¿Qué debemos hacer si somos víctima de un Ransomware?

1. ¿Qué es un ransomware y qué impacto tiene?


En este artículo vamos a ver cómo proceder en el caso de que nuestros sistemas hayan sido comprometidos por un ransomware, algo muy habitual en estos últimos tiempos.

Un ransomware se define como un tipo de programa dañino (malware) que secuestra los datos informáticos de aquellas máquinas infectadas, y solicita un rescate económico, generalmente en criptomonedas (Bitcoin, Monero, etc.), a cambio de quitar esta restricción y devolver el acceso de los datos a su víctima.

Un ataque por ransomware supone a las empresas pérdidas económicas de cierta consideración, ya que de no tener planes de recuperación para poder retomar la actividad del negocio, se quedan paralizadas durante varias semanas, o incluso meses, hasta que recuperan el estado en el que estaban antes del ataque, si es que llegar a recuperarlo, sin perjuicio de los costes que puedan ocasionar las contrataciones de servicios externos como pueden ser análisis forense digital para esclarecer lo ocurrido y saber cuál ha sido la brecha de seguridad, o las multas que pueda conllevar por parte de la Agencia Española de Protección de Datos.

En referencia al pago solicitado por los cibercriminales podemos leer los siguientes artículos donde se recopilan varios aspectos referentes a la legalidad e implicaciones de realizar el pago:

Para finalizar este apartado decir que tras un ciberataque el 60% de las PYMES cierra el negocio seis meses después.


2. ¿Cómo es un ataque de ransomware?


El orden de ataque de un ransomware generalmente es el siguiente:

  1. El sistema víctima se infecta:
    • Sufre una intrusión por explotación del protocolo RDP de escritorio remoto, y el cibercriminal infecta el sistema víctima con un “ransomware”. Esto se debe a una mala configuración de seguridad del servicio expuesto.
    • Tiene la sesión iniciada y está desbloqueado porque su usuario lo ha descuidado mientras ha ido a otro lugar, y el criminal (un insider) le instala un ransomware mediante un BadUSB. Esto se debe a una falta de concienciación en ciberseguridad.
    • Es infectado porque la víctima conecta a su equipo informático un pendrive que contiene un “ransomware” (u otro malware) que se ha encontrado “por casualidad”, o que le ha llegado a su buzón como regalo en una magnífica revista plastificada de sus hobbies favoritos, los cuales publica diariamente en sus redes sociales. Esto se debe a una falta de concienciación en ciberseguridad.
    • Es infectado tras la instalación de software pirata. Esto puede deberse a varios problemas, como la falta de concienciación y de unas buenas políticas de seguridad.
  2. Encriptación y propagación: Una vez el “ransomware” se ejecuta en el sistema víctima, trata de encriptar todos los archivos del equipo, y posteriormente (o en paralelo) trata de pivotar hacia el resto de los equipos que estén interconectados. De esta manera, el “ransomware” puede llegar a comprometer una organización empresarial al completo realizando movimientos horizontales (pivotando) y verticales (escalando privilegios).
  3. Petición de rescate: Cuando el “ransomware” haya finalizado el proceso de secuestro de archivos de todos los equipos informáticos a los que ha podido infectar, dejará en un lugar visible un mensaje solicitando un rescate económico, normalmente en criptomoneda difícilmente rastreable por las autoridades (Bitcoin, Monero, etc.).

3. ¿Cómo proceder ante un ataque de ransomware?


En base al momento en que encontremos el ataque, podemos diferenciar distintos tipos de procedimientos a llevar a cabo:

  1. En el caso de que se detecte el ataque en el mismo momento en que se está produciendo se aconseja:
  • Desenchufar de la red todos los equipos informáticos que estén en el mismo segmento de red, y/o apagarlos a la mayor prontitud posible. Esto evitará una posible exfiltración de información sensible a un servidor externo de los cibercriminales, y también evitará que el ransomware finalice su trabajo de cifrado e infección mediante movimientos laterales en los sistemas de la organización.

La desconexión de las máquinas es una medida que, aunque necesaria, deberán ser los afectados los que valoren si pueden permitírsela en base al impacto que pueda tener para su negocio.

Ventajas e inconvenientes:

  • Las ventajas de tomar estas acciones es que muy posiblemente al arrancar a posteriori los equipos en modo seguro, podamos tener evidencias suficientes como para saber de dónde ha venido el ataque, y además no tengamos que interrumpir la operatividad del negocio.
  • Los inconvenientes de tomar estas acciones pueden ser el perder evidencias que pudieran haber, por ejemplo en la memoria RAM, ya que al apagar el equipo informático la RAM quedará liberada.

Normalmente los ransomware no cifran archivos del sistema víctima, por lo que el inicio de sesión queda casi garantizado. Esto es así porque no se debe olvidar que los cibercriminales lo que quieren, tras haberse trabajado la infección y la explotación del sistema con todo el esfuerzo que ello les conlleva, es cobrar el rescate.

2. En el caso de haber sufrido el ataque y que ya se encuentren todos los archivos encriptados junto al mensaje del rescate económico para poder acceder a ellos, se aconseja:

  • Aislar los equipos afectados desconectándolos de todas las redes donde estuvieran conectados (Internet e intranet). Se mantendrán encendidos para no perder los datos de la memoria RAM y otros recursos que puedan ser de ayuda a los analistas forenses, para determinar tras la recolección de todas las evidencias posibles, dónde se ha originado la brecha de seguridad como punto de inicio de la infección. De la misma manera, y si quedan restos del ransomware los analistas forenses podrán determinar mediante ingeniería inversa y el análisis de red, si ha habido exfiltración de información y dónde fue enviada dicha información. Esto es de vital importancia para seguir el rastro a los ciberdelincuentes, además de crear indicadores de compromiso (IOC), entre otras cosas.

En el caso de que los servidores donde se guarden las copias de seguridad estén conectados a la misma red, estos serán los primeros en ser desconectados para evitar que la propagación del ransomware pueda llegar a encriptarlos.

Una vez se hayan seguido los pasos anteriores para controlar la infección, lo más conveniente es ponerse en manos de profesionales para que:

  • Lleven a cabo un Análisis Forense Digital (AFD).
  • Asesoren y den soporte sobre los procedimientos de denuncia ante las autoridades.
  • Comiencen con la recuperación de los archivos encriptados en caso de que fuera viable.

4. Denuncia, recuperación del desastre, recuperación de datos, implantación de políticas de seguridad y concienciación


Una vez realizados los pasos anteriores, se incluyen varias acciones que se recomienda se realicen también y que se han ordenado en función de su urgencia, siendo las más urgentes las primeras y las menos las últimas:

  1. Lo primero, cambiar las contraseñas de los servicios online afectados. Hasta que se descubran las causas del ataque, se deben considerar comprometidas las contraseñas.
  2. Realizar un análisis Forense Digital (AFD) de los equipos informáticos afectados para determinar el origen y alcance de la brecha de seguridad. Si se consigue obtener suficiente información, se podrá esclarecer el origen de la infección, cómo se podría haber evitado, si hubo o no exfiltración de información sensible que los delincuentes puedan vender o usar para extorsionar, entre otras.
  3. En paralelo al análisis o al terminar éste (siempre dentro de los plazos estipulados para el reporte de incidentes), reportar el incidente sufrido a Policía Nacional, Guardia Civil y AEPD según corresponda. Cada una de estas entidades indicará a los afectados qué pasos legales deben seguir.
  4. En paralelo, ejecutar los planes de recuperación de desastres en la medida que sean necesarios y hacer uso de las copias de respaldo, en caso de tenerlas, para intentar restaurar los sistemas y operaciones.
  5. En caso de que no haya más remedio, por carecer de copias de respaldo lo suficientemente recientes, se podría intentar recuperar los datos encriptados. La viabilidad de esta acción está determinada en su mayor parte por el tipo de malware, no siendo posible la recuperación en muchas ocasiones.
  6. A más largo plazo, implantar o revisar las políticas de seguridad con las que se mitigue al máximo posibles vectores de ataque como el sufrido con la infección del ransomware.
  7. Se recomienda realizar una auditoría de seguridad tipo Pentest, también llamado test de intrusión o de hacking ético, para comprobar que la organización es segura, y en caso de localizar vulnerabilidades poderlas parchear a tiempo para evitar incidentes.
  8. Finalmente, se aconseja mejorar la concienciación en Ciberseguridad de los empleados para que comprendan los riesgos y amenazas más comunes empleadas por grupos cibercriminales.

5. Conclusiones y consejos


En este artículo hemos visto una forma recomendable de cómo proceder tras ser víctimas de un ataque de ransomware, dependiendo del momento en que se encuentre el ataque en cuestión.

La forma más habitual de sufrir un ataque de ransomware es mediante ingeniería social, la instalación de software pirata, por tener los sistemas desactualizados, y por malas configuraciones de servicios que quedan expuestos públicamente. En este punto se debe hacer hincapié en la concienciación y formación en ciberseguridad con carácter continuo, ya que son los usuarios los eslabones más débiles de la cadena.

La manera más adecuada para poder mitigar un ataque de ransomware (al margen de tenerlo todo debidamente actualizado), es el tener una buena política de seguridad y de recuperación de desastres, además de una buena formación de concienciación en ciberseguridad.

Si es o ha sido víctima de ransomware, necesita un análisis forense de sus sistemas y que llevemos todos los procedimientos administrativos de su caso, o está interesado en comprobar la seguridad de sus activos mediante un test de hacking ético o una Operación Red Team, o de realizar la implantación de unas buenas políticas de seguridad, no dude en contactarnos.


Descargo de responsabilidad


Este artículo contiene una serie de recomendaciones generales sobre medidas a adoptar en caso de ser víctima de ransomware. JAYMON SECURITY S.L. no se hace responsable en ningún caso de los inconvenientes y problemas de cualquier índole derivados de su puesta en práctica. Queda del lado del lector toda la responsabilidad sobre las acciones que realice intentando aplicar estas recomendaciones.

Spain

No puedes copiar el contenido