Los atacantes de ransomware son los ladrones de bancos modernos
Por Julio César Castrejón, Country Manager para México de Pure Storage.
Durante el fin de semana de vacaciones de Semana Santa de 2015, un grupo criminal de entre 60 y 70 años obtuvo un estimado de 25 millones de libras esterlinas en oro, joyas y dinero en efectivo cuando robaron en Hatton Garden Safe Deposit Company en Londres. El grupo criminal eligió el fin de semana de Pascua porque debido a los días festivos, les dio una ventana de cuatro días para acceder, perforar paredes y abrir cajas de seguridad.
Sé lo que estás pensando: ¿qué tiene eso que ver con el ransomware?
Los ladrones tuvieron acceso al edificio donde residía la bóveda de la caja de seguridad durante cuatro días, lo que les dio tiempo de sobra para realizar su trabajo. En un ataque de ransomware, este período se conoce como “tiempo de permanencia” y comprenderlo es clave para poder recuperarse de un incidente de este tipo. El tiempo de permanencia se extiende desde el momento en que el atacante viola por primera vez el firewall hasta que se revela y exige un rescate de la víctima.
Los ataques de ransomware siguen un conocido patrón
Inicialmente hay una fase de preparación. Aquí, los empleados son atacados con correos electrónicos de phishing que contienen enlaces a malware o los atacantes buscan vulnerabilidades en los sistemas conectados a Internet. Cualesquiera que sean los medios empleados, esta fase se trata de encontrar una víctima y establecer medios de entrada.
La intrusión es el objetivo aquí. Entrar en el firewall para los atacantes de ransomware es lo que desbloquea el resto del proceso y es cuando comienza el tiempo de permanencia. Una vez dentro del firewall, los atacantes de ransomware recopilan credenciales para un acceso más profundo y comienzan a moverse paralelamente por los sistemas de la víctima, a menudo utilizando herramientas que se basan en protocolos legítimos como RDP (protocolo de escritorio remoto) para trabajar de forma remota y establecer funciones de comando y control.
En esta etapa, identifican los datos confidenciales y comienzan a implementar cargas útiles de software para llevar a cabo la fase de ejecución en la que se lleva a cabo el cifrado y la exfiltración de datos.
Si asumimos que es casi imposible mantener alejados a determinados atacantes, la clave para resistir un ataque de ransomware es la capacidad de restaurar antes de que comenzara el tiempo de permanencia y poder hacerlo rápidamente. Concretamente, esto significa el uso de instantáneas, copias de seguridad y la capacidad de restaurarlas rápidamente.
Las instantáneas proporcionan un registro del estado del sistema y los datos tomados a intervalos frecuentes durante la jornada laboral, lo que permite a la víctima restaurar una configuración anterior con un alto grado de granularidad. Las instantáneas están diseñadas para tomarse con un impacto mínimo en los sistemas de producción, por lo que a menudo se guardan en el almacenamiento principal o cerca de él.
Eso significa que los datos generalmente también se pueden restaurar rápidamente a partir de instantáneas. Una organización puede mantener instantáneas que datan de uno o dos meses.
Las copias de seguridad generalmente se conservan durante períodos mucho más largos y las copias se realizan con menos frecuencia, generalmente durante las ventanas regulares de copia de seguridad fuera del horario laboral. Casi siempre se colocan en un almacenamiento secundario y puede llevar más tiempo restaurarlos.
Si las circunstancias lo permiten, y en particular los efectos del tiempo de permanencia, las instantáneas serán la forma más efectiva de recuperarse del ransomware porque se pueden restaurar rápidamente. Eso es siempre y cuando no hayan sido saboteados por los atacantes de ransomware.
Las instantáneas deben ser inmutables
Como se implementa tradicionalmente, las instantáneas son de solo lectura, por lo que siempre son inmutables en un sentido. Sin embargo, los grupos delictivos de ransomware saben esto, por lo que intentarán eliminarlos o moverlos. Los clientes, por lo tanto, deben buscar proveedores con instantáneas que no se puedan eliminar y que un intruso no pueda evitar que se muevan a otro lugar, por ejemplo, para su recuperación.
Otras garantías que los clientes pueden especificar son las instantáneas que usan autenticación basada en PIN de múltiples factores por parte de varios miembros de un equipo de TI, así como la capacidad de establecer una política de retención de instantáneas y destinos permitidos.
Las instantáneas son el método de restauración de referencia si los tiempos de permanencia del ransomware son relativamente cortos. Pero puede que no lo sean. Es posible que los atacantes de ransomware pasen varios meses dentro del firewall husmeando, instalando malware y corrompiendo archivos. Si ese es el caso, es más probable que necesite restaurar desde copias de seguridad.
Independientemente de lo que necesites restaurar (instantáneas o copias de seguridad), un requisito clave será recuperar tus datos rápidamente para que se pueda reanudar la producción. La clave aquí radica en el almacenamiento que utilizas para conservar tus copias de protección de datos. En otras palabras, debe poder manejar velocidades de restauración rápidas.
Entonces, ¿qué tipo de productos de almacenamiento son los más adecuados para conservar instantáneas y copias de seguridad y, lo que es más importante, son capaces de ofrecer un rendimiento de restauración rápido? En primer lugar, los clientes deben buscar aquellos que ofrecen almacenamiento de estado sólido y pueden manejar datos no estructurados (archivos y objetos). Eso significa que no cualquier almacenamiento de estado sólido.
Las generaciones más recientes de flash NAND han impulsado la aparición de matrices de almacenamiento que brindan una capacidad y velocidad de acceso extremadamente altas. Eso significa arreglos de almacenamiento con flash TLC o QLC que ofrecen alta capacidad a un costo por terabyte que se acerca al de los discos duros giratorios.
En segundo lugar, los clientes deben verificar el rendimiento. Las matrices de almacenamiento de estado sólido de mayor rendimiento actualmente disponibles proporcionarán un rendimiento de más de 270 TB por hora. Eso es suficiente para que la mayoría de las organizaciones vuelvan a estar en línea muy rápidamente, pero no muchos proveedores de almacenamiento pueden proporcionar este nivel de rendimiento, así que asegúrate de consultar las hojas de especificaciones.
Combina instantáneas inmutables y copias de seguridad periódicas con restauración rápida para la mejor defensa contra ransomware
La mejor defensa contra el ransomware se centra en hacer retroceder el reloj antes de que comenzara el tiempo de permanencia. Y la mejor manera de hacerlo es con un almacenamiento de muy alta capacidad que ofrece un rendimiento de procesamiento rápido del que puedas restaurar rápidamente.