¿Cuál es el peor escenario para un ataque de ransomware?
Por Julio Castrejón, Country Manager México en Pure Storage.
Los ataques de ransomware aumentan cada año. Comprender el peor de los casos que podría ocurrir y tener un plan para ello puede ayudarte a mitigar los efectos si esto sucede. Seamos francos: el peor de los casos para un ataque de ransomware es que un negocio no se recupere y tenga que cerrar.
¿A qué puedes enfrentarte?
- El atacante envía malware a tu sistema y obtiene acceso a tus datos: Una de las formas más comunes en que un atacante de ransomware obtiene acceso a tu sistema es comprando credenciales de un corredor de acceso inicial en la web oscura. Una vez dentro, el atacante normalmente permanece en el entorno durante algún tiempo para plantar puertas traseras que permitan retener el acceso.
Luego, instalan malware en el sistema, que generalmente se ejecuta sin ser detectado en segundo plano durante un período de tiempo hasta que el atacante decide iniciar la fiesta.
- El malware infecta o elimina Active Directory: Active Directory (AD) es un objetivo principal para los atacantes porque forma la base de las cuentas y los activos de datos de la mayoría de las organizaciones. Si AD está infectado, haS perdido el control total de Tu infraestructura de TI. Cuando un atacante tiene privilegios de administrador de dominio, puede ir a cualquier lugar y hacer cualquier cosa dentro de tu sistema.
- Tu sistema de nombres de dominio (DNS) se corrompe: El ransomware puede resultar en suplantación de DNS, envenenamiento de caché o secuestro. Básicamente, todos estos ataques significan que no podrás acceder a los sitios web que deseas y podrías ser redirigido a un sitio malicioso.
Si bien la suplantación de identidad y el secuestro requieren una toma de control física de la configuración de DNS, el envenenamiento de caché se puede realizar insertando una entrada de DNS falsa en la caché de DNS, lo que enviará a los usuarios a una ubicación de IP alternativa.
- El atacante se mete con los servicios de tiempo de tu sistema: Los servicios de tiempo de tus sistemas son críticos para muchas operaciones de TI. Las copias de seguridad y otras tareas se programan como tareas regulares y se realizan automáticamente entre bastidores. Si se cambia la hora o la fecha de la red, podría generar un efecto dominó frustrante de problemas.
Los sistemas de facturación automatizados podrían causar estragos al enviar facturas demasiado pronto o demasiado tarde, podrían perderse copias de seguridad, perderse o eliminarse citas, etc.
- Tus copias de seguridad no funcionan: Si bien este problema no se debe necesariamente al ataque de ransomware real, podría exacerbar en gran medida tus problemas si tus copias de seguridad se destruyen, corrompen o pierden durante un ataque de ransomware (estamos hablando del peor de los casos, recuerda). Las cintas y las unidades se dañan con el tiempo, por lo que probarlas regularmente es una parte crucial para estar preparado para lo peor.
- La compañía dedicada a respuesta a incidentes no llega: Elegir el equipo de respuesta a incidentes (IR) correcto también es una parte fundamental de tu estrategia de preparación. Hay muchas opciones hoy en día y es importante examinar tu elección, tenerla en reserva y validarla con tu compañía de seguros.
- Tu reputación podría sufrir mediáticamente: La reputación de tu organización es un activo valioso. Si bien los ataques de ransomware son cada vez más comunes, tus clientes aún quieren saber que estás haciendo todo lo posible para proteger sus datos e intereses, incluso si estás bajo ataque. Parte de la planificación previa es decidir cómo manejarás la comunicación en torno a un incidente.
- Las ramificaciones legales son demasiado costosas para sobrevivir: Cuando llega el ransomware, hay múltiples implicaciones legales a considerar. En muchos casos, podría ser ilegal pagar el rescate si los atacantes se encuentran en ciertas regiones del mundo. También deberás decidir si intentarás manejar el incidente internamente o contratarás una respuesta a incidentes o una firma legal de terceros para obtener ayuda. Y una vez que se conozca el ataque, también podría enfrentarse a una avalancha de demandas por parte de tus clientes.
Prepárate para lo peor, pero con confianza
Si ocurre el peor de los casos y todos estos factores convergen para crear una “tormenta perfecta” de catástrofe, tendrás dificultades para manejar todo correctamente o de manera efectiva cuando las cosas se pongan difíciles. La conclusión es que la preparación te servirá bien.
No se garantiza que nadie esté a salvo de un ataque de ransomware en el clima de seguridad actual, pero tener un equipo de respuesta de emergencia y un plan listo puede evitar que te derrumbes por completo, lo que puede requerir un proceso de reconstrucción manual costoso y lento.