Por Julio Castrejón, Country Manager México en Pure Storage.
Los ataques de ransomware aumentan cada año. Comprender el peor de los casos que podría ocurrir y tener un plan para ello puede ayudarte a mitigar los efectos si esto sucede. Seamos francos: el peor de los casos para un ataque de ransomware es que un negocio no se recupere y tenga que cerrar.
¿A qué puede enfrentarse?
El atacante envía malware a su sistema y obtiene acceso a sus datos: Una de las formas más comunes en que un atacante de ransomware obtiene acceso a su sistema es comprando credenciales de un corredor de acceso inicial en la web oscura. Una vez dentro, el atacante normalmente permanece en el entorno durante algún tiempo para plantar puertas traseras que permitan retener el acceso.
Luego, instalan malware en el sistema, que generalmente se ejecuta sin ser detectado en segundo plano durante un período de tiempo hasta que el atacante decide iniciar la fiesta.
El malware infecta o elimina Active Directory: Active Directory (AD) es un objetivo principal para los atacantes porque forma la base de las cuentas y los activos de datos de la mayoría de las organizaciones. Si AD está infectado, ha perdido el control total de su infraestructura de TI. Cuando un atacante tiene privilegios de administrador de dominio, puede ir a cualquier lugar y hacer cualquier cosa dentro de tu sistema.
Su sistema de nombres de dominio (DNS) se corrompe: El ransomware puede resultar en suplantación de DNS, envenenamiento de caché o secuestro. Básicamente, todos estos ataques significan que no podrá acceder a los sitios web que desea y podría ser redirigido a un sitio malicioso.
Si bien la suplantación de identidad y el secuestro requieren una toma de control física de la configuración de DNS, el envenenamiento de caché se puede realizar insertando una entrada de DNS falsa en la caché de DNS, lo que enviará a los usuarios a una ubicación de IP alternativa.
El atacante se mete con los servicios de tiempo de su sistema: Los servicios de tiempo de sus sistemas son críticos para muchas operaciones de TI. Las copias de seguridad y otras tareas se programan como tareas regulares y se realizan automáticamente entre bastidores. Si se cambia la hora o la fecha de la red, podría generar un efecto dominó frustrante de problemas.
Le puede interesar: Latinoamérica bajo amenaza: Más de 2.300 ataques de malware por minuto
Los sistemas de facturación automatizados podrían causar estragos al enviar facturas demasiado pronto o demasiado tarde, podrían perderse copias de seguridad, perderse o eliminarse citas, etc.
Las copias de seguridad no funcionan: Si bien este problema no se debe necesariamente al ataque de ransomware real, podría exacerbar en gran medida sus problemas si sus copias de seguridad se destruyen, corrompen o pierden durante un ataque (estamos hablando del peor de los casos, recuerda). Las cintas y las unidades se dañan con el tiempo, por lo que probarlas regularmente es una parte crucial para estar preparado para lo peor.
La compañía dedicada a respuesta a incidentes no llega: Elegir el equipo de respuesta a incidentes (IR) correcto también es una parte fundamental de tu estrategia de preparación. Hay muchas opciones hoy en día y es importante examinar tu elección, tenerla en reserva y validarla con tu compañía de seguros.
Tu reputación podría sufrir mediáticamente: La reputación de tu organización es un activo valioso. Si bien los ataques de ransomware son cada vez más comunes, tus clientes aún quieren saber que estás haciendo todo lo posible para proteger sus datos e intereses, incluso si estás bajo ataque. Parte de la planificación previa es decidir cómo manejarás la comunicación en torno a un incidente.
Las ramificaciones legales son demasiado costosas para sobrevivir: Cuando llega el ransomware, hay múltiples implicaciones legales a considerar. En muchos casos, podría ser ilegal pagar el rescate si los atacantes se encuentran en ciertas regiones del mundo. También deberá decidir si intentará manejar el incidente internamente o contratará una respuesta a incidentes o una firma legal de terceros para obtener ayuda. Y una vez que se conozca el ataque, también podría enfrentarse a una avalancha de demandas por parte de tus clientes.
Si ocurre el peor de los casos y todos estos factores convergen para crear una "tormenta perfecta" de catástrofe, tendrá dificultades para manejar todo correctamente o de manera efectiva cuando las cosas se pongan difíciles. La conclusión es que la preparación le servirá bien.
No se garantiza que nadie esté a salvo de un ataque de ransomware en el clima de seguridad actual, pero tener un equipo de respuesta de emergencia y un plan listo puede evitar que se derrumbe por completo, lo que puede requerir un proceso de reconstrucción manual costoso y lento.
Comments