bienvenido a t-cert
Check Point Research (CPR) reveló recientemente que el número promedio semanal de ataques de ransomware ha aumentado un 93% en los últimos 12 meses. Cada semana, más de 1200 organizaciones en todo el mundo son víctimas de un ataque de ransomware, y todas las empresas sin excepciones están en riesgo. Según Cybersecurity Ventures , el daño causado por el ransomware alcanzará aproximadamente $ 20 mil millones este año, un aumento de 57 veces desde 2015. Para 2031, el costo de los incidentes de ransomware podría incluso superar la cifra difícil de creer de $ 265 mil millones.
El número de ataques de ransomware está creciendo por una sencilla razón: se les paga a los piratas informáticos. La disposición a pagar crea un bucle peligroso y aumenta la motivación de los atacantes. Además, el seguro contra riesgos cibernéticos es cada vez más común, por lo que las empresas no dudan en satisfacer las demandas de los ciberdelincuentes, lo que agrava aún más el problema.
El aumento de ataques también está relacionado con la disponibilidad de amenazas. Muchos grupos de piratas informáticos ofrecen ransomware como servicio, por lo que cualquiera puede alquilar este tipo de amenaza, incluida la infraestructura, la negociación con las víctimas o los sitios web de extorsión donde se puede publicar información robada. Luego, el rescate se divide entre los 'socios'.
Sin embargo, un ataque de ransomware a menudo no comienza con ransomware. A menudo comienza con un correo electrónico de phishing "simple". Además, los grupos de hackers suelen trabajar juntos. Por ejemplo, en los ataques de ransomware Ryuk , el malware Emotet se utilizó para infiltrarse en la red, luego la red se infectó con Trickbot y, finalmente, el ransomware cifró los datos.
¿Cómo pueden las empresas saber si han sido víctimas de un ataque de ransomware y cómo deberían reaccionar? Si no se detecta a tiempo, es relativamente fácil de averiguar, ya que las organizaciones recibirán un mensaje solicitando un rescate y no podrán acceder a los datos de la empresa.
Además, los ciberdelincuentes perfeccionan constantemente sus técnicas para aumentar la presión para pagar. Originalmente, el ransomware "solo" encriptaba datos y exigía un rescate para desbloquearlos. Los atacantes pronto agregaron una segunda fase y robaron información valiosa antes del cifrado, amenazando con hacerla pública si no se pagaba el rescate. Aproximadamente el 40% de todas las nuevas familias de ransomware utilizan el robo de datos de alguna manera además del cifrado. Además, recientemente hemos visto una tercera fase donde los socios o clientes de las empresas atacadas también son contactados para pedir un rescate, esta es una nueva técnica llamada triple extorsión .
El equipo de respuesta a incidentes de Check Point Software, que se ha ocupado de innumerables casos de ransomware en todo el mundo, recomienda seguir estos pasos cuando se produce un ataque de ransomware:
Si su organización es víctima de un ataque de ransomware, no se asuste. Comuníquese con su equipo de seguridad de inmediato y tome una foto de la nota de rescate para que la policía y una investigación adicional.
Desconecte los sistemas infectados del resto de la red de inmediato para evitar daños mayores. Al mismo tiempo, identifique la fuente de la infección. Por supuesto, como se mencionó anteriormente, un ataque de ransomware generalmente comienza con otra amenaza, y los piratas informáticos pueden haber estado en el sistema durante mucho tiempo, cubriendo gradualmente sus pistas, por lo que la detección del "paciente cero" puede no ser algo que la mayoría de las empresas puedan manejar sin ayuda externa.
Los atacantes saben que las organizaciones intentarán recuperar sus datos de las copias de seguridad para evitar pagar el rescate. Es por eso que una de las fases del ataque suele ser un intento de localizar y cifrar o eliminar copias de seguridad. Además, nunca conecte dispositivos externos a dispositivos infectados. La recuperación de datos cifrados puede provocar daños, por ejemplo, debido a una clave defectuosa. Por tanto, puede resultar útil realizar copias de los datos cifrados. También se están desarrollando gradualmente herramientas de descifrado que pueden ayudar a descifrar códigos previamente desconocidos. Si tiene copias de seguridad que no han sido encriptadas, verifique la integridad de los datos antes de restaurarlos por completo.
Desactive las actualizaciones automáticas y otras tareas de mantenimiento en los sistemas infectados. Eliminar archivos temporales o realizar otros cambios podría complicar innecesariamente las investigaciones y la corrección. Al mismo tiempo, no reinicie los sistemas, ya que algunas amenazas pueden comenzar a eliminar archivos.
En la lucha contra el ciberdelito, y el ransomware en particular, la colaboración es clave. Por lo tanto, póngase en contacto con las autoridades policiales y cibernéticas nacionales, y no dude en ponerse en contacto con el equipo de respuesta a incidentes de una empresa de ciberseguridad de renombre. Informe a los empleados del incidente, incluidas las instrucciones sobre cómo proceder en caso de cualquier comportamiento sospechoso.
Si el mensaje de los atacantes no indica directamente qué tipo de ransomware es, entonces puede usar una de las herramientas gratuitas y visitar el sitio web No More Ransom Project , puede encontrar una herramienta de descifrado solo para su ransomware allí.
Si el ataque de ransomware tiene éxito, la organización se enfrenta a la elección de pagar el rescate o no. De cualquier manera, las empresas deben volver al principio y averiguar por qué ocurrió el incidente. Ya sea que hayan fallado factores humanos o tecnología, vuelva a pasar por todos los procesos y reconsidere toda la estrategia para asegurarse de que un incidente similar nunca vuelva a suceder. Dar este paso es necesario independientemente de si una organización paga el rescate o no. Uno nunca puede consolarse con el hecho de que de alguna manera se ha producido la recuperación de datos y considerar el incidente resuelto.
Entonces, ¿pagar o no pagar? La respuesta no es tan simple como parece. Si bien los montos del rescate a veces ascienden a cientos de miles o millones de dólares, las interrupciones de los sistemas críticos a menudo superan estos montos. Sin embargo, las empresas deben recordar que incluso si se paga el rescate, no significa que los datos, o incluso parte de ellos, se descifrarán realmente. Incluso hay casos conocidos en los que los atacantes tienen errores en los códigos para que la organización no pueda recuperar los datos incluso si quisieran.
No se apresure a tomar una decisión y considere todas sus opciones con cuidado. Pagar el rescate debería ser el último recurso.
.jpg){kind=small}