Pasar al contenido principal

Respuesta ante incidente Ransomware

¿A quién va dirigido?

A cualquier organización, pública o privada, independientemente del tamaño que deseen de manera proactiva conocer las buenas prácticas para la respuesta ante un incidente de ransomware con el objetivo de hacer frente de manera óptima a esta ciberamenaza reduciendo el impacto de un incidente de este tipo en la organización.

¿Qué es?

El ransomware es un código malicioso que secuestra equipos y dispositivos conectados a Internet, amenazando con destruir los documentos y otros archivos del dispositivo objeto del ataque. Cuando el ransomware infecta un equipo, cifra algunos archivos impidiendo el acceso a la documentación cifrada. El malware entonces muestra un aviso indicando que la única forma de poder descifrar la información y recuperarla es mediante el pago de un rescate (ransom en inglés, de ahí el nombre ransomware).

Son muy diversas las maneras de terminar siendo infectado por este tipo de programas maliciosos. Generalmente los atacantes utilizan la explotación de vulnerabilidades, el compromiso de credenciales o técnicas de ingeniería social para que la víctima ejecute un fichero malicioso.

La continua adaptación y mejora de los ataques perpetuados por bandas cibercriminales, así como la generalización de sus objetivos ha provocado una continua y creciente preocupación que se ha trasladado a las organizaciones en la necesidad de una mejora en la capacidad de preparación y respuesta ante estos incidentes.

¿Qué hacer si has sufrido un incidente de Ransomware?

Para garantizar la eficacia de la actuación necesaria cuando la organización sufre un incidente de tipo ransomware habrá que tener en cuenta las siguientes fases las siguientes fases:

Identificación.

El primer paso será la identificación del incidente. Durante esta fase procederá con la recolección de toda la información posible sobre el mismo con el fin de definir una posible solución y los próximos pasos. Para garantizar una correcta toma de decisiones en las siguientes fases será necesario dar respuesta al menos a los siguientes puntos.

  • Registrar el método de detección del incidente.
  • Establecer posible fecha de inicio de incidente.
  • Identificar el posible alcance inicial
  • Evaluación del impacto del incidente en relación con el servicio afectado y la información comprometida.
  • Revisar el posible vector de entrada que propicio el incidente.
  • Recopilar todas las evidencias posibles sobre el incidente. (Nota de rescate del ransomware. Muestras de ficheros cifrados)
  • Determinar si el estado del incidente. (activo, resuelto, en progreso, …)
  • Analizar la familia de ransomware presente en los dispositivos.

Contención, Mitigación de la Amenaza

Mientras se identificada la familia de ransomware del ataque, así como el impacto y alcance actual se procederá con la implementación de acciones que impidan su propagación.

Desconectar el dispositivo de la red.

Para intentar minimizar el posible alcance del incidente y preservar las evidencias necesarias para su estudio realizaremos las siguientes acciones sobre el equipo.

  • Aislar el equipo de la red, se puede realizar de forma manual o utilizando los sistemas de red presentes en la organización.
  • Buscar el proceso asociado al cifrado y parar su ejecución. Permitirá la detención del cifrado en caso de que no haya finalizado, puede ser un proceso tedioso y necesitar de herramientas o perfiles técnicos especializados.
  • Realizar una copia de seguridad del dispositivo implicado, esto garantizará que se podrá realizar un análisis del equipo en un entorno controlado.
  • Arrancar el equipo en modo seguro, permitirá que en caso de que el ransomware sea persistente no se arranque de nuevo el proceso.

Segmentación de la red.

Debido a las características que pueden estar presentes en el artefacto (escalado de privilegios, movimientos laterales, exfiltración de información) puede ser necesario proceder con un rediseño de la segmentación de red que permita aislar en su totalidad aquellos elementos que estén involucrados en la infección, así como posicionar elementos de seguridad que nos permitan obtener visibilidad sobre el comportamiento y flujo de red presente en la organización.

Acciones en sistemas de Seguridad de la organización.

Con el objetivo de restringir, limitar y degradar la capacidad del atacante, se deberán realizar las siguientes acciones:

  • Eliminar datos sensibles y críticos de los equipos comprometidos.
  • Monitorizar la actividad del atacante.
  • Bloquear las conexiones salientes.
  • Cortar las posibles vías de ataque.
  • Actualizar firmas AV y parches de SO en todo el parque de dispositivos
  • Cambio de credenciales de usuarios afectados

Recuperación de información y servicios

Una vez que se ha conseguido contener e identificar el incidente, los esfuerzos deben centrarse en reestablecer el servicio lo antes posible, para ellos se procederá con las siguientes

tareas con el fin de intentar asegurar que no se reproduce de nuevo el mismo ataque, evitando siempre pagar la extorsión dado que este pago no garantiza la recuperación de la información comprometida o cifrada.

  • Restauración de backups, los cuales previamente han sido revisados con el fin de descartar que también se encuentren comprometidos.
  • Revisar si es posible descifrar los elementos comprometidos, existen herramientas que permiten recuperar la información en caso de trate de determinadas familias de ransomware.
  • Robustecer las medidas de seguridad presentes en la organización, como puede ser
    • Política de contraseñas
    • Inclusión de doble factor
    • Actualización de parches de seguridad
    • Nuevos UC en los sistemas de monitorización
    • Actualización de firmas de comportamiento y AV
    • Corte de comunicaciones no necesarias
    • Revisión de sistemas antispam
    • Revisión de servicio vulnerables publicados.
  • Apertura de comunicaciones con terceros de forma paulatina.
  • Establecer unas pautas de mejora a corto y largo plazo en los sistemas y procedimientos existentes que permita evolucionar el sistema de madurez de ciberseguridad presente en la empresa.

Webs de referencia y ayuda

En los últimos años se han articulado algunas plataformas para ayudar a enfrentarse al ransomware. Son webs que ofrecen ayuda y consejo en caso de verse afectado por este tipo de malware. Las más conocidas son las siguientes:

https://www.nomoreransom.org/es/index.html

https://www.cisa.gov/stopransomware/ive-been-hit-ransomware

https://id-ransomware.malwarehunterteam.com/

Compartir

Compartir en Linkedin