Por David Paquette
Qué sucede durante un ataque de ransomware y por qué la recuperación es fundamental
Un ataque de ransomware no es un evento único. Es una serie de eventos diseñados para interrumpir y deshabilitar sistemas y obligar a las organizaciones a pagar grandes sumas de dinero para recuperar datos y volver a conectarse. Al recorrer 7 etapas distintas de un ataque de ransomware, podemos comprender mejor el alcance de la amenaza de ransomware y por qué es fundamental contar con el plan de recuperación adecuado.
Etapas 1-3: La calma antes de la tormenta
Las primeras 3 etapas de un ataque de ransomware pueden suceder sin que lo veas venir. La prevención es importante para interceder siempre que sea posible, pero estos ataques están diseñados para apuntar a los sistemas donde son más vulnerables, a menudo comenzando por los usuarios.
Etapa 1 - Inicio del ataque
Esta primera etapa es donde el atacante configura el ransomware para infiltrarse en su sistema. Esto se puede hacer de varias maneras, como enviar ataques de phishing por correo electrónico, configurar sitios web maliciosos, explotar las debilidades en las conexiones RDP o atacar las vulnerabilidades de software directamente. Cuantos más usuarios tenga su organización, más vulnerable será a un ataque dirigido por usuarios como suplantación de identidad, sitios web maliciosos o combinaciones de estos. Solo se necesita un usuario para cometer un error y ejecutar el código ransomware, infiltrándose en el sistema.
Etapa 2: instanciación
La segunda etapa ocurre una vez que el ransomware se ha infiltrado en su sistema. El código malicioso establecerá una línea de comunicación con el atacante. El atacante de ransomware puede descargar malware adicional utilizando esta línea de comunicación. En este punto, el ransomware puede permanecer oculto e inactivo durante días, semanas o meses antes de que el atacante decida iniciar el ataque. El ransomware puede intentar moverse lateralmente a través de otros sistemas de su organización para acceder a la mayor cantidad de datos posible. Muchas variantes de ransomware ahora también apuntan a los sistemas de respaldo para eliminar la posibilidad de que usted, como víctima, restaure los datos. Es posible que no se dé cuenta de que sus sistemas están comprometidos y el atacante puede esperar el momento óptimo para desencadenar el ataque.
Etapa 3 - Activación
La tercera etapa es cuando el atacante activa o ejecuta el ataque de ransomware de forma remota. Esto puede suceder en cualquier momento que el atacante elija y tomar a su organización completamente desprevenida. Una vez que el ataque ha comenzado, puede ser una carrera contra el tiempo para su organización incluso identificar que el ataque está ocurriendo para que los esfuerzos de mitigación y recuperación puedan entrar en acción.
Etapas 4-7: La tormenta
Una vez que se ha activado un ataque, su sistema y sus datos están en peligro. Sin un plan para mitigar el ataque y recuperarse, el tiempo de inactividad puede extenderse de horas a días o incluso semanas. Los resultados son costosos tanto para su balance financiero como potencialmente para la reputación de su marca.
Etapa 4 - Cifrado
El ransomware retiene los datos como rehenes a través del cifrado (o, en algunos casos, una pantalla de bloqueo, pero el cifrado es más probable en un ataque corporativo). Diferentes variantes de ransomware utilizan diferentes métodos de cifrado que van desde cifrar el registro de arranque maestro de un sistema de archivos hasta cifrar archivos individuales o completos. maquinas virtuales. El ransomware que también se dirige a los sistemas de copia de seguridad puede eliminar o cifrar las copias de seguridad para evitar la recuperación. Es muy poco probable descifrar los datos, por lo que su organización tendrá tres opciones: perder los datos, recuperarlos de una réplica o copia de seguridad o pagar el rescate.
Etapa 5 - Solicitud de rescate
En esta etapa, eres oficialmente la víctima y el ransomware tiene datos cifrados. Se le presenta información sobre cómo pagar un rescate a través de una transacción de criptomoneda. Dependiendo de qué datos pudo encriptar el ransomware, no solo los datos serán inaccesibles, sino que las aplicaciones y sistemas completos pueden ser deshabilitados por el encriptado. Las operaciones pueden verse gravemente afectadas sin acceso a datos o servicios.
Etapa 6 - Recuperación o rescate
Esta es la etapa en la que muchas de las organizaciones que hemos visto en las noticias experimentaron impactos de tiempo de inactividad significativo o interrupciones y, como resultado, muchas han optado por pagar un rescate. Sin un método de recuperación efectivo, incluso si los datos se pueden recuperar, al menos parcialmente, el costo de hacerlo puede exceder el costo de pagar el rescate. Sin embargo, si su organización cuenta con un plan de recuperación eficaz, es posible que pueda recuperar los datos rápidamente con una interrupción mínima y sin necesidad de pagar un rescate, eliminando la publicidad negativa del tiempo de inactividad y pagando un rescate exorbitante.
Etapa 7 - Limpieza
Pagar un rescate o incluso recuperar datos de una copia de seguridad o réplica no elimina necesariamente el ransomware del sistema. Es posible que los archivos y el código maliciosos aún estén presentes y deban eliminarse. El ataque en sí probablemente revelará el tipo de ransomware y facilitará su localización y purga del sistema. Si es necesario, los sistemas se pueden recuperar en una red aislada para limpiar el malware sin riesgo de reactivación. Una vez que se ha limpiado el malware, el sistema puede volver al funcionamiento normal.
La recuperación es resiliencia
La prevención de los ataques de ransomware antes de que ocurran debería formar parte de todos los planes de seguridad cibernética. Dicho esto, los ciberataques y los delitos cibernéticos por su naturaleza están diseñados para eludir las medidas preventivas y continúan evolucionando rápidamente para hacerlo. Las organizaciones que se toman en serio estas amenazas saben que se trata de cuándo, no de si, serán atacadas. Cuando eso suceda, solo un plan de recuperación eficaz permitirá que su organización evite el tiempo de inactividad, la interrupción del negocio y un gran impacto financiero.
La resiliencia o continuidad empresarial tiene muchos componentes, pero dentro de TI, la capacidad de recuperar datos es la columna vertebral de la resiliencia. Las operaciones de respaldo y recuperación ante desastres pueden ser efectivas, ya sea restaurando archivos localmente o recuperando aplicaciones desde un sitio de recuperación ante desastres cálido para ayudar a su organización a volver a la normalidad. Los ataques de ransomware modernos requieren soluciones modernas de administración y recuperación de datos que protejan los datos en múltiples plataformas, incluidas las aplicaciones locales, en la nube, de almacenamiento por niveles y SaaS.
Zerto 9 ofrece capacidades de recuperación nuevas y mejoradas que incluyen copias de seguridad inmutables para la lucha contra el ransomware. La protección de datos continua avanzada y de clase mundial y la gestión de datos en la nube de Zerto brindan a las organizaciones múltiples opciones de recuperación para minimizar el tiempo de inactividad y la pérdida de datos por pérdidas operativas, ataques cibernéticos o cualquier desastre.
Planifique la protección contra ransomware con los expertos en recuperación
Los ataques de ransomware se infiltran en los sistemas a pesar de los mejores esfuerzos de prevención y preparación. Comprender cómo afectan los ataques de ransomware a los sistemas es el primer paso en la planificación tanto para la prevención como para la recuperación. Si no ha comenzado a planificar la recuperación, ahora es el momento. Si lo ha planeado, ahora puede ser el momento de revisar sus planes para asegurarse de que se mantengan al día con las variantes modernas de ransomware.
La preparación eficaz para garantizar que pueda recuperarse es la línea de defensa más importante contra la interrupción y los ataques que son noticia. No permita que su organización se convierta en una víctima por no tener el plan de recuperación adecuado cuando ocurra el ataque inevitable.
TenCate, una empresa textil multinacional con sede en los Países Bajos, experimentó dos ataques de ransomware, uno antes de implementar Zerto y otro después. Al implementar Zerto y planificar la recuperación de ransomware, Tencate redujo el tiempo de recuperación de semanas a minutos .
“Honestamente, en el ataque reciente, me reí un poco durante la recuperación. Sabía que tenía una salida con Zerto. Tenía confianza y mi corazón no se hundió. Elegí un punto de recuperación unos minutos antes de la infección, probé que la máquina virtual estuviera limpia y conecté la vNIC para volver a funcionar. No volví a casa preocupado, estresado o deprimido ". - Jayme Williams, ingeniero de sistemas sénior, TenCate
Los expertos en recuperación de Zerto pueden mostrarle cómo la inmutabilidad y las múltiples opciones de recuperación pueden reforzar su planificación de recuperación.
Comments