Hacer frente al ransomware: pagar o no pagar, esa NO es la única cuestión

Check Point Research (CPR) ha revelado recientemente que la media semanal de ataques de ransomware ha aumentado un 93% en los últimos 12 meses. Cada semana, más de 1.200 compañías de todo el mundo son víctimas de este tipo de ataques, y todas las empresas, sin excepción alguna, están en riesgo. Según Cybersecurity Ventures, los daños causados por el ransomware alcanzarán aproximadamente 20.000 millones de dólares este año, un aumento de 57 veces desde el año 2015. Para 2031, el coste de los ataques de ransomware podría incluso superar la cifra de 265.000 millones de dólares, por difícil que parezca en estos momentos.

El número de ataques de ransomware está creciendo por una sencilla razón; los cibercriminales están ganando dinero. La disposición a pagar crea un bucle peligroso y aumenta la motivación de los atacantes. Además, los seguros contra ciberriesgos son cada vez más comunes, por lo que las empresas no dudan en satisfacer las demandas de los ciberdelincuentes, lo que agrava aún más el problema.

El aumento de los ataques también está relacionado con el aumento de la oferta de las amenazas. Muchos grupos de cibercriminales ofrecen el ransomware como un servicio, por lo que cualquiera puede alquilar este tipo de amenaza, incluyendo la infraestructura, la negociación con las víctimas o los sitios web de extorsión donde se puede publicar la información robada. El rescate se reparte entonces entre los "socios".

Sin embargo, un ataque de ransomware muchas veces no comienza con un ransomware.  A menudo empieza con un "simple" correo electrónico de phishing. Además, los grupos de ciberdelincuentes suelen trabajar juntos. Por ejemplo, en los ataques del ransomware Ryuk, el malware Emotet se utilizó para infiltrarse en la red, luego la red se infectó con Trickbot y, finalmente, el ransomware cifró los datos.

¿Cómo pueden saber las empresas si han sido víctimas de un ataque de ransomware y cómo deben reaccionar? Si no se detecta a tiempo, es relativamente fácil averiguarlo, ya que las empresas recibirán un mensaje pidiendo un rescate y no podrán acceder a los datos de la empresa.

Además, los ciberdelincuentes perfeccionan constantemente sus técnicas para aumentar la presión de pago. Al principio, el ransomware "sólo" encriptaba los datos y pedía un rescate para desbloquearlos. Los atacantes pronto añadieron una segunda fase y robaban información valiosa antes del cifrado, amenazando con hacerla pública si no se pagaba el rescate. Aproximadamente el 40% de las nuevas familias de ransomware utilizan el robo de datos de alguna manera, además del cifrado. Asimismo, recientemente hemos visto una tercera fase en la que también se contacta con los partners o clientes de las empresas atacadas para pedir un rescate, una nueva técnica que se conoce como triple extorsión.

Se recomiendan seguir estos pasos cuando se produce un ataque de este tipo:

1) Mantener la mente fría

Si una organización es víctima de un ataque de ransomware, es importante no asustarse. Ponerse en contacto con el equipo de seguridad inmediatamente y tomar una foto de la nota de rescate para poder aplicar la ley y llevar a cabo la investigación posterior.

2) Aislar los sistemas atacados

Desconectar inmediatamente los sistemas infectados del resto de la red para evitar más daños. Al mismo tiempo, identificar el origen de la infección. Por supuesto, como se ha mencionado, un ataque de ransomware suele comenzar con otra amenaza, y los cibercriminales pueden haber estado en el sistema durante mucho tiempo, cubriendo gradualmente sus huellas, por lo que la detección del "paciente cero" puede ser algo que la mayoría de las empresas no puedan manejar sin ayuda externa.

3) Cuidado con las copias de seguridad

Los atacantes saben que las compañías intentarán recuperar los datos a partir de las copias de seguridad para evitar el pago de la indemnización. Por eso, una de las fases del ataque suele ser el intento de localizar y cifrar, o borrar, las copias de seguridad. Además, nunca se deben conectar dispositivos externos a los dispositivos infectados. La recuperación de los datos encriptados puede provocar la corrupción, por ejemplo, debido a una clave defectuosa. Por lo tanto, puede ser útil hacer copias de los datos cifrados. También se están desarrollando gradualmente herramientas de descifrado que pueden ayudar a descifrar códigos desconocidos. Si se tienen copias de seguridad que no han sido encriptadas, hay que comprobar la integridad de los datos antes de restaurarlos por completo.

4) Sin reinicios ni mantenimiento del sistema

Desactivar las actualizaciones automáticas y otras tareas de mantenimiento en los sistemas infectados. La eliminación de archivos temporales o la realización de otros cambios podría complicar innecesariamente las investigaciones y la reparación. De la misma manera, no se deben de reiniciar los sistemas, ya que algunas amenazas pueden empezar a borrar archivos.

5) Cooperar

En la lucha contra la ciberdelincuencia, y el ransomware en particular, la colaboración es clave. Por ello, hay que ponerse en contacto con las fuerzas de seguridad y las autoridades cibernéticas nacionales, y no dudar en contactar con el equipo de respuesta a incidentes de una empresa de ciberseguridad de confianza. Informar a los empleados del incidente, incluyendo instrucciones sobre cómo proceder en caso de cualquier comportamiento sospechoso.

6) Identificar el tipo de ransomware

Si el mensaje de los atacantes no indica directamente de qué tipo de ransomware se trata, entonces se puede utilizar una de las herramientas gratuitas y visitar el sitio web de No More Ransom Project, ahí puede encontrar una herramienta de descifrado sólo para su ransomware. 

7) ¿Pagar o no pagar?

Si el ataque de ransomware tiene éxito, la organización se enfrenta a la decisión de pagar o no el rescate. En cualquier caso, las empresas deben volver al principio y averiguar por qué se produjo el incidente. Tanto si fueron los factores humanos como la tecnología los que fallaron, hay que volver a repasar todos los procesos y replantear toda la estrategia para garantizar que no vuelva a producirse un incidente similar. Dar este paso es necesario independientemente de que la organización pague o no el rescate. Uno nunca puede consolarse con el hecho de que, de alguna manera, se haya producido la recuperación de los datos y considerar el incidente resuelto.

Entonces, ¿pagar o no pagar? La respuesta no es tan sencilla como parece a primera vista. Aunque los importes de los rescates son a veces de cientos de miles o millones de dólares, las interrupciones de los sistemas críticos suelen superar estas cantidades. Sin embargo, las empresas deben recordar que, aunque se pague el rescate, no significa que los datos, o incluso parte de ellos, vayan a ser descifrados. Incluso se conocen casos en los que los atacantes tienen fallos en los códigos para que la organización no pueda recuperar los datos, aunque quiera.

Es primordial no precipitarse al tomar una decisión y considerar todas las opciones cuidadosamente. Pagar el rescate nunca debe llegar a ser una opción.

¿Cómo se puede minimizar el riesgo de ser la próxima víctima de un ransomware?

1. Extremar la vigilancia los fines de semana y los días festivos. La mayoría de los ataques de ransomware en el último año han tenido lugar en fines de semana o días festivos, cuando es más probable que las empresas sean más lentas en responder a una amenaza.

2. Instalar actualizaciones y parches regularmente. WannaCry golpeó con fuerza a empresas de todo el mundo en mayo de 2017, infectando más de 200.000 ordenadores en tres días. Sin embargo, un parche para la vulnerabilidad explotada EternalBlue había estado disponible durante un mes antes del ataque. Las actualizaciones y los parches deben instalarse inmediatamente y tener una configuración automática.

3. Instalar un anti-ransomware. La protección anti-ransomware vigila cualquier actividad inusual, como la apertura y el cifrado de un gran número de archivos, y si se detecta cualquier comportamiento sospechoso puede reaccionar inmediatamente y evitar daños masivos.

4. La educación es una parte esencial de la protección. Muchos ciberataques comienzan con un correo electrónico dirigido que no contiene malware, sino que utiliza la ingeniería social para intentar atraer al usuario para que haga clic en un enlace peligroso. La educación del usuario es, por tanto, una de las partes más importantes de la protección.

5. Los ataques de ransomware no comienzan con el mismo, por lo cual extremar los cuidados con otros códigos maliciosos, como Trickbot o Dridex que se infiltran en las compañías y preparan el terreno para un posterior ataque de ransomware.

6. Las copias de seguridad y el archivo de datos son esenciales. Si algo va mal, sus datos deben poder recuperarse fácil y rápidamente. Es imprescindible realizar copias de seguridad de forma sistemática, incluso de forma automática en los dispositivos de los empleados, y no confiar en que ellos mismos se acuerden de activar la copia de seguridad.

7. Limitar el acceso sólo a la información necesaria y segmentar el acceso. Si quiere minimizar el impacto de un ataque potencialmente exitoso, es importante asegurarse de que los usuarios sólo tengan acceso a la información y los recursos que necesitan absolutamente para hacer su trabajo. La segmentación minimiza el riesgo de que el ransomware se extienda sin control por la red. Hacer frente a las consecuencias de este tipo de ataque en un sistema puede ser difícil, pero reparar los daños tras un ataque a toda la red es mucho más complicado.

Mario García, director general, Check Point Software España y Portugal