Ransomware: cómo responder

Introducción

Una vez que se detectan indicios de un ataque de ransomware, hay que actuar con rapidez para contener su propagación, eliminar la presencia del atacante, erradicar la causa raíz de la intrusión, restaurar el entorno y restablecer el funcionamiento normal.

Si no se elimina el malware, no se eliminan los puntos de acceso utilizados por el atacante o no se corrigen las vulnerabilidades explotadas, podrían producirse nuevos ataques y daños aún mayores.

Este documento aborda los aspectos técnicos de la respuesta a los ataques de ransomware. Si bien los aspectos relacionados con la denuncia de delitos, la negociación y el pago de rescates deben formar parte del plan de respuesta a incidentes, no se abordarán aquí, ya que implican decisiones legales y comerciales que exceden el alcance de este documento.

Sin embargo, cabe señalar que el pago del rescate no evita nuevos intentos de extorsión ni garantiza la recuperación total ni la confidencialidad de los datos. Además, el dinero del rescate podría financiar e incentivar actividades ilegales de los atacantes.

La infografía "Ransomware: cómo responder" muestra las principales recomendaciones, las cuales se detallan a continuación. Dependiendo del entorno de la empresa y del tipo de ransomware, estas recomendaciones pueden implementarse simultáneamente, en otro orden o incluso no ser aplicables.

1. Seguir el plan de respuesta a incidentes

No planificar cómo responder a un ataque de ransomware hasta que el problema ocurra puede retrasar las acciones y decisiones, exigir mayores esfuerzos de recuperación, prolongar el tiempo de inactividad, causar mayores daños y dejar problemas sin resolver que podrían dar lugar a nuevos ataques.

• Tenga un plan de respuesta a incidentes.
• Defina en el plan los contactos que deben participar. Esto incluye:
  • a quién se debe notificar primero para iniciar la respuesta;
  • quién toma las decisiones sobre las acciones técnicas que pueden afectar las operaciones de la empresa, como apagar los equipos y bloquear los accesos;
  • a qué proveedores de servicios es necesario contactar, por ejemplo, proveedores de almacenamiento en la nube, soluciones de software, soporte y seguridad;
  • a qué directivos y personas del departamento legal es necesario notificar para abordar las decisiones regulatorias y comerciales y, cuando corresponda, ponerse en contacto con la aseguradora y ocuparse de los aspectos relacionados con la notificación de las autoridades competentes y las solicitudes de pago de rescate.
• También defina y documente:
  • las funciones que deben desempeñar los empleados y terceros;
  • los requisitos y plazos para notificar los incidentes a la agencia reguladora, por ejemplo, en caso de una filtración de datos;
  • los procedimientos para contactar a la aseguradora en caso de siniestro;
  • los pasos que seguir para responder a un incidente (ver más abajo).
• Capacite a los contactos definidos en el plan de respuesta a incidentes para que sepan cómo desempeñar sus tareas.
• Documente las acciones tomadas y la información recopilada.

Una forma de determinar quiénes deben participar y cuáles son sus funcione consiste en reunir al personal técnico, legal y directivo para analizar conjuntamente un escenario de ataque de ransomware e identificar respuestas para todos los temas tratados en este documento. Algunas empresas optan por realizar ejercicios de simulación de ataques para asegurar que todos sepan qué hacer.

Documentar la respuesta al incidente ayuda a comprender el ataque, coordinar a los equipos implicados, corregir fallas y actualizar el plan de respuesta. Además, junto con las pruebas recopiladas de los equipos comprometidos, esta documentación puede ser necesaria en caso de investigaciones policiales o para satisfacer requisitos de cumplimiento, por ejemplo, notificar a una agencia reguladora.

2. Contener el ataque

El primer paso de la respuesta a un ataque de ransomware consiste en contener su progresión para reducir su impacto en la empresa. La contención incluye proteger los sistemas que aún no han sido comprometidos y aislar los sistemas ya afectados de manera de recuperar el control.

2.1. Proteger los sistemas que no han sido comprometidos

Proteger las áreas compartidas y apagar los sistemas no comprometidos evita que se infecten, ayudando así a contener el ataque, reducir la pérdida de datos y facilitar la reanudación de las operaciones.

• Priorice el aislamiento y la protección de los sistemas y datos que sean críticos para las operaciones comerciales, especialmente las copias de seguridad, ya que estos son fundamentales para la recuperación del entorno.
• Desconecte o restrinja los permisos de escritura en los sistemas de almacenamiento y uso compartido de archivos en la red, como dispositivos NAS y servicios en la nube.
• Apague los dispositivos que todavía no hayan sido afectados:
  • Si no puede apagarlos, desconéctelos de la red.

2.2. Aislar los sistemas que ya han sido comprometidos

Aislar los sistemas ya comprometidos hace que el atacante pierda su conexión a la red, interrumpe la cadena de ataque y detiene la exfiltración de datos y la propagación del ransomware a otros sistemas.

• Desconecte:
  • Los equipos comprometidos de la red cableada y de cualquier otro tipo de conexión, como Wi-Fi, bluetooth y celular.
  • Los dispositivos externos conectados a equipos comprometidos, como discos y memorias USB, para evitar que sean afectados.
• Interrumpa y bloquee las conexiones maliciosas detectadas, por ejemplo, las conexiones a servidores de C2.
• Conserve las pruebas. De ser posible:
  • Realice un dump de la memoria de los equipos comprometidos.
  • Tome una instantánea de los sistemas virtuales y de los volúmenes de almacenamiento en la nube.
• Intente recopilar todos los datos necesarios antes de modificar los sistemas comprometidos, ya que cualquier modificación podría destruir información importante para el análisis y la recuperación.

Si bien son fundamentales para controlar el ataque, las medidas de contención podrían alertar al atacante sobre su detección y activar mecanismos programados para dificultar la recuperación del entorno, eliminar archivos o acelerar el cifrado de datos.

3. Identificar el ransomware

Identificar el ransomware ayuda a comprender el comportamiento del malware, descubrir los sistemas afectados, corregir vulnerabilidades y evaluar opciones para la recuperación de los datos.

• Analice, por ejemplo, la información incluida en la nota de rescate y la extensión de los archivos cifrados o del dump de memoria de los dispositivos comprometidos.
• Investigue, en fuentes confiables, si hay descifradores disponibles:
  • Los descifradores pueden ser una alternativa para recuperar los datos cuando las copias de seguridad están inaccesibles o dañadas.

Algunos ejemplos de proyectos que ayudan a identificar descifradores de ransomware incluyen:

• No More Ransom Project
• ID Ransomware

4. Analizar la información recopilada

Analizados en conjunto y combinados con información sobre el ransomware, los logs de las herramientas de protección y las pruebas recopiladas de los sistemas comprometidos pueden revelar elementos clave para determinar la causa raíz del ataque y evaluar el alcance del incidente.

• Investigue el ransomware en fuentes especializadas, como boletines y alertas de seguridad, para descubrir indicadores de compromiso (IoC) y las técnicas y herramientas utilizadas por los atacantes.
• Relacione las pruebas recopiladas de los sistemas comprometidos, los logs de la red y de las herramientas de seguridad, y la información sobre el ransomware (si es que fue identificado) e intente determinar:
  • el punto de entrada a la red;
  • los detalles de la infección inicial;
  • la fecha de inicio del incidente;
  • los datos exfiltrados;
  • las conexiones realizadas por el atacante;
  • los sistemas a los que se propagó el malware;
  • otros sistemas utilizados por el atacante, por ejemplo, para exfiltrar datos, persistência y c2.
• Identifique la causa raíz del ataque a la empresa, es decir, cómo se produjo el acceso inicial, si hubo credenciales comprometidas y por qué, y qué vulnerabilidades se explotaron. Corregir los problemas identificados es fundamental para prevenir futuros ataques.
• Si se detectan nuevos sistemas comprometidos, aplique las acciones listadas en el punto 2.2. Aislar los sistemas que ya han sido comprometidos.

5. Eliminar el ransomware

Eliminar el malware no es suficiente para garantizar la recuperación completa del entorno. Es necesario eliminar todos los rastros del atacante, como los cambios de configuración y los mecanismos de persistencia y C2.

Por esta razón, la estrategia más segura para garantizar la erradicación completa de las acciones del atacante consiste en reinstalar y reconfigurar los sistemas afectados.

• Reinstale los sistemas comprometidos utilizando fuentes confiables.
• Aplique todas las actualizaciones, especialmente las de seguridad.
• Asegúrese de parchear la vulnerabilidad que permitió la entrada del atacante:
  • Si no es posible corregir la vulnerabilidad, adopte medidas de mitigación.

En "Ransomware: cómo protegernos" encontrará más detalles sobre la configuración segura del sistema.

6. Cambiar las contraseñas y revisar los accesos

Para evitar que el atacante vuelva a ingresar a la red usando credenciales comprometidas, es importante forzar el cambio de contraseñas y reforzar la protección de las cuentas.

• Cambie las contraseñas de todas las cuentas:
  • Asuma que han sido comprometidas y no son confiables;
  • Priorice las cuentas sospechosas de haber sido comprometidas y aquellas con accesos privilegiados.
• Elimine cualquier privilegio añadido por el atacante.
• Bloquee o elimine las cuentas creadas o reactivadas por el atacante.
• Habilite la autenticación multifactor en las cuentas:
  • Asegúrese de que la autenticación multifactor esté activa cuando sea necesario, ya que el atacante podría haberla desactivado.

7. Restaurar los datos y la conectividad

Una vez que se han reinstalado y reconfigurado los sistemas, es momento de restaurar los datos y volver a conectar los dispositivos a la red.

Para evitar reinfecciones accidentales, es importante asegurarse de que los datos recuperados estén intactos y que no contengan copias del malware, otras herramientas ni cambios de configuración realizados por el atacante.

• Recupere los datos de copias de seguridad confiables, preferentemente de copias que estén fuera de línea.
• Si no hay copias de seguridad disponibles o estas copias no son confiables, compruebe si hay descifradores disponibles (consulte la fase "3. Identificar el ransomware"):
  • Si no puede descifrar los datos, intente reconstruirlos utilizando los recursos disponibles, por ejemplo, correos electrónicos o repositorios externos.
• Elimine cualquier medida de contención que se haya aplicado.
• Restablezca las conexiones de red.

8. Mejorar el entorno con las lecciones aprendidas

Una vez superada la fase crítica y reanudadas las operaciones, es hora de intensificar la vigilancia, analizar el incidente en mayor profundidad y reforzar las medidas de seguridad para garantizar que los problemas se hayan resuelto y prevenir futuros incidentes.

• Refuerce los controles de monitoreo y detección descritos en "Ransomware: cómo detectarlo".
• Prepare un informe del incidente, consolidando lo documentado en las fases anteriores, especialmente las acciones tomadas, la evidencia preservada y la información recopilada.
• Actualice el Plan de Respuesta a Incidentes, considerando:
  • qué funcionó pero necesita ajustes;
  • qué no funcionó y debe corregirse;
  • qué faltó y debe añadirse.
• Aproveche la experiencia para reforzar las medidas preventivas descritas en "Ransomware: cómo protegernos", especialmente:
  • Actualizar los sistemas o reemplazar las soluciones obsoletas.
  • Mejorar la protección y el monitoreo de las redes y los sistemas críticos.
  • Reforzar el equipo de seguridad.
  • Invertir en formación y concientización.