Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PARA RANSOMWARE
Si está luchando contra un ataque de ransomware en este
momento, vaya directamente a la sección del Plan de 10 pasos
para la recuperación de ransomware en la página 8 y llámenos
al 1-800-520-2796, ext. 3.
Página 1
El ransomware es un peligro evidente y presente para organizaciones de todos los
tamaños. Este kit de emergencia le indica lo que necesita saber para entender la
amenaza, cómo reforzar su negocio contra ella y qué hacer si sus organizaciones
son atacadas.
Contenido
1 Entender la amenaza
Página 2
Entender la amenaza
clave de desencriptado que está en poder de los atacantes. una empresa en recuperarse
por completo1
Cada vez es más común que las bandas de ransomware
roben también los datos de una organización para tener
más ventaja durante las negociaciones del rescate.
11 s
diferente a la de los virus y malware de antaño. A la hora de
planificar cómo prepararse y responder a un ataque de
ransomware, las organizaciones deben pensar en el impacto Los expertos predicen que
potencial sobre su negocio de la misma manera que piensan ahora se produce un ataque de
ransomware cada 11 segundos3
en el impacto de una catástrofe natural.
1
Grupo de trabajo sobre ransomware, Cómo combatir el ransomware, 2021, https://securityandtechnology.org/ransomwaretaskforce/report/
2
Grupo de trabajo sobre ransomware, Cómo combatir el ransomware, 2021, https://securityandtechnology.org/ransomwaretaskforce/report/
3
Revista Cybercrime, Se prevé que el costo de los daños causados por el ransomware en el mundo alcance los 20,000 millones de dólares en
2021, 2019, https://cybersecurityven-tures.com/global-ransomware-damage-costs-predicted-to-reach-20-billion-usd-by-2021/
Página 3
Anatomía de un ataque de ransomware
El ransomware suele implementarse como el último acto de una sofisticada infiltración
en su red por parte de hackers informáticos. Cada ataque de ransomware es diferente,
pero suelen seguir un patrón predecible, que puede desglosarse en cinco fases.
Intrusión
Los atacantes obtienen acceso no autorizado Dado que la mayoría de las intrusiones se deben
a una de sus computadoras, a menudo a través de al phishing por correo electrónico, a los ataques
phishing (suplantación de identidad), buscando de fuerza bruta contra el protocolo de escritorio
o adivinando una contraseña remota, o explotando
remoto (RDP) o a las deficiencias de seguridad,
una vulnerabilidad de software. Esto puede ocurrir
la prevención adecuada debe ser una prioridad.
con meses de anticipación.
Infiltración
Los programas maliciosos se desplazan No se pueden evitar todas las intrusiones, así que
lateralmente por las redes. estructure y supervise su red como si estuviera
esperando que se produzca una intrusión.
Ataque
Los atacantes ejecutan el ransomware en su red, La prevención de los ataques requiere múltiples
a menudo por la noche o el fin de semana. Las capas de defensa de seguridad, detección de
operaciones críticas de la empresa se paralizan. anomalías para las amenazas desconocidas de
Las notas de rescate explican cómo negociar “día cero” y tecnología de prevención
con los atacantes. de ransomware.
Respuesta
Los atacantes exigen un rescate, que puede ser de Las copias de seguridad son un objetivo principal
millones de dólares. Establecerán plazos y pueden para los atacantes, así que mantenga varias copias
amenazar con filtrar información confidencial. de sus datos y asegúrese de que al menos una de
ellas no esté conectada a la red.
Recuperación
Tanto si el ataque tiene éxito como si no, es Después de restablecer las operaciones críticas,
posible que los atacantes sigan en su red o que debe descubrir lo que ha ocurrido, expulsar a los
siga habiendo malware o artefactos persistentes atacantes de su red, eliminar todos los rastros
que puedan causar reinfecciones. Su voluntad de de su intrusión y fortalecer su red contra un
pagar un rescate quedará registrada. nuevo ataque.
Página 4
¿Se debe pagar el rescate (”ransom”)?
La mayoría de los expertos y organismos gubernamentales recomiendan que no se pague
un rescate. Los pagos de rescates incentivan nuevos ataques y financian el desarrollo
continuo del ransomware, lo que contribuye a la inseguridad de todos.
FBI
El FBI no está a favor del pago de un rescate ante un
ataque de ransomware. Pagar un rescate no le garantiza
a usted o a su empresa que recuperará su información.
1
Forbes, Otra razón por la que las víctimas de ransomware no deberían pagar el rescate, 2021,
https://www.forbes.com/sites/leemathews/2021/05/29/heres-yet-another-reason-ransomware-victims-shouldnt-pay-the-ransom/
2
Coveware, Informe del tercer trimestre de 2020 sobre el mercado de ransomware, 2020,
https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report
3
BankInfoSecurity.com, Estimación del costo de recuperación de un ataque de ransomware en Irlanda: 600 millones de dólares, 2021
https://www.bankinfosecurity.com/irish-ransomware-attack-recovery-cost-estimate-600-million-a-16931
4
Cybereason, Ransomware: El verdadero costo para las empresas, 2021
https://www.cybereason.com/ebook-ransomware-the-true-cost-to-business
Página 5
Restablecimiento
Lista de comprobación para la protección
Recuperación
Infiltración
Intrusión
proactiva contra el ransomware
Ataque
Crear un inventario de activos, incluyendo hardware, software y datos
Parchar los sistemas regularmente, dando prioridad a los más vulnerables y críticos
Garantizar que los sistemas están correctamente configurados y que las funciones de seguridad
están activadas
Reforzar la seguridad del acceso remoto con autenticación de factores múltiples (MFA), límites de tasa
de las contraseñas y bloqueos de contraseñas
Implementar software de seguridad para puntos finales en todos los puntos finales y servidores
Utilizar la lista de permisos para garantizar que solo se pueda ejecutar el software autorizado
Reforzar la protección de los controladores de dominio de acuerdo con las mejores prácticas
más recientes5
Supervisar la red y sus puntos finales mediante sistemas de detección de intrusiones (IDS), detección
y respuesta de punto final (EDR) y sistemas de gestión de eventos e información de seguridad (SIEM)
Realizar copias de seguridad continuas y completas y asegurarse de que por lo menos una de ellas
no esté conectada a la red
Disponer de un proceso de restablecimiento de computadoras a partir de imágenes limpias del sistema
Practicar el restablecimiento de sistemas a partir de copias de seguridad, para asegurarse
de que funcionan
Crear un plan de respuesta a incidentes que se ajuste a la normativa6
Crear una lista de activos críticos para saber qué se debe restaurar primero
Página 6
Lista de comprobación de protección
de puntos finales
Las soluciones de seguridad para puntos finales son una parte clave de una estrategia de
defensa en profundidad, ya que desempeñan un papel en la detención de las intrusiones y la
infiltración, así como los propios ataques de ransomware. El software de protección de puntos
finales, o las funciones de protección de puntos finales incluidas en una solución de detección
y respuesta de puntos finales (EDR), deben ofrecer los siguientes componentes para garantizar
que la solución defienda contra el ransomware:
Protección contra programas espía (spyware), correos electrónicos y sitios
web maliciosos
Detección en tiempo real de malware de día cero, sin archivos y ofuscado
Fortalecimiento de aplicaciones para prevenir exploits
Mitigación de exploits y análisis de la carga maliciosa para bloquear el código
malicioso activado de forma remota
Análisis de carga maliciosa que identifica familias de malware conocido
y relevante con presiones
Mitigación de ransomware para detectar y bloquear la ejecución del ransomware
Una función de reversión que puede restaurar los puntos finales a un estado
bueno conocido
Recursos de utilidad
La Agencia de ciberseguridad e infraestructura (CISA) mantiene una guía detallada
sobre el ransomware (https://www.cisa.gov/publication/ransomware-guide) y una
herramienta para evaluar si se está preparado ante el ransomware
(https://github.com/cisagov/cset/releases/tag/v10.3.0.0).
4
A esto se le conoce como “living off the land”. El proyecto “Living Off The Land Binaries and Scripts” (LOLBAS) mantiene una lista de software
legítimo utilizado por los atacantes en https://lolbas-project.github.io/
5
Los controladores de dominio son un objetivo principal para los atacantes. Microsoft mantiene una guía para asegurar los controladores
de dominio contra los ataques en
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/securing-domain-controllers-against-attack
6
Puede encontrar un modelo de plan de respuesta en
https://github.com/counteractive/incident-response-plan-tem-plate/blob/master/playbooks/playbook-ransomware.md
Página 7
Plan de 10 pasos para la recuperación
de ransomware
Si está lidiando con un incidente de ransomware es posible que esté trabajando bajo una presión extrema.
El ransomware puede seguir cifrando archivos, los atacantes pueden haber dado un ultimátum y su
organización estará desesperada por volver a funcionar. Pida ayuda, priorice sus acciones, comuníquese
con claridad y proteja a los demás.
1. Contenga el ataque. Aísle los sistemas o redes infectados para limitar el impacto del ataque.
Su prioridad debe ser contener el ataque, y al mismo tiempo, en caso de ser posible, intente
preservar las pruebas dejando los sistemas afectados encendidos.
2. Determine el alcance del ataque. Comprenda qué sistemas y qué tipos de datos han sido
afectados, dé prioridad a la recuperación de los sistemas críticos.
3. Comuníquese con las partes interesadas. Las partes interesadas pueden ser la alta dirección,
las relaciones públicas, su equipo jurídico, los proveedores de seguros, los vendedores
y los cuerpos de seguridad.
4. Busque ayuda. Considere la posibilidad de buscar la ayuda de expertos de los cuerpos de segur
dad locales y nacionales, proveedores u otros terceros familiarizados con la recuperación
de ransomware.
5. Preserve las pruebas. Con la ayuda de los cuerpos de seguridad y de terceros, intente preservar
las pruebas del ataque.
6. Identifique el ransomware utilizado. Esto le ayudará a descubrir si hay un desencriptador
disponible, y le informará de los detalles de la contención y la limpieza.
7. Contenga la intrusión. Intente identificar los sistemas y las cuentas utilizadas en la intrusión
inicial, así como cualquier malware precursor o mecanismos de persistencia dejados por
los atacantes.
8. Reconstruya los sistemas. Utilice imágenes y copias de seguridad del sistema en buen
estado para restaurar los sistemas críticos. Tenga cuidado de separar los sistemas limpios
de los afectados.
9. Restablezca, parche, actualice. Restablezca las contraseñas, aplique parches y actualice
el software, e inste cualquier control de seguridad adicional necesario para evitar que se
repita el ataque.
10. Documente las lecciones aprendidas. El ransonware está en constante evolución. Utilice lo que
ha aprendido de este ataque para prepararse mejor para el siguiente.
Página 8