Ransomware para empresas
read
¿Qué es el ransomware?
Según la FTC, el ransomware es una forma de software malicioso que se infiltra en sistemas o redes informáticas y utiliza herramientas como el cifrado para denegar el acceso o retener los datos como "rehenes" hasta que la víctima pague un rescate, que suele exigir el pago en bitcoins. Según el FBI, después de la infección inicial, el ransomware intenta propagarse a unidades de almacenamiento compartidas y otros sistemas accesibles. Si no se cumplen las exigencias, el sistema o los datos cifrados siguen sin estar disponibles y los datos pueden eliminarse o filtrarse en línea como forma de extorsión.
¿Cómo se entrega el ransomware?
Según la FTC, el ransomware suele llegar a través de campañas de phishing por correo electrónico, que normalmente requieren que el usuario realice una acción, como hacer clic en un enlace o descargar un archivo adjunto malicioso. Otras campañas utilizan descargas automáticas, en las que un usuario visita un sitio web malicioso o un sitio que ha sido comprometido, y el acto de cargar el sitio hace que el ransomware se descargue automáticamente en el equipo del usuario. Además, el ransomware se distribuye a través de campañas de "malvertising", en las que se oculta un código malicioso en un anuncio en línea que infecta el equipo del usuario. Estos ataques pueden ocurrir incluso en sitios web de confianza a través de redes publicitarias de terceros que redirigen al usuario a un servidor infectado.
- Correos electrónicos fraudulentos Con enlaces y archivos adjuntos que ponen en riesgo sus datos y su red. Estos correos electrónicos de phishing constituyen la mayoría de los ataques de ransomware.
- Vulnerabilidades del servidor que pueden ser explotados por piratas informáticos.
- Sitios web infectados que descargan automáticamente software malicioso en su computadora.
- Los anuncios en línea que contienen código malicioso, incluso en sitios web que conoce y en los que confía.
Cómo responder al ransomware
Se recomienda que las organizaciones hagan lo siguiente para responder al ransomware.
- Determine qué sistemas se vieron afectados, aísle la computadora infectada inmediatamente y elimine los sistemas infectados de la red lo antes posible para evitar que el ransomware ataque la red o las unidades compartidas.
- Si varios sistemas o subredes parecen verse afectados, desconecte la red a nivel de conmutador. Es posible que no sea posible desconectar sistemas individuales durante un incidente.
- Si no es posible desconectar la red temporalmente de inmediato, ubique el cable de red (por ejemplo, Ethernet) y desconecte los dispositivos afectados de la red o elimínelos del Wi-Fi para contener la infección.
- Después de un ataque inicial, los actores maliciosos pueden monitorear la actividad o las comunicaciones de su organización para comprender si se han detectado sus acciones. Asegúrese de aislar los sistemas de manera coordinada y utilice métodos de comunicación fuera de banda, como llamadas telefónicas u otros medios, para evitar avisar a los actores de que han sido descubiertos y de que se están tomando medidas de mitigación. No hacerlo podría provocar que los actores se muevan lateralmente para preservar su acceso (ya es una táctica común) o que implementen ransomware ampliamente antes de que las redes se desconecten. Solo en caso de que no pueda desconectar los dispositivos de la red, apáguelos para evitar una mayor propagación de la infección de ransomware. Tenga en cuenta: Apagar un dispositivo le impedirá mantener artefactos de infección de ransomware y posibles pruebas almacenadas en la memoria volátil. Debe realizarse solo si no es posible apagar temporalmente la red o desconectar los hosts afectados de la red mediante otros medios.
- Identificar y priorizar los sistemas críticos para la restauración y confirmar la naturaleza de los datos alojados en los sistemas afectados.
- Priorizar la restauración y la recuperación basándose en una lista de activos críticos predefinida que incluya sistemas de información críticos para la salud y la seguridad, la generación de ingresos u otros servicios críticos, así como los sistemas de los que dependen.
- Realice un seguimiento de los sistemas y dispositivos que no se perciben como afectados para que se les pueda dar menos prioridad en la restauración y recuperación. Esto permite que su organización vuelva a funcionar de manera más eficiente.
- Consulte con su equipo de respuesta a incidentes para desarrollar y documentar una comprensión inicial de lo que ocurrió basándose en el análisis inicial.
- Involucre a sus equipos internos y externos y a las partes interesadas con una comprensión de lo que pueden aportar para ayudarle a mitigar, responder y recuperarse del incidente.
- Comparta la información que tenga a su disposición para recibir la asistencia más oportuna y pertinente. Mantenga informados a la gerencia y a los líderes superiores mediante actualizaciones periódicas a medida que se desarrolle la situación. Las partes interesadas relevantes pueden incluir su departamento de TI, proveedores de servicios de seguridad administrados, compañía de seguros cibernéticos, accionistas, inversores, proveedores y líderes departamentales o electos.
- Proteja inmediatamente los datos o sistemas de respaldo desconectándolos y asegúrese de que las copias de seguridad estén libres de malware.
- Comuníquese con la policía inmediatamente.
- Recopilar y proteger partes parciales de los datos rescatados que pudieran existir, si estuvieran disponibles.
- Cambie todas las contraseñas de cuentas en línea y de red después de quitar el sistema de la red, si es posible, y cambie todas las contraseñas del sistema una vez que se haya eliminado el malware del sistema.
- Elimine los valores y archivos del registro para detener la carga del programa.
- Implementar planes de respuesta a incidentes de seguridad y de continuidad del negocio.
- Realizar una revisión posterior al incidente de la respuesta al mismo y evaluar las fortalezas y debilidades del plan de respuesta al incidente.
¿Cómo se debe denunciar un ransomware a las autoridades?
El FBI solicita que las víctimas se comuniquen con su oficina local del FBI y/o presenten una queja ante el Centro de Quejas contra Delitos en Internet con los siguientes detalles de la infección de ransomware (según corresponda).
- Fecha de infección
- Variante de ransomware (identificada en la página de rescate o por la extensión del archivo cifrado)
- Información de la empresa víctima (tipo de industria, tamaño de la empresa, etc.)
- Cómo se produjo la infección (enlace en el correo electrónico, navegación en Internet, etc.)
- Monto del rescate solicitado
- Dirección de la billetera Bitcoin del actor (puede aparecer en la página de rescate)
- Monto del rescate pagado (si lo hubiera)
- Pérdidas generales asociadas con una infección de ransomware (incluido el monto del rescate)
- Declaración sobre el impacto en la víctima
Contención y Erradicación
Si no parece posible realizar ninguna acción de mitigación inicial: - Tome una imagen del sistema y una captura de memoria de una muestra de los dispositivos afectados (por ejemplo, estaciones de trabajo y servidores). Además, recopile todos los registros relevantes, así como muestras de los archivos binarios de malware “precursores” y los observables asociados o indicadores de compromiso (por ejemplo, direcciones IP de comando y control sospechosas, entradas de registro sospechosas u otros archivos relevantes detectados)
- Tenga cuidado de preservar la evidencia que es altamente volátil por naturaleza, o de retención limitada, para evitar pérdida o manipulación (por ejemplo, memoria del sistema, registros de seguridad de Windows, datos en buffers de registro de firewall).
- Consulte a las autoridades federales sobre los posibles descifradores disponibles. Además, aquí hay dos sitios que analizarán su ransomware y le proporcionarán el enlace para descargar la solución de descifrado si está disponible.
¿Deben las organizaciones pagar el rescate?
El FBI no respalda el pago de un rescate al adversario porque no garantiza que la víctima recupere el acceso a sus datos. De hecho, a algunas personas u organizaciones nunca se les proporcionan las claves de descifrado después de pagar un rescate. Pagar un rescate envalentona al adversario para atacar a otras víctimas con fines de lucro y podría proporcionar un incentivo para que otros delincuentes participen en actividades ilícitas similares para obtener ganancias económicas. Aunque el FBI no respalda el pago de un rescate, reconoce que los ejecutivos, cuando se enfrentan a problemas de inoperatividad, evaluarán todas las opciones para proteger a sus accionistas, empleados y clientes.
Existen riesgos graves que se deben tener en cuenta antes de pagar el rescate. USG no alienta a pagar un rescate a actores criminales. Sin embargo, una vez que los sistemas se han visto comprometidos, la decisión de pagar un rescate es una decisión seria que requiere la evaluación de todas las opciones para proteger a los accionistas, empleados y clientes. Las víctimas querrán evaluar la viabilidad técnica, la puntualidad y el costo de reiniciar los sistemas desde la copia de seguridad. Las víctimas de ransomware también pueden considerar los siguientes factores:
- Pagar un rescate no garantiza que una organización recupere el acceso a sus datos; de hecho, algunas personas u organizaciones nunca recibieron claves de descifrado después de pagar un rescate.
- Algunas víctimas que pagaron la demanda fueron nuevamente blanco de los actores cibernéticos.
- Después de pagar el rescate exigido originalmente, a algunas víctimas se les pidió que pagaran más para obtener la clave de descifrado prometida.
- Pagar podría incentivar inadvertidamente este modelo de negocio delictivo.
¿Qué medidas de prevención y continuidad existen?
- Invertir en resiliencia. Participe en ejercicios de ransomware para desarrollar la memoria muscular en su organización para responder rápidamente y considerar decisiones comunes asociadas con un ataque de ransomware. Mejore las habilidades de sus equipos (no solo de seguridad, sino de todos los que deben participar en caso de un ataque) para que puedan anticipar, comunicarse, responder e identificar cualquier brecha en su proceso o comunicación.
- Guarde sus datos. Los atacantes expertos en ransomware ingresan a su sistema y eliminan su copia de seguridad antes de enviar notas de rescate y cifrar los datos. Asegúrese de que sus datos críticos estén archivados en una bóveda sin conexión que esté separada del resto de sus sistemas. Si sus copias de seguridad permanecen en línea, asegúrese de que estén separadas de los sistemas de producción y utilice credenciales únicas para acceder.
- Proteja sus puntos finales. Dado que el ransomware tiene como objetivo los puntos finales, centrarse en ellos reduce la probabilidad de un compromiso inicial, promueve la detección temprana y minimiza la propagación.
- Implemente análisis de disco y de procesos/ejecución (EDR) basado en agente para identificar y bloquear software y comportamientos maliciosos conocidos.
- Implemente un IPS basado en red que pueda identificar y eliminar tráfico de red malicioso, así como bloquear IP y dominios maliciosos conocidos.
- Utilice el filtrado DNS para evitar el acceso a dominios recién registrados y no verificados.
- Limite el acceso administrativo remoto (RDP) y aplique MFA.
- Exija que los ejecutables y scripts estén firmados para evitar que se ejecuten ejecutables no autorizados o maliciosos en su entorno.
- Realice una gestión continua de parches priorizando la reparación de sistemas públicos, remotos y esenciales.
Centrarse en la seguridad del correo electrónico. La mayoría de los programas de ransomware comienzan como ataques de phishing o de phishing dirigidos a la bandeja de entrada. Interceptar el correo malicioso antes de que los usuarios tengan la oportunidad de hacer clic es fundamental.Habilite el escaneo de archivos adjuntos, la reescritura de URL y el filtrado de reputación de IP.
- Aplicar políticas SPF/DKIM/DMARC.
- Utilice banners de remitentes externos.
- Admite la eliminación programática de correo que se determine como malicioso después de la entrega.
Asegure la red. Segmentar el entorno obliga a los actores de amenazas a trabajar más duro para moverse lateralmente dentro de sus sistemas.
- Requiere MFA para acceder a redes privilegiadas (802.1x, VPN, estrategia de bastión).
- Implementar estrategias de segmentación para aislar datos y sistemas.
- Monitorear todos los segmentos y redes (tráfico este-oeste) además del tráfico de entrada/egreso.
Incorporar el análisis y la detección de amenazas en la toma de decisiones.
- Recopilar registros de seguridad y de puntos finales en un SIEM.
- Integre fuentes de inteligencia sobre amenazas en las herramientas de seguridad.
- Establecer alertas y notificaciones para operaciones de seguridad.
- Utilice inteligencia sobre amenazas para delimitar las actividades de pruebas de penetración y de formación de equipos rojos.
Educar y capacitar periódicamente a los empleados Mantenerse al tanto de la situación e informar de inmediato sobre posibles problemas. Proporcionar ejemplos reales y repercusiones de ataques de ransomware exitosos.
- Utilice las campañas de concientización Spot the Phish e integre los informes de phishing en un cliente de correo electrónico.
- Proporcionar orientación en gestión documental a los usuarios alineada con la estrategia de backup.
- Informar a la Junta Directiva y/o a los Comités de la Junta sobre la postura de seguridad relacionada con el ransomware.
Mantener un riguroso programa de evaluación de riesgos de terceros, utilizando una mentalidad de confianza cero y teniendo un plan de comunicación con proveedores externos en caso de un ataque. Asegúrese de tener en cuenta a sus terceros al realizar pruebas de penetración y formación de equipos rojos internos.
Comprenda que los organismos encargados de hacer cumplir la ley a menudo trabajan con el sector privado. Desarrollar herramientas de descifrado rápidamente después de que se produzcan ataques de ransomware. Estas herramientas se pueden utilizar para descifrar máquinas infectadas. Las fuerzas de seguridad también pueden ayudar a reunir pruebas de forma adecuada cuando se producen incidentes.
- Asegúrese de que su plan de respuesta a incidentes y continuidad comercial incluya protocolos de respuesta ante ransomware como:
- Detalles para los empleados sobre a quién llamar si una estrategia de ransomware tiene éxito.
- Capacidad de aislar el sistema infectado de la red.
- Pasos para aislar o apagar los dispositivos afectados que aún no se han dañado por completo.
- Una forma de proteger de inmediato los datos o sistemas de respaldo desconectándolos y garantizando que las copias de seguridad estén libres de malware.
- Herramientas para cambiar todas las contraseñas de cuentas en línea y contraseñas de red después de eliminar el sistema de la red.
- Cómo trabajar con las autoridades policiales según corresponda.
- Revise sus procesos de prevención e identificación.
- Revise las pautas de fortalecimiento de su CERT local o agencia gubernamental de seguridad cibernética, como Guía de ransomware de la CISA de EE. UU..
El FBI recomienda que las organizaciones consideren implementar las siguientes medidas de prevención y continuidad para disminuir el riesgo de un ataque de ransomware exitoso.
- Realice copias de seguridad de los datos periódicamente y verifique la integridad de las copias de seguridad.
- Realice copias de seguridad seguras y asegúrese de que las copias de seguridad no estén conectadas a las computadoras y redes que están respaldando.
- Revise atentamente los enlaces contenidos en los correos electrónicos y no abra archivos adjuntos incluidos en correos electrónicos no solicitados.
- Sólo descargue software, especialmente software gratuito, de sitios conocidos y confiables, y verifique la integridad del software mediante una firma digital antes de su ejecución cuando sea posible.
- Asegúrese de que los parches de la aplicación para el sistema operativo, el software y el firmware estén actualizados, incluidos Adobe Flash, Java, navegadores web, etc.
- Asegúrese de que las soluciones antivirus y antimalware estén configuradas para actualizarse automáticamente y se realicen análisis regulares.
- Deshabilite los scripts de macro de los archivos transmitidos por correo electrónico y considere usar el software de visualización de Office para abrir los archivos de Microsoft Office transmitidos por correo electrónico en lugar de las aplicaciones completas de Office Suite.
- Implemente restricciones de software u otros controles para evitar la ejecución de programas en ubicaciones comunes de ransomware, como carpetas temporales que admiten navegadores de Internet populares o programas de compresión/descompresión, incluidos aquellos ubicados en la carpeta AppData/LocalAppData.
El FBI también recomienda que las organizaciones hagan lo siguiente.
- Habilite filtros de spam potentes para evitar que los correos electrónicos de phishing lleguen a los usuarios finales y autentique el correo electrónico entrante utilizando tecnologías como Sender Policy Framework, Domain Message Authentication Reporting and Conformance y DomainKeys Identified Mail para evitar la suplantación de correo electrónico.
- Escanee todos los correos electrónicos entrantes y salientes para detectar amenazas y filtrar archivos ejecutables para evitar que lleguen a los usuarios finales.
- Configure firewalls para bloquear el acceso a direcciones IP maliciosas conocidas.
- Considere deshabilitar el Protocolo de Escritorio Remoto si no lo está utilizando.
- Realice una prueba de penetración y una evaluación de vulnerabilidades anuales. (Consulte el folleto del FBI, Prevención y respuesta ante ransomware para CISO).
Las siguientes son consideraciones adicionales para las empresas.
- Centrarse en la concienciación y la formación. Dado que los usuarios finales suelen ser el objetivo, los empleados deben ser conscientes de la amenaza del ransomware, de cómo se transmite y recibir formación sobre los principios y las técnicas de seguridad de la información.
- Aplicar parches a todos los sistemas operativos, software y firmware de los dispositivos terminales a medida que se descubran vulnerabilidades.
- Administre el uso de cuentas privilegiadas mediante la implementación del principio de privilegio mínimo. No se debe asignar a ningún usuario acceso administrativo a menos que sea absolutamente necesario. Aquellos que necesiten cuentas de administrador solo deben usarlas cuando sea necesario y deben operar con cuentas de usuario estándar en el resto de los casos.
- Configure los controles de acceso teniendo en cuenta el mínimo privilegio.
- Utilice entornos virtuales para ejecutar entornos de sistemas operativos o programas específicos.
- Clasifique los datos según el valor organizacional e implemente la separación física/lógica de redes y datos para diferentes unidades organizacionales.
- Requerir la interacción del usuario para que las aplicaciones del usuario final se comuniquen con sitios web no categorizados por el proxy de red o el firewall.
- Implementar listas blancas de aplicaciones. Permitir que los sistemas ejecuten únicamente programas conocidos y permitidos por la política de seguridad. (Consulte el anuncio de servicio público del FBI del 15 de septiembre de 2016, "Se insta a las víctimas de ransomware a denunciar las infecciones a las fuerzas de seguridad federales").
- Las organizaciones también deben realizar un análisis de riesgos de ciberseguridad de la organización y tener y probar un plan de respuesta a incidentes.
- Por último, las organizaciones deben tener en cuenta la cobertura de seguros, incluida la cobertura de responsabilidad cibernética y extorsión cibernética.
¿Existe un ejemplo de plan de recuperación específico para un ataque de ransomware?
La Guía para la recuperación de eventos de ciberseguridad del Instituto Nacional de Estándares y Tecnología incluye un ejemplo de un plan de recuperación en forma de manual de estrategias para un ataque de ransomware. (Consulte la publicación especial del NIST, Guía para la recuperación de eventos de ciberseguridad.) Si bien la guía se aplica a las agencias federales de EE. UU., debería ser útil para cualquier organización.
¿Podría un ataque de ransomware resultar en una violación de la HIPAA?
El Departamento de Salud y Servicios Humanos (HHS) proporcionó una guía en la Hoja informativa: Ransomware y HIPAA que establece lo siguiente:
- Una infracción de las normas HIPAA se define como "... la adquisición, acceso, uso o divulgación de información médica protegida (PHI) de una manera no permitida por las normas de privacidad de HIPAA, lo que compromete la seguridad o privacidad de la PHI". Consulte 45 CFR 164.402.6.
- Cuando la información médica electrónica protegida (ePHI) se cifra como resultado de un ataque de ransomware, se ha producido una violación porque la ePHI cifrada por el ransomware fue adquirida (es decir, personas no autorizadas tomaron posesión o control de la información) y, por lo tanto, es una "divulgación" no permitida según la Norma de Privacidad de HIPAA.
- A menos que la entidad cubierta o el socio comercial puedan demostrar que existe una "... baja probabilidad de que la PHI haya sido comprometida", en función de los factores establecidos en la Norma de Notificación de Infracciones, se presume que se ha producido una infracción de la PHI. La entidad debe cumplir entonces con las disposiciones de notificación de infracciones aplicables, incluida la notificación a las personas afectadas sin demora irrazonable, al Secretario del HHS y a los medios de comunicación (en el caso de infracciones que afecten a más de 500 personas) de conformidad con los requisitos de notificación de infracciones de la HIPAA. Consulte 45 CFR 164.400-414.