Los ataques de ransomware han causado que muchas organizaciones y usuarios particulares pierdan datos críticos o confidenciales. Si bien las medidas preventivas son la mejor solución para el ransomware, una vez que ya se ha producido un ataque, la mejor oportunidad de recuperar los datos es mantener copias de seguridad de datos regulares. Proteger tus datos es fundamental: toma medidas para evitar que las copias de seguridad también se cifren con ransomware.
¿Qué es un ataque de ransomware?
Ransomware es una forma de malware que impide a los usuarios acceder a sus archivos. Cuando el ransomware infecta un sistema, comienza a buscar archivos valiosos y los cifra. Los archivos se cifran mediante cifrado de clave asimétrica, donde sólo los atacantes tienen la clave privada que puede descifrar los archivos.
El ransomware muestra un aviso de rescate a los usuarios, generalmente reemplazando su fondo de escritorio o colocando un archivo de texto con instrucciones en las carpetas de archivos que atacó. El aviso de rescate exige que el pago, que puede ser de entre cientos y varios miles de dólares, se pague en criptomoneda para mantener el ataque en el anonimato.
El aviso de rescate generalmente especifica una fecha límite después de la cual se destruirán los archivos de la víctima. En muchos casos, incluso después de que las víctimas paguen el rescate, los atacantes no liberan los archivos.
Los tipos comunes de ransomware incluyen WannaCry, Cerber, Cryptolocker, NotPetya y Ryuk.
¿Quién es un objetivo para el ransomware?
El ransomware puede dirigirse a casi cualquier persona, desde usuarios domésticos hasta pequeñas empresas, grandes empresas, agencias gubernamentales o públicas, e incluso políticos o celebridades.
Organizaciones académicas: estas organizaciones son un objetivo principal para el ransomware y otros tipos de ataques cibernéticos. Tienen grupos de IT y seguridad más pequeños que las empresas de un tamaño similar, restricciones presupuestarias, una alta tasa de intercambio de archivos comunitarios y grandes volúmenes de datos confidenciales, como propiedad intelectual, investigación y datos financieros de la escuela, el personal y los estudiantes.
Atención médica: los hospitales y los equipos médicos a menudo usan dispositivos y software informáticos obsoletos, que pueden no estar parcheados o actualizados adecuadamente, lo que los hace relativamente fáciles de violar. Los ciberdelincuentes saben que si los datos hospitalarios se vuelven inaccesibles, pueden amenazar la vida de los pacientes. Atacan hospitales con ransomware bajo el supuesto de que el personal del hospital actuará de inmediato para restaurar los datos debido a su criticidad.
Departamentos de recursos humanos: los sistemas de recursos humanos tienen acceso a registros financieros y de personal que los convierten en objetivos atractivos para los ataques de ransomware. Los hackers a menudo penetran en los sistemas de recursos humanos fingiendo ser solicitantes de empleo. Los equipos de recursos humanos son engañados para abrir un correo electrónico de solicitud de empleo y ejecutar un archivo adjunto infectado por malware.
Agencias gubernamentales: los ciberdelincuentes atacan a los gobiernos por razones obvias, debido a su prominencia y los datos personales confidenciales que poseen. Asumen que los organismos gubernamentales se apresurarán a pagar el rescate porque no pueden permitirse perder datos con importancia pública o política.
Dispositivos móviles: los dispositivos móviles contienen datos personales confidenciales, como fotos y videos personales, credenciales para servicios en línea y, comúnmente, datos financieros y acceso a pagos móviles. Debido a que los dispositivos móviles a menudo se respaldan automáticamente en la nube, los atacantes prefieren obstruir el acceso a un smartphone y solicitar un rescate por permitir el acceso, en lugar de solo cifrar archivos.
Cómo proteger las copias de seguridad del ransomware
La copia de seguridad de datos es la mejor manera de protegerse contra el ransomware. Si tiene una copia de seguridad limpia de sus datos cuando ataca el ransomware, y puede evitar que el ransomware llegue a la copia de seguridad y la cifre también, tiene una manera segura y fácil de recuperarse sin pagar el rescate.
Siga estas prácticas recomendadas para proteger sus copias de seguridad contra el ransomware:
Mantenga una copia de seguridad sin conexión: mantenga una copia de seguridad secundaria sin conexión o en una nube aislada de sus sistemas. Cuando ataca el ransomware, el malware puede atacar cualquier cosa a la que el sistema infectado tenga acceso. Es poco probable que los usuarios finales sean administradores de copias de seguridad, pero existen rutas indirectas a través de las cuales las copias de seguridad pueden infectarse. Si esto sucede, no hay forma de recuperarse porque tanto la copia principal de los datos como la copia de seguridad estarán encriptadas. Mantener una copia de seguridad sin conexión puede mitigar este riesgo. Una forma sencilla de hacerlo es utilizar cintas de copia de seguridad tradicionales, que son imposibles de penetrar para el ransomware o servicios de copia online totalmente inaccesible por el malware.
Use almacenamiento inmutable: también conocido como WORM (Write-Once-Read-Many), el almacenamiento de objetos inmutable puede almacenar datos en un bucket y bloquearlos para evitar modificaciones adicionales. La mayoría de los sistemas de copia de seguridad basados en disco protegen los datos a nivel de bloque y utilizan la supervisión de bloques modificados para proteger los archivos a medida que se modifican; el problema es que el ransomware cambia muchos bloques de almacenamiento, por lo que su sistema posterior puede terminar haiendo una copia de seguridad de los archivos ahora cifrados. El almacenamiento inmutable garantiza que las copias de seguridad permanezcan sin cambios.
Protección de endpoints en servidores de respaldo: las plataformas modernas de protección de endpoints pueden detectar procesos de ransomware a medida que comienzan a infectar un sistema, al reconocer su comportamiento anormal, incluso si el tipo de ransomware es nuevo y desconocido para los investigadores de seguridad. Pueden bloquear inmediatamente los sistemas infectados y aislarlos de la red para evitar que el ransomware se propague. Esto es extremadamente útil para todos los puntos finales de la organización, pero es especialmente importante en el propio servidor de copia de seguridad.
Aumente la frecuencia de las copias de seguridad: vea con qué frecuencia realiza copias de seguridad de sus propios datos, lo que determina su objetivo de punto de recuperación (RPO). La frecuencia de copia de seguridad determinará la cantidad de datos que se pueden perder en un asalto de ransomware. Incluso si realiza una copia de seguridad una vez al día o una vez cada pocas horas, considere el costo de perder todos los datos desde la copia de seguridad anterior. Considere la posibilidad de realizar copias de seguridad de los datos de misión crítica al menos una vez por hora.
Uso de la estrategia de copia de seguridad 3-2-1 para mitigar el riesgo de ransomware
La regla 3-2-1 es una práctica recomendada general para la recuperación y la copia de seguridad, que también puede ayudar a mitigar los riesgos de ransomware. Ninguna estrategia de copia de seguridad es infalible, pero seguir la regla 3-2-1 es probablemente el enfoque más poderoso para evitar la pérdida de datos.
Así es como funciona la copia de seguridad 3-2-1:
- 3: Tenga al menos 3 copias de su información: una copia principal y dos copias de seguridad.
- 2: Utilice 2 formatos de medios distintos, por ejemplo, unidad SSD y almacenamiento en la nube.
- 1: Mantenga 1 de esas copias fuera del sitio: la opción más segura es almacenar datos en una cinta y depositarlos en un lugar muy seguro o utilizar un almacenamiento en la nube. Otra opción es tomar instantáneas automáticas de los datos en una ubicación de recuperación ante desastres.
Copia de seguridad resistente al ransomware: BackupOS
BackupOS es un software de copia de seguridad en la nube y local que permite la copia y restauración segura de grandes cantidades de información. Al estar conectado a un agente de copia en la nube, los datos copiados y encriptados se almacenan de forma segura y confidencial, aislados de sus sistemas locales. Esto garantiza que el malware no podrá acceder a su almacenamiento online, evitando así que su información copiada sea encriptada por los ciberdelincuentes.
BackupOS permite también reforzar la seguridad realizando copias simultáneamente en dispositivos locales extraíbles y en almacenamientos en la nube. Toda la información estará disponible para restaurar en caso de ataque.
El software de copia de seguridad en la nube BackupOS le permite realizar copias de seguridad con la frecuencia que desees. Su tecnología de copia por bloque permite que sólo se copie el bloque de datos modificados de archivo en cuestión, lo que optimiza enormemente el tiempo y ancho de banda necesario para la copia.
Algún día te pasará a ti… Prepárate para sobrevivir al RANSOMWARE
0 comentarios