Si has detectado un ataque de ransomware, la rapidez de respuesta podría ser la diferencia entre que algunos, o todos los datos, terminen por quedar en manos de un ciberdelincuente.

Como sabemos, la crisis cibernética está a la vuelta de la esquina y los ataques de ransomware son uno de los principales peligros convirtiéndose en el tipo de malware más destacado y visible.

Cada semana, nos encontramos con casos reales y cercanos de empresas de cualquier rubro y tamaño victimas de estos ataques que pueden tener un gran impacto económico, ya que implican pérdidas de negocio por falta de operación de computadoras, servicios y sistemas durante días o semanas hasta que los datos se recuperen.

Lectura adicional: Los ataques de ransomware siguen latentes

Dependiendo de tu negocio, estos ataques de ransomware podrían no ser viables en todos los casos. Sin embargo, la preparación es clave para todas las empresas: saber dónde está la información confidencial, cuáles son sus funciones empresariales y dependencias es el primer paso importante para responder al ransomware.

A continuación, te contaremos todo lo que vas a necesitar para actuar ante un ataque de ransomware y minimizar las consecuencias para tu empresa.

¡Toma nota!

Primero lo primero: ¿Qué es el ransomware?

El ransomware es un tipo de malware que impide al usuario acceder a los archivos personales o sistemas operativos de sus dispositivos móviles y ordenadores. Este software malicioso los encripta para solicitar al usuario un pago a cambio de la clave de descifrado, por lo general en criptomonedas.

De allí su nombre, que significa software de rescate: ransom viene de la traducción en inglés de rescate y ware de software.

El proceso de encriptación puede tomar minutos u horas dependiendo de la cantidad de datos a encriptar y del método de encriptación empleado por el ciber atacante, es por ello que suelen elegir los fines de semana o los feriados para iniciar el proceso. 

¿Cómo responder a un ataque de ransomware?

1. Determina si el ataque es real

Existen muchos subtipos de malware que engañan a los usuarios haciéndoles creer que han descargado un ransomware. Sin embargo, si se hace una revisión completa, se podrá verificar que los archivos están intactos.

Te servirá buscar extensiones de archivo sospechosas, es común que el ransomware cifre archivos para que queden inutilizables y asegúrate de comprobar si este problema solo ocurre en un dispositivo o si ha afectado a varios sistemas y ubicaciones.

2. inicia la respuesta al incidente

Una vez que los sistemas de seguridad determinen que se trata de ransomware, notifica de inmediato a los equipos ejecutivos, legales y de marketing, recursos humanos y otras partes interesadas importantes. Documenta todo el proceso de respuesta a incidentes para que toda la evidencia se conserve para el enjuiciamiento o el análisis posterior al incidente.

3. Desconecta la red

Si se descubre que el ransomware está atacando a más de una ubicación o dispositivo, entonces desconecta la red. Puedes volver a habilitar la red más tarde durante el modo de recuperación y restauración. También intenta deshabilitar las conexiones de red de conmutadores y dispositivos conectados a ella.

4. Determina el alcance del ciberataque

Es hora de profundizar en la naturaleza del ciberataque y el alcance del daño. Hazte algunas preguntas importantes como:

- ¿Qué fue y qué no fue golpeado?

- ¿Qué lugares, sistemas operativos y tipos de archicvos fueron afectados ?

- ¿Qué se comprometió?

- ¿Se han robado datos?

- ¿Es más de una máquina la comprometida?

- ¿Qué tipo de cepa de ransomware es (Ryuk, Locky, Dharma, SamSam, Conti, entre otros)?

Verifica los registros del software de seguridad para detectar vulnerabilidades, escanea en busca de malware, herramientas y secuencias de comandos que puedan haberse utilizado para filtrar datos y verifica las copias de seguridad y asegúrate de que estén intactas.

Los archivos de almacenamiento inesperadamente grandes (por ejemplo, zip, arc) que contienen información confidencial pueden indicar datos robados. Y para determinar si se han robado las credenciales, revisa las credenciales de usuario en sitios de volcado de contraseñas.

Podría interesarte: Todo lo que debes saber sobre las huellas del ransomware

5. Limita el daño inicial

A estas alturas, los equipos de seguridad deberían haber deshabilitado las redes, internet incluido, para evitar que los piratas informáticos miren dentro de la red o controlen de forma remota el ransomware.

Algunos incidentes de ransomware también pueden ser el resultado de un compromiso anterior de la red sin resolver (es decir, infecciones de malware como TrickBot, Dridex o Emotet). Se debe tener cuidado para identificar y limpiar cualquier malware de este tipo para evitar un compromiso continuo, por lo que es una buena idea llamar a expertos.

6. Informa al equipo

Los equipos de seguridad deben compartir lo que se sabe en toda la organización para que todos tengan una comprensión común de los daños infligidos. Asegúrate de que todos estén de acuerdo con la evaluación inicial. Al final, el propósito es que todos estén en la misma página porque solo así pueden llegar a una respuesta efectiva a la situación.

7. Contacta al equipo de Grupo Micronet 

En muchos casos, los usuarios se sentirán confundidos y nerviosos cuando su sistema informático se enfrente a un incidente. Busca ayuda de un equipo profesional en ciberseguridad, servicio que nosotros en Grupo Micronet ofrecemos para ayudar a las empresas a evaluar sus opciones en ciberseguridad y determinar la respuesta ante el ransomware y ante cualquier otro tipo de ataque.

En conclusión

Trabajar en un cultura corporativa centrada en la ciberseguridad que cultive un ambiente de concienciación sobre la misma es la manera más efectiva de minimizar los ataques.

La composición de un equipo de seguridad es el primer paso para crear una estrategia de protección para la empresa. Este equipo (interno o proveedor) debe cubrir: un análisis inmediato sobre la vulnerabilidad de la compañía, una estrategia para la gestión de crisis que tenga en cuenta todas las amenazas conocidas, dispositivos habituales y aplicación de parches, verificación de los acuerdos de terceros y proveedores, pruebas de penetración organizativa y actualizaciones tecnológicas centradas en la seguridad.