no entendidos, el ransomware es un tipo de ciberataque que restringe el acceso a determinadas partes o archivos del sistema operativo y pide un rescate a cambio de quitar esta restricción. Generalmente ingresa a los sistemas a través de un correo electrónico que contiene un enlace malicioso o un archivo infectado.

Un reciente informe del panorama global de amenazas del laboratorio de inteligencia de amenazas de Fortinet, FortiGuard Labs, demostró que los ataques de ransomware se multiplicaron por siete en la última mitad de 2020. Si bien desde la empresa aseguran poder frustrar cientos de ataques de este tipo por año, los intentos de secuestro de información a través de todo el mundo aumentan y no parecen detenerse.

Desde Fortinet afirman que las tácticas de los cibercriminales continúan cambiando y ya no basta con tener las estrategias defensivas adecuadas, es necesario evaluar continuamente las políticas de seguridad para garantizar que las redes tengan respuestas actualizadas frente a este tipo de ataques.

"El mercado necesita adaptarse a la nueva realidad: la estrategia de seguridad solo de prevención ya no es válida. Los clientes deben invertir en capacidades de prevención, detección y respuesta para tener una postura de seguridad moderna. La mayoría de los clientes solo está invirtiendo en protección y una gran parte del mercado sigue invirtiendo de manera reactiva, después de que sucede un ataque", comentó Gonzalo García, vicepresidente de Fortinet para Sudamérica.

Teniendo esto en cuenta, Fortinet, publicó una lista de verificación para ayudar a las organizaciones a lidiar con un ataque de ransomware en el caso de que este ocurra.

LAS 10 RECOMENDACIONES DE FORTINET

1- No entrar en pánico y ejecutar un plan de respuesta. Mantener la calma y comenzar a ejecutar un plan de respuesta a incidentes (IR). Si no se tiene un plan de respuesta a incidentes solicitar ayuda a su proveedor de seguridad o buscar el asesoramiento de expertos. Muchas organizaciones usan servicios de respuesta a incidentes como el que ofrece el equipo de respuestas de Fortinet: FortiGuard.

2- Como segundo paso aísle sus sistemas y detenga la propagación:. Existen múltiples técnicas para aislar la amenaza y evitar que se propague. En primer lugar, identifique el alcance del ataque. Si ya se dio cuenta que el incidente se extendió, aplique bloqueos a nivel de red como el aislamiento del tráfico en el conmutador o en el borde del firewall o considere la posibilidad de interrumpir temporalmente la conexión a Internet. Si está disponible, la tecnología de detección y respuesta para endpoint puede bloquear el ataque a nivel de proceso, lo que sería la mejor opción inmediata con una interrupción mínima del negocio. La mayoría de los atacantes de ransomware encuentran una vulnerabilidad para entrar en su organización como un RDP expuesto, correos electrónicos de suplantación de identidad u otro método que los atacantes utilizan para introducirse en su entorno.

3- Identificar la variante de ransomware: Muchas de las tácticas, técnicas y procedimientos (TTP) de cada variante de ransomware están documentadas públicamente. Determinar con qué variante se está tratando puede dar pistas sobre la ubicación de la amenaza y cómo se está propagando. Dependiendo de esta, algunas herramientas de descifrado pueden estar disponibles para recuperar los archivos.

4- Identificar el acceso inicial: Determinar el punto de acceso inicial, o paciente cero, ayudará a identificar y cerrar el agujero en su seguridad. Los vectores de acceso inicial más comunes son el phishing o suplantación de identidad, las vulnerabilidades de software como los servicios de Escritorio Remoto y el uso no autorizado de credenciales. Determinar el punto de acceso inicial es a veces difícil y puede requerir la experiencia de equipos digitales expertos en IR.

5- Identificar todos los sistemas y cuentas infectadas: Identificar cualquier malware activo o restos persistentes en los sistemas que aún se comunican con el servidor de comando y control (C2). Las técnicas de persistencia más comunes incluyen la creación de nuevos procesos que ejecutan la carga útil maliciosa, el uso de claves de registro de ejecución o la creación de nuevas tareas programadas.

6- Localice sus copias de seguridad y determine su integridad: Un ataque de ransomware intentará borrar sus copias de seguridad en línea y las instantáneas de volumen para disminuir las posibilidades de recuperación de los datos. Por esa razón, Fortinet recomienda asegurarse de que su tecnología de copias de seguridad no se haya visto afectada por el incidente y que siga estando operativa. Como sucede en muchos casos, los ataques de ransomware suelen haber estado en su red durante días, hasta semanas, antes de decidirse a cifrar sus archivos. Esto significa que puede tener copias de seguridad que contengan cargas útiles maliciosas que no quiera restaurar en un sistema limpio. Analice sus copias de seguridad para determinar su integridad.

7- Sanear los sistemas o crear nuevas construcciones: Si confía en su capacidad para identificar todo el malware activo y los incidentes de persistencia en sus sistemas, entonces puede ahorrar algo de tiempo al no reconstruirse. Sin embargo, puede ser más fácil y seguro crear sistemas nuevos y limpios. Incluso puede considerar la posibilidad de crear un entorno limpio completamente separado al que pueda migrar. Esto no debería llevar demasiado tiempo si está ejecutando un entorno virtual. Cuando reconstruya o sanee su red, asegúrese de que se han instalado los controles de seguridad adecuados y que se siguen las mejores prácticas para garantizar que los dispositivos no se vuelvan a infectar.

8- Informar del incidente: Es importante informar del incidente. También debe determinar si es necesario y obligatorio informar. Si el ataque es grave y su empresa se extiende por varias regiones geográficas, es posible que tenga que ponerse en contacto con los servicios policiales federales en lugar de con la policía local.

9- ¿Pagar el rescate?: Los expertos recomiendan no pagar el rescate. Sin embargo, si lo está considerando, debería contratar a una empresa de seguridad con conocimientos especializados para que lo ayude. Además, pagar el rescate no va a reparar las vulnerabilidades que los atacantes explotaron, así que asegúrese de haber identificado el acceso inicial y parchear las vulnerabilidades.

10- Realice una revisión posterior al incidente: Revise su respuesta a los incidentes para comprender lo que ha ido bien y para documentar las oportunidades de mejora. Esto asegura la mejora continua de sus capacidades de respuesta y recuperación para el futuro. Considere la posibilidad de simular los detalles técnicos y no técnicos del ataque para poder revisar sus opciones.

Aunque los ataques seguirán, es importante seguir los lineamientos de expertos como Fortinet en el caso de que ocurran y saber que solo una acción no detendrá a los delincuentes. Para evitar estos ataques, se deben tener una serie de acciones constantes y eficaces en toda el área. Así lo afirmó el vicepresidente de la empresa.

Gonzalo García, vicepresidente de Fortinet para Sudamérica

"La seguridad es un proceso, no es una única acción, es necesario encarar el problema del ransomware con decisión e inversión. Tener solo una estrategia de prevención no basta, hay que invertir tanto en la capacidad de prevenir como en la de detectar y reaccionar. Es aconsejable privilegiar el tener una visión central y unificada de toda la superficie de ataque. Incorporar capacidad de análisis y reacción a velocidad digital, asistida por inteligencia artificial para poder tener detección temprana y respuesta automatizada, se vuelve crítico por el volumen de información", concluyó Garcia.

Obtenga más información en https://www.fortinet.com/lat, en el blog de Fortinet, o en FortiGuard Labs.

Temas relacionados
Más noticias de Hackeo