¿Qué es el ransomware? ¿Cómo funciona? ¿Cómo prevenir y detectar un ransomware?

Índice

Los ciberataques en ransomware han aumentado en gran medida durante los últimos años, junto a ello, han aumentado también los costes del rescate. 

Formar a los empleados es algo fundamental para poder evitar esta serie de ciberataques a nuestra empresa, pero es imprescindible tener una estrategia para poder recuperarnos en caso de sufrir uno.

¿Qué es un ransomware?

El ransomware es un software malicioso que logra el cifrado de información de una organización o usuario con el objetivo de pedir un rescate.

Estos datos se cifran para que no puedan acceder a archivos, bases de datos o aplicaciones.

 A continuación, se solicita un rescate para facilitar el acceso. El ransomware suele estar diseñado para propagarse por la red y dirigirse a los servidores de bases de datos y archivos, por lo que puede paralizar rápidamente toda una organización.

Se trata de una amenaza creciente, que genera miles de millones de dólares en pagos a los ciberdelincuentes e inflige importantes daños y gastos a las empresas y organizaciones gubernamentales.

Descarga ahora la guía «Elija la tecnología correcta para su empresa»

¿Cómo funciona un ransomware?

El ransomware utiliza el cifrado asimétrico. Se trata de una criptografía que utiliza dos claves, una para cifrar y otra para descifrar los archivos. El atacante genera el par de claves de forma exclusiva para la víctima, y la clave privada para descifrar los archivos es guardada por el atacante.

Una vez se ha hecho el pago, el ciberdelincuente entrega la clave privada a la víctima, aunque, como se ha visto en recientes campañas de ransomware, no siempre es así. Es muy difícil, acceder a la información encriptada sin la clave privada.

Es muy probable que sin una copia de seguridad la víctima se vea obligada a pagar el rescate para recuperar la información encriptada.

¿Cómo evitar ser infectado por ransomware?

De manera resumida estas son las formas para prevenir o detectar un ataque de ransomware:

  • Identifique sus activos expuestos, especialmente los que son sensibles.
  • Forme a sus empleados en materia de ciberseguridad.
  • Con el objetivo de minimizar la posibilidad de acceso no autoizado, conviene configurar la la autenticación multifactor (MFA).
  • Restringir el acceso a los datos sensibles para evitar que el ataque se desplace lateralmente por la red.
  • Mantenga todos los sistemas y aplicaciones actualizados. Quizás utilice una solución de gestión de parches automatizada.
  • Detecte y responda a los eventos que coincidan con una condición de umbral predefinida, como cuando se han copiado o cifrado varios archivos en un plazo determinado.
  • Supervise proactivamente su red y sus datos, incluidas las copias de seguridad.
  • Utilice las últimas soluciones de protección de puntos finales, como cortafuegos de última generación, IPDS, DLP y soluciones SIEM.

¿Cómo recuperarse de un ataque de ransomware?

Cuando se sufre un ataque de ransomware, pagar el rescate es muy arriesgado, ya que nunca se sabe si el atacante realmente cumplirá con su parte de proporcionarte la clave privada para descifrar los datos. Por ello, ¿qué medidas se debe tomar para recuperarse de un ataque de ransomware?

  • Desconecte lo antes posible todos los dispositivos de la red (ordenadores, teléfonos, red Wi-Fi..)
  • Restablece las contraseñas del administrador de sistemas.
  • Realice todas las actualizaciones disponibles de sus sistemas operativos, aplicaciones o softwares que utilice.
  • Identifique la versión del ransomware existente para buscar posibles soluciones de recuperación, como por ejemplo, obtener un desencriptador para descifrar el archivo.
  • ¿Qué dispositivos están ya infectados? ¿Cuáles no lo están todavía? ¿Tiene tecnología vdi configurada en su empresa?
  • Deberá comprobar sus registros  para detectar cualquier actividad sospechosa, lo que puede ayudarle a determinar tanto el origen como el estado de la infección. Si dispone de una solución de auditoría de archivos, deberá estar atento a los eventos en los que se haya copiado o cifrado un gran número de archivos, o si se ha accedido a alguna cuenta con privilegios de forma atípica. Los registros de eventos también pueden ayudarle a entender si sus copias de seguridad han sido manipuladas. También deberías mirar los registros de tu cortafuegos para identificar el tráfico de red entrante y saliente sospechoso, y también comprobar los registros asociados a cualquier solución IPDS, DLP o SIEM que tengas instalada.
  • Ponga sus copias de seguridad a salvo, y compruebe que no han sido todavía infectadas.
  • Borre los dispositivos infectados y reinstale el sistema operativo. Una vez hecho esto, puede restaurar sus datos desde la copia de seguridad. Es conveniente hacerlo desde una red diferente donde se ha producido la infección o completamente fuera de línea.

Si has sufrido un ataque de ransomware, o quieres evitar ser víctima de uno, no dudes en ponerte en contacto ahora con nosotros, desde ADMTOOLS, estaremos encantados de ayudarte.

Comparte en redes sociales

Facebook
Twitter
LinkedIn

Suscríbete aquí