Cómo puede defenderse contra el ransomware

Todos sabemos que el ransomware es una de las variantes de malware más destructivas que existen. Estás hablando de hacer clic en el enlace equivocado y hacer que los datos de tu organización desaparezcan en un pantano de galimatías cifradas, o incluso sus sistemas operativos de servidor (OS) y otros archivos críticos que simplemente desaparecen un día. Puede pagar el rescate, pero eso no solo puede ser costoso, sino que tampoco garantiza que los malos le devuelvan sus datos.

Cuando te golpean, tus opciones son sombrías: espera que puedas restaurar tus sistemas a la operación usando copias de seguridad basadas en la nube o paga el rescate y espera que la clave de descifrado funcione. Pero eso es solo si te golpean. La mejor opción es evitar cifrar sus archivos en primer lugar o, si se golpean algunos archivos, evitar que el ataque se propague. La clave es mejorar el juego de seguridad de su empresa para evitar ser atacado.

Cómo evitar un ataque de ransomware

El primer paso es lo que Israel Barak, Director de Seguridad de la Información (CISO) del desarrollador de software de detección y respuesta de punto final Cybereason llama "seguridad de TI y seguridad". Esto significa evitar vulnerabilidades y filtrar el correo electrónico y el tráfico web. También significa proporcionar capacitación a los usuarios y asegurarse de que los parches para su sistema operativo, aplicaciones y productos de seguridad estén completamente actualizados.

El segundo paso es tener una estrategia de continuidad y recuperación comercial. Esto significa hacer un plan para cuando las cosas van mal en lugar de esperar que no lo hagan. Barak dijo que esto incluye tener copias de seguridad instaladas y probadas, saber cómo recuperará los servicios afectados, saber de dónde obtendrá los recursos informáticos para la recuperación y saber que su plan de recuperación completo funcionará porque realmente lo ha probado.

El tercer paso es tener una protección anti-malware en su lugar. Barak dijo que esto incluye tener protecciones contra el malware que ingresa a su red y protecciones contra la ejecución de malware mientras está en sus sistemas. Afortunadamente, la mayoría del malware es bastante fácil de detectar porque los autores de malware a menudo comparten rutinas exitosas.

Por qué el ransomware es diferente

Desafortunadamente, el ransomware no es como otro malware. Barak dijo que, debido a que el ransomware solo reside brevemente en una computadora, no es difícil evitar la detección antes de completar el cifrado y enviar el mensaje de ransomware. Además, a diferencia de otros tipos de malware, el malware que realmente realiza el cifrado de archivos puede llegar a las computadoras de la víctima solo unos momentos antes de que comience el cifrado.

Dos tipos relativamente recientes de malware, Ryuk y SamSam, ingresan a sus sistemas bajo la guía de un operador humano. En el caso de Ryuk, ese operador probablemente esté ubicado en Corea del Norte y con SamSam, en Irán. En cada caso, el ataque comienza con la búsqueda de credenciales que permitan la entrada al sistema. Una vez allí, el operador examina el contenido del sistema, decide qué archivos cifrar, eleva los privilegios, busca y desactiva el software antimalware y los enlaces a las copias de seguridad que también se cifrarán, o en algunos casos, desactiva las copias de seguridad. Luego, después de quizás meses de preparación, el malware de cifrado se carga y se inicia; puede terminar su trabajo en minutos, demasiado rápido para que intervenga un operador humano.

"En SamSam, no utilizaron el phishing convencional", explicó Carlos Solari, vicepresidente del desarrollador de soluciones de ciberseguridad Comodo Cybersecurity y ex CIO de la Casa Blanca. "Usaron sitios web y credenciales robadas de personas y utilizaron la fuerza bruta para obtener las contraseñas".

Solari dijo que estas intrusiones con frecuencia no se detectan porque no hay malware involucrado hasta el final. Pero dijo que, hecho correctamente, hay formas de detener el ataque en este punto. Por lo general, dijo, los delincuentes irán tras los servicios de directorio de la red y los atacarán para que puedan obtener los privilegios de nivel administrativo necesarios para organizar el ataque. En este punto, un sistema de detección de intrusos (IDS) puede detectar los cambios y, si los operadores de red saben qué buscar, pueden bloquear el sistema y expulsar a los intrusos.

"Si están prestando atención, se darán cuenta de que hay alguien adentro", dijo Solari. "Es importante encontrar inteligencia de amenazas internas y externas. Estás buscando anomalías en el sistema".

Cómo protegerse

Para las empresas más pequeñas, Solari sugiere que las empresas encuentren un Centro de Operaciones de Seguridad (SOC) de Detección y Respuesta Administradas (MDR) como servicio. Agregó que las compañías más grandes pueden querer encontrar un Proveedor de Servicios de Seguridad Administrada (MSSP). Cualquiera de las soluciones permitirá vigilar los eventos de seguridad, incluida la puesta en escena antes de un importante ataque de ransomware.

Además de monitorear su red, también es importante hacer que su red sea lo más inhóspita posible para los delincuentes. Según Adam Kujawa, Director de Malwarebyte Labs, un paso crítico es segmentar su red para que un intruso no pueda simplemente moverse a través de su red y tener acceso a todo. "No debe mantener todos sus datos en el mismo lugar", dijo Kujawa. "Se necesita un nivel más profundo de seguridad".

Pero, si resulta que no detectó las etapas invasivas antes del ataque del ransomware, entonces hay otra capa o respuesta, que es la detección del comportamiento del malware cuando comienza a cifrar archivos.

"Lo que hemos agregado es un mecanismo de comportamiento que se basa en el comportamiento típico del ransomware", explica Barak. Dijo que dicho software observa qué podría estar haciendo el ransomware, como cifrar archivos o borrar copias de seguridad, y luego toma medidas para eliminar el proceso antes de que pueda causar algún daño. "Es más efectivo contra cepas de ransomware nunca antes vistas".

Advertencias y protecciones tempranas

Para proporcionar una forma de alerta temprana, Barak dijo que Cybereason da otro paso. "Lo que hemos hecho es usar un mecanismo de excepción", dijo. "Cuando el software Cybereason va a un punto final, crea una serie de archivos base que se colocan en carpetas en el disco duro que harán que el ransomware intente cifrarlos primero". Dijo que los cambios en esos archivos se detectan de inmediato, Luego, el software de Cybereason o un software similar de Malwarebytes terminará el proceso y, en muchos casos, colocará el malware en contenedores para que no pueda causar más daños.

Por lo tanto, hay varias capas de defensa que pueden prevenir un ataque de ransomware y, si las tiene todas funcionales y en su lugar, un ataque exitoso tendría que seguir una serie de fallas para que suceda. Y puedes detener esos ataques en cualquier parte de la cadena.

¿Deberías pagar el rescate?

Pero, ¿y si decides pagar el rescate y restaurar las operaciones de inmediato? "Para algunas organizaciones, es una opción viable", dijo Barak.

Debería evaluar el costo de la interrupción del negocio para determinar si el costo de volver a operar es mejor que el costo de la restauración, considerando todo. Barak dijo que, para los ataques de ransomware empresarial, "en la mayoría de los casos, se recuperan los archivos".

Pero Barak dijo que, si pagar el rescate es una posibilidad, entonces tienes otras consideraciones. "¿Cómo nos preparamos de antemano para tener el mecanismo para negociar el costo de recuperar los servicios? ¿Cómo los pagamos? ¿Cómo formamos el mecanismo para negociar ese tipo de pago?"

Según Barak, casi todos los ataques de ransomware incluyen un medio de comunicación con el atacante, y la mayoría de las empresas intentan negociar un acuerdo al que los atacantes de ransomware generalmente están abiertos. Por ejemplo, puede decidir que solo necesita parte de las máquinas que se cifraron y solo negociar la devolución de esas máquinas.

• La mejor protección contra ransomware para 2019 La mejor protección contra ransomware para 2019
• Los piratas informáticos SamSam Ransomware obtienen $ 5.9 millones Los piratas informáticos SamSam ransomware obtienen $ 5.9 millones
• 2 iraníes detrás de los ataques de ransomware SamSam, reclamos de los Estados Unidos 2 iraníes detrás de los ataques de ransomware SamSam, reclamos de los Estados Unidos

"El plan debe ponerse en marcha con anticipación. ¿Cómo responderá, quién se comunicará y cómo pagará el rescate?" Barak dijo.

Si bien pagar es una opción viable, para la mayoría de las organizaciones sigue siendo una opción de último recurso, no una respuesta a la que recurrir. Hay muchas variables que no puede controlar en ese escenario, además, habiendo pagado una vez, nunca puede garantizar que no será atacado por más efectivo en el futuro. Un mejor plan es utilizar una defensa sólida que sea lo suficientemente difícil como para desviar la mayoría de los ataques de malware y derrotar a los pocos que tienen éxito. Pero sea lo que sea que decida, recuerde que prácticamente todas las soluciones requieren que realice una copia de seguridad religiosa. Hágalo ahora, hágalo con frecuencia y pruebe con frecuencia también para asegurarse de que las cosas funcionen sin problemas en caso de apuro.