Tres pasos para prevenir y recuperarse del ransomware

Dos trabajadores con una tableta

Por: Mark Simos Arquitecto Jefe de Ciberseguridad, Grupo de Soluciones de Ciberseguridad.

El 14 de julio de 2021, el Centro Nacional de Excelencia en Ciberseguridad 1 (NCCoE) del Instituto Nacional de Normas y Tecnología2 (NIST) organizó un taller virtual 3 para solicitar comentarios de expertos del gobierno y la industria sobre enfoques prácticos para prevenir y recuperarse del ransomware y otros ciberataques destructivos. Después de redactar nuestros comentarios para NIST, nos dimos cuenta de que sería útil compartir esta perspectiva de manera más amplia para ayudar a las organizaciones a protegerse mejor contra la creciente ola de ataques de ransomware (altamente rentables). Si bien los ataques de ransomware y extorsión siguen evolucionando rápidamente, queremos compartir algunas lecciones importantes aprendidas y arrojar algo de luz sobre los conceptos erróneos comunes sobre los ataques de ransomware.

Aclaración de la terminología y el alcance de los ataques

Una idea errónea común sobre los ataques de ransomware es que solo implican ransomware, – «págame para recuperar los sistemas y datos», pero estos ataques en realidad se han convertido en ataques de extorsión general. Si bien el rescate sigue siendo el principal ángulo de monetización, los atacantes también están robando datos confidenciales (suyos y de sus clientes) y amenazan con divulgarlos o venderlos en la web oscura o en Internet (a menudo mientras los retienen para posteriores intentos de extorsión y futuros ataques).

También estamos viendo una percepción generalizada de que el ransomware todavía se limita a ataques básicos de estilo cryptolocker, vistos por primera vez en 2013, que solo afectan a un solo equipo a la vez (también conocido como el modelo de productos básicos). Los atacantes de hoy en día  han evolucionado mucho más allá de esto, utilizando kits de herramientas y sofisticados modelos de negocios de afiliados para permitir que los operadores humanos se dirijan a organizaciones enteras, roben deliberadamente credenciales de administrador y maximicen la amenaza de daño comercial a las organizaciones objetivo. Los operadores de ransomware a menudo compran credenciales de acceso a  las organizaciones de otros grupos de ataque, convirtiendo rápidamente lo que parecen infecciones de malware de baja prioridad en importantes riesgos empresariales.

Orientación sencilla y prioritaria

También hemos observado que muchas organizaciones siguen teniendo dificultades para comenzar, especialmente las operaciones más pequeñas con personal y experiencia limitados. Creemos que todas las organizaciones deben comenzar con una priorización simple y directa de las tareas (tres pasos) y lo hemos publicado, junto con el porqué de la importancia de cada prioridad.

Gráfico de implementación de protección contra ransomware
Figura 1: Priorización de mitigación recomendada.

Crear instrucciones detalladas

Microsoft también ha descubierto que muchas organizaciones luchan con el siguiente nivel del proceso de planificación. Como resultado, creamos una guía para que seguir estos pasos sea lo más claro y sencillo posible. Microsoft ya trabaja con NIST NCCoE en varias tareas, incluyendo la tarea Confianza cero, que apoya la Orden Ejecutiva Presidencial (EO) 14028 sobre la Mejora de la Ciberseguridad de la Nación. Agradecemos la oportunidad de realizar cualquier trabajo adicional relacionado con el ransomware, proporcionando orientaciones clarificadoras y utilizando cualquier herramienta y tecnología de la que dispongan las organizaciones.

Gráfico de plan seguro de respaldo

Figura 2: Instrucciones de copia de seguridad segura de la página de ransomware de Microsoft.

Priorización de mitigación recomendada por Microsoft

Basándonos en nuestra experiencia con los ataques de ransomware, hemos descubierto que la priorización debe centrarse en estos tres pasos: preparar, limitar y prevenir. Esto puede parecer contradictorio, ya que la mayoría de las personas simplemente desean prevenir un ataque y seguir adelante. Pero la desafortunada verdad es que debemos asumir el incumplimiento (un principio clave de Confianza cero) y centrarnos en mitigar de manera confiable la mayor parte del daño en primer lugar. Esta priorización es fundamental debido a la alta probabilidad de que se produzca el peor escenario posible con el ransomware. Si bien no es una verdad agradable de aceptar, nos enfrentamos a atacantes humanos creativos y motivados que son expertos en encontrar una manera de controlar los complejos entornos del mundo real en los que operamos. Ante esta realidad, es importante prepararse para lo peor y establecer marcos para contener y prevenir la capacidad de los atacantes para obtener lo que buscan.

Si bien estas prioridades deben regir qué hacer primero, incentivamos a las organizaciones a ejecutar tantos pasos en paralelo como sea posible (incluyendo obtener ganancias rápidas desde el paso tres siempre que sea posible).

Paso 1. Preparar un plan de recuperación: Recuperar sin pagar

  • Qué: Planifique para el peor de los casos y prevea que se producirá en cualquier nivel de la organización.
  • Por qué: Esto ayudará a su organización a:
    • Limite los daños para el peor de los casos: Restaurar todos los sistemas a partir de las copias de seguridad es muy perjudicial para la empresa, pero sigue siendo más eficiente que intentar hacer la recuperación utilizando herramientas de descifrado de baja calidad proporcionadas por los atacantes después de abonar para conseguir la clave. Recuerde: pagar es un camino incierto; no tiene ninguna garantía de que la clave de los atacantes funcione en todos sus archivos, de que las herramientas funcionen eficazmente o de que el atacante -que puede ser un aficionado que utiliza un conjunto de herramientas profesionales- actúe de buena fe.
    • Limitar la rentabilidad financiera de los atacantes: Si una organización puede restablecer las operaciones comerciales sin pagar, el ataque ha fracasado de manera efectiva y ha resultado en un retorno de la inversión nulo para él. Esto hace que sea menos probable que vuelva a atacar a su organización en el futuro (y les priva de financiación para atacar a otras empresas). Recuerde: los atacantes pueden intentar extorsionar a su organización a través de la divulgación de datos o el abuso/ventas de datos robados, pero esto les da menos ventajas que poseer el único medio de acceso a sus datos y sistemas.
  • Cómo: Las organizaciones deben asegurarse de:
    • Registrar el riesgo. Añadir el ransomware al registro de riesgos como un escenario de alta probabilidad y alto impacto. Realizar un seguimiento del estado de mitigación a través de su ciclo de evaluación de gestión de riesgos empresariales (ERM).
    • Definir y realizar copias de seguridad de los activos empresariales críticos.  Realizar copias de seguridad automática de los activos críticos en un horario regular, incluyendo una copia de seguridad correcta de las dependencias críticas, como Microsoft Active Directory.
    • Proteger las copias de seguridad. Para protegerse contra el borrado y el cifrado deliberados, se deben utilizar almacenamiento offline, almacenamiento inmutable y/o pasos fuera de banda (autenticación multifactor o PIN) antes de modificar o borrar copias de seguridad online.
    • Escenario de prueba «recuperarse de cero». Asegurarse de que la continuidad de su negocio y la recuperación ante desastres (BC/DR) puedan poner rápidamente en línea las principales operaciones comerciales desde la funcionalidad cero (todos los sistemas caídos). Realizar ejercicios prácticos para validar procesos y procedimientos técnicos entre equipos, incluidas las comunicaciones fuera de banda de los colaboradores y los clientes (suponga que todos los correos electrónicos y el chat están desactivados). Importante: proteger (o imprimir) los documentos y sistemas de soporte necesarios para la recuperación, incluidos los documentos de procedimiento de restauración, las bases de datos de administración de configuración (CMDB), los diagramas de red y las instancias de SolarWinds. Los atacantes suelen destruir estos documentos.
    • Reducir la exposición en el entorno local. Traslade datos a servicios en la nube con copias de seguridad automáticas y reversión de autoservicio.

Paso 2. Limitar el alcance de los daños: Proteger los roles privilegiados (comenzando con los administradores de TI)

  • Qué: Asegurarse de disponer de controles sólidos (prevenir, detectar, responder) para cuentas privilegiadas, como administradores de TI y otros roles con control de sistemas críticos para la empresa.
  • Por qué: Esto ralentiza o impide que los atacantes obtengan acceso completo para robar y cifrar sus recursos. Si se elimina la capacidad de los atacantes de utilizar las cuentas de los administradores de TI como acceso directo a los recursos, se reducirán drásticamente las posibilidades de que consigan controlar suficientes recursos para afectar a su empresa y exigir un pago.
  • Cómo: Habilite una seguridad elevada para cuentas privilegiadas: proteja, supervise de cerca y responda rápidamente a incidentes relacionados con estas funciones. Consulte Pasos recomendados por Microsoft:
    • Cubrir la seguridad de sesión de extremo a extremo (incluida la autenticación multifactor para administradores).
    • Proteger y supervisar los sistemas de identidad.
    • Mitigar el cruce lateral.
    • Promover una respuesta rápida a las amenazas.

Paso 3. Dificultar la entrada Eliminar gradualmente los riesgos

  • Qué: Evite que un atacante de ransomware ingrese a su entorno, así como responda rápidamente a incidentes y elimine el acceso de los atacantes antes de que puedan robar y cifrar los datos.
  • Por qué: Esto hace que los atacantes fracasen antes y con más frecuencia, socavando sus ganancias. Si bien la prevención es el resultado preferido, puede que no sea posible lograr una prevención del 100% y una respuesta rápida en una organización del mundo real con una compleja multiplataforma, multinube y responsabilidades de TI distribuidas.
  • Cómo: Identifique y ejecute acciones rápida que refuercen los controles de seguridad para evitar la entrada, detectar y desalojar rápidamente a los atacantes, a la vez que implementa un programa sostenido que le ayude a mantenerse seguro. Microsoft recomienda seguir los principios descritos en la estrategia Cero confianza. Contra el ransomware, las organizaciones deben priorizar:
    • Mejorar la higiene de la seguridad reduciendo la superficie de ataque y centrándose en la gestión de vulnerabilidades de los activos de su patrimonio.
    • Implementar controles de protección, detección y respuesta para activos digitales, así como proporcionar visibilidad y alertas sobre la actividad de los atacantes mientras responden a amenazas activas.

Conclusión

Para contrarrestar la amenaza de ransomware, es fundamental identificar, proteger y estar listo para recuperar activos de alto valor, ya sean datos o infraestructura, en el probable caso de un ataque. Esto requiere un esfuerzo sostenido que implica obtener la aceptación de los niveles más altos de su organización (como la junta directiva) para que las partes interesadas de TI y seguridad trabajen juntas haciendo preguntas matizadas. Por ejemplo, ¿cuáles son las partes críticas de la empresa que podrían verse interrumpidas? ¿Qué activos digitales corresponden a estos segmentos de negocio (archivos, sistemas, bases de datos)? ¿Cómo podemos asegurar estos activos? Este proceso puede ser un desafío, pero ayudará a configurar su organización para realizar cambios impactantes utilizando los pasos recomendados anteriormente.

Para obtener más información, visite nuestra página sobre cómo protegerte rápidamente contra el ransomware y la extorsión.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web. Marque el blog de Seguridad para mantenerse al día con nuestra cobertura de expertos en cuestiones de seguridad. Además, síganos en @ MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

1 Centro Nacional de Excelencia en Ciberseguridad.

2 Instituto Nacional de Normas y Tecnología, Departamento de Comercio de los Estados Unidos.

3 Taller Virtual sobre Prevención y Recuperación de Ransomware y Otros Eventos Cibernéticos Destructivos, Centro Nacional de Excelencia en Ciberseguridad, 14 de julio de 2021.

Tags:

Publicaciones Relacionadas