Ransomware para empresas
leer
¿Qué es el ransomware?
Según la FTC, el ransomware es una forma de software malicioso que se infiltra en los sistemas o redes informáticas y utiliza herramientas como la encriptación para denegar el acceso o mantener los datos como "rehenes" hasta que la víctima pague un rescate, exigiendo frecuentemente el pago en Bitcoin. Según el FBI, tras la infección inicial, el ransomware intenta extenderse a las unidades de almacenamiento compartidas y a otros sistemas accesibles. Si no se cumplen las exigencias, el sistema o los datos cifrados siguen sin estar disponibles, los datos pueden ser borrados o filtrados en línea como forma de extorsión.
¿Cómo se distribuye el ransomware?
Según la FTC, el ransomware suele llegar a través de campañas de phishing por correo electrónico, que suelen requerir que el usuario realice una acción como hacer clic en un enlace o descargar un archivo adjunto malicioso. Otras campañas utilizan las descargas "drive-by", en las que un usuario visita un sitio web malicioso o un sitio que ha sido comprometido, y el acto de cargar el sitio hace que el ransomware se descargue automáticamente en el ordenador del usuario. Además, el ransomware se distribuye a través de campañas de "malvertising", en las que se oculta un código malicioso en un anuncio online que infecta el ordenador del usuario. Estos ataques pueden producirse incluso en sitios web de confianza a través de redes publicitarias de terceros que redirigen al usuario a un servidor infectado.
- Correos electrónicos fraudulentos con enlaces y archivos adjuntos que ponen en riesgo sus datos y su red. Estos correos electrónicos de phishing constituyen la mayoría de los ataques de ransomware.
- Server vulnerabilities that can be exploited by hackers.
- Sitios web infectados que descargan automáticamente software malicioso en su ordenador.
- Anuncios en línea que contienen código malicioso, incluso en sitios web que conoce y en los que confía.
Respuesta al ransomware
Se recomienda que las organizaciones hagan lo siguiente para responder al ransomware.
- Determine which systems were impacted, and isolate the infected computer immediately, and remove infected systems from the network as soon as possible to prevent ransomware from attacking the network or share drives.
- Si varios sistemas o subredes parecen afectados, desconecte la red a nivel de conmutadores. Puede que no sea factible desconectar sistemas individuales durante un incidente.
- Si no es posible desconectar temporalmente la red, localice el cable de red (por ejemplo, Ethernet) y desconecte los dispositivos afectados de la red o retírelos de la red Wi-Fi para contener la infección.
- After an initial compromise, malicious actors may monitor your organization’s activity or communications to understand if their actions have been detected. Be sure to isolate systems in a coordinated manner and use out-of-band communication methods such as phone calls or other means to avoid tipping off actors that they have been discovered and that mitigation actions are being undertaken. Not doing so could cause actors to move laterally to preserve their access—already a common tactic—or deploy ransomware widely prior to networks being taken offline. Only in the event, you are unable to disconnect devices from the network, power them down to avoid further spread of the ransomware infection. Please Note: Powering off a device will prevent you from maintaining ransomware infection artifacts and potential evidence stored in volatile memory. It should be carried out only if it is not possible to temporarily shut down the network or disconnect affected hosts from the network using other means.
- Identificar y priorizar los sistemas críticos para su restauración y confirmar la naturaleza de los datos alojados en los sistemas afectados.
- Priorizar el restablecimiento y la recuperación basándose en una lista predefinida de activos críticos que incluya los sistemas de información fundamentales para la salud y la seguridad, la generación de ingresos u otros servicios críticos, así como los sistemas de los que dependen.
- Mantenga un registro de los sistemas y dispositivos que no se perciben como afectados para que puedan ser despriorizados para su restauración y recuperación. Esto permite a su organización volver a la actividad de una manera más eficiente.
- Consulte con su equipo de respuesta a incidentes para desarrollar y documentar un entendimiento inicial de lo que ha ocurrido basado en el análisis inicial.
- Involucre a sus equipos internos y externos y a las partes interesadas para que sepan qué pueden aportar para ayudarle a mitigar, responder y recuperarse del incidente.
- Comparta la información de que dispone para recibir la ayuda más oportuna y pertinente. Mantenga a la dirección y a los altos cargos informados mediante actualizaciones periódicas a medida que evolucione la situación. Las partes interesadas pertinentes pueden ser su departamento de TI, los proveedores de servicios de seguridad gestionados, la compañía de seguros cibernéticos, los accionistas, los inversores, los proveedores y los líderes departamentales o elegidos.
- Asegure inmediatamente los datos o sistemas de copia de seguridad desconectándolos, y asegúrese de que las copias de seguridad están libres de malware.
- Póngase en contacto con las fuerzas del orden inmediatamente.
- Recoger y asegurar las partes parciales de los datos rescatados que puedan existir si están disponibles.
- Cambie todas las contraseñas de las cuentas en línea y las contraseñas de la red después de retirar el sistema de la red, si es posible, y cambie todas las contraseñas del sistema una vez que se haya eliminado el malware del sistema.
- Elimine los valores del registro y los archivos para impedir que el programa se cargue.
- Aplicar planes de respuesta a incidentes de seguridad y de continuidad de la actividad.
- Realice una revisión de la respuesta al incidente después del mismo y evalúe los puntos fuertes y débiles del plan de respuesta al incidente.
¿Cómo se debe denunciar el ransomware a las fuerzas de seguridad?
El FBI solicita a las víctimas que se pongan en contacto con su oficina local del FBI y/o presenten una denuncia ante el Centro de Denuncias de Delitos en Internet con los siguientes detalles de la infección por ransomware (según corresponda).
- Fecha de la infección
- Variante de ransomware (identificada en la página del rescate o por la extensión del archivo cifrado)
- Información de la empresa víctima (tipo de industria, tamaño de la empresa, etc.)
- Cómo se produjo la infección (enlace en el correo electrónico, navegación por Internet, etc.)
- Cantidad de rescate solicitada
- Dirección del monedero Bitcoin del actor (puede aparecer en la página del rescate)
- Importe del rescate pagado (si lo hay)
- Pérdidas totales asociadas a una infección de ransomware (incluyendo el importe del rescate)
- Declaración de impacto de la víctima
Contención y erradicación
Si no parece posible ninguna acción de mitigación inicial: - Tome una imagen del sistema y una captura de la memoria de una muestra de dispositivos afectados (por ejemplo, estaciones de trabajo y servidores). Además, recoja cualquier registro relevante, así como muestras de cualquier binario de malware "precursor" y observables asociados o indicadores de compromiso (por ejemplo, direcciones IP sospechosas de comando y control, entradas de registro sospechosas u otros archivos relevantes detectados).
- Tenga cuidado de preservar las pruebas de naturaleza altamente volátil -o de retención limitada- para evitar su pérdida o manipulación (por ejemplo, la memoria del sistema, los registros de seguridad de Windows, los datos en los búferes de registro del cortafuegos).
- Consult federal law enforcement regarding possible decryptors available. In addition, here are two sites that will analyze your ransomware and will provide you with the link to download the decryption solution if available.
¿Deben las organizaciones pagar el rescate?
El FBI no apoya el pago de un rescate al adversario porque no garantiza que la víctima recupere el acceso a sus datos. De hecho, algunas personas u organizaciones nunca reciben las claves de descifrado después de pagar un rescate. Pagar un rescate envalentona al adversario para dirigirse a otras víctimas con fines lucrativos y podría incentivar a otros delincuentes a participar en actividades ilícitas similares para obtener beneficios económicos. Aunque el FBI no apoya el pago de un rescate, reconoce que los ejecutivos, cuando se enfrentan a problemas de inoperabilidad, evaluarán todas las opciones para proteger a sus accionistas, empleados y clientes.
Hay que tener en cuenta graves riesgos antes de pagar el rescate. USG no anima a pagar un rescate a los actores criminales. Sin embargo, después de que los sistemas se hayan visto comprometidos, pagar o no un rescate es una decisión seria, que requiere la evaluación de todas las opciones para proteger a los accionistas, empleados y clientes. Las víctimas querrán evaluar la viabilidad técnica, la oportunidad y el coste de reiniciar los sistemas desde las copias de seguridad. Las víctimas del ransomware también pueden querer considerar los siguientes factores:
- El pago de un rescate no garantiza que una organización recupere el acceso a sus datos; de hecho, algunas personas u organizaciones nunca recibieron las claves de descifrado después de pagar un rescate.
- Algunas de las víctimas que pagaron la demanda volvieron a ser objetivo de los ciberagentes.
- Después de pagar el rescate originalmente exigido, a algunas víctimas se les pidió que pagaran más para obtener la clave de descifrado prometida.
- Pagar podría fomentar inadvertidamente este modelo de negocio criminal.
¿Qué medidas de prevención y continuidad existen?
- Invierta en resiliencia. Participe en ejercicios de ransomware para crear la memoria muscular en su organización para responder rápidamente y considerar las decisiones comunes asociadas con un ataque de ransomware. Mejore los conocimientos de sus equipos (no solo los de seguridad, sino todos los que deban participar en caso de ataque) para que puedan anticiparse, comunicarse, responder e identificar cualquier laguna en sus procesos o comunicaciones.
- Proteja sus datos. Los atacantes de ransomware más astutos entran en su sistema y eliminan la copia de seguridad antes de enviar las notas de rescate y cifrar los datos. Asegúrese de que sus datos críticos se archiven en una bóveda fuera de línea que esté separada del resto de sus sistemas. Si sus copias de seguridad permanecen en línea, asegúrese de separarlas de los sistemas de producción y utilice credenciales únicas para el acceso.
- Proteja sus puntos finales. Dado que el ransomware se dirige a los puntos finales, centrarse en ellos reduce la probabilidad de compromiso inicial, promueve la detección temprana y minimiza la propagación.
- Implantar un escaneo de disco y procesos/ejecución (EDR) basado en agentes para identificar y bloquear el software y los comportamientos maliciosos conocidos.
- Implemente un IPS basado en la red que pueda identificar y eliminar el tráfico de red malicioso, así como bloquear dominios e IPs maliciosos conocidos.
- Utilice el filtrado DNS para evitar el acceso a los dominios recién registrados y no verificados.
- Limite el acceso administrativo remoto (RDP) y aplique la MFA.
- Exija ejecutables y scripts firmados para evitar que se ejecuten ejecutables no autorizados o maliciosos en su entorno.
- Realice una gestión continua de parches priorizando la corrección de los sistemas públicos, remotos y de la joya de la corona.
Centrarse en la seguridad del correo electrónico. La mayor parte del ransomware comienza como phishing/spear phishing a la bandeja de entrada. Interceptar el correo malicioso antes de que los usuarios tengan la oportunidad de hacer clic es clave.Habilite el escaneo de archivos adjuntos, la reescritura de URLs y el filtrado de reputación IP.
- Aplicar las políticas SPF/DKIM/DMARC.
- Utilizar banners de remitentes externos.
- Apoyar la eliminación programática del correo que se determina como malicioso después de la entrega.
Asegure la red. Segmentar el entorno obliga a los actores de las amenazas a esforzarse más para moverse lateralmente dentro de sus sistemas.
- Requerir MFA para acceder a redes privilegiadas (802.1x, VPN, estrategia de bastión).
- Aplicar estrategias de segmentación para aislar los datos y los sistemas.
- Supervisar los segmentos y las redes (tráfico este-oeste) además del tráfico de entrada/salida.
Incorporate threat analysis & detection into decision-making.
- Recoger los registros de seguridad y de los puntos finales en un SIEM.
- Integrar la información sobre amenazas en las herramientas de seguridad.
- Establecer alertas y notificaciones para las operaciones de seguridad.
- Utilizar la información sobre amenazas para ampliar las actividades de red teaming y pruebas de penetración.
Educar y formar regularmente a los empleados para que sean conscientes de la situación e informen inmediatamente de cualquier problema potencial. Ofrezca ejemplos del mundo real y las repercusiones de los ataques de ransomware.
- Use Spot the Phish awareness campaigns & integrate phish reporting in an email client.
- Provide document management guidance to users aligned with the backup strategy.
- Informar al Consejo y/o a los Comités del Consejo sobre la postura de seguridad relacionada con el ransomware.
Maintain a rigorous third-party risk assessment program, using a zero-trust mindset, and have a communications plan with third-party suppliers in case of an attack. Ensure your third parties are considered when conducting internal red teaming and penetration testing.
Entienda que las fuerzas del orden suelen trabajar con el sector privado para desarrollar herramientas de descifrado rápidamente después de que se produzcan ataques de ransomware. Estas herramientas pueden utilizarse para descifrar las máquinas infectadas. Las fuerzas de seguridad también pueden ayudar a recopilar adecuadamente las pruebas cuando se producen los incidentes.
- Asegúrese de que su plan de respuesta a incidentes y de continuidad del negocio incluya protocolos de respuesta al ransomware como:
- Detalles para los empleados sobre a quién llamar si una táctica de ransomware tiene éxito.
- Capacidad de aislar el sistema infectado de la red.
- Pasos para aislar o apagar los dispositivos afectados que aún no se han corrompido por completo.
- Manera de asegurar inmediatamente los datos o sistemas de copia de seguridad, desconectándolos y asegurándose de que las copias de seguridad están libres de malware.
- Herramientas para cambiar todas las contraseñas de las cuentas en línea y las contraseñas de red después de retirar el sistema de la red.
- Cómo colaborar con las fuerzas del orden según convenga.
- Revise sus procesos de prevención e identificación.
- Revise la guía de endurecimiento de su CERT local o de la agencia gubernamental de ciberseguridad, como la Guía de Ransomware de US CISA.
El FBI recomienda a las organizaciones que consideren la implementación de las siguientes medidas de prevención y continuidad para disminuir el riesgo de un ataque de ransomware exitoso.
- Realice regularmente copias de seguridad de los datos y verifique la integridad de las mismas.
- Asegure las copias de seguridad, y asegúrese de que las copias de seguridad no están conectadas a los ordenadores y redes de los que se hace la copia de seguridad.
- Examine los enlaces contenidos en los correos electrónicos y no abra los archivos adjuntos incluidos en correos electrónicos no solicitados.
- Descargue sólo software, especialmente el gratuito, de sitios conocidos y de confianza, y verifique la integridad del software mediante una firma digital antes de su ejecución cuando sea posible.
- Asegúrese de que los parches de las aplicaciones del sistema operativo, el software y el firmware estén actualizados, incluidos Adobe Flash, Java, los navegadores web, etc.
- Asegúrese de que las soluciones antivirus y antimalware están configuradas para actualizarse automáticamente y de que se realizan análisis periódicos.
- Desactive las secuencias de comandos de los archivos transmitidos por correo electrónico y considere la posibilidad de utilizar el software de visualización de Office para abrir los archivos de Microsoft Office transmitidos por correo electrónico en lugar de las aplicaciones completas del paquete de Office.
- Implemente restricciones de software u otros controles para evitar la ejecución de programas en ubicaciones comunes del ransomware, como las carpetas temporales que soportan los navegadores de Internet más populares o los programas de compresión/descompresión, incluidos los ubicados en la carpeta AppData/LocalAppData.
El FBI también recomienda que las organizaciones hagan lo siguiente.
- Enable strong spam filters to prevent phishing emails from reaching the end users, and authenticate inbound email using technologies like Sender Policy Framework, Domain Message Authentication Reporting, and Conformance, and DomainKeys Identified Mail to prevent email spoofing.
- Analice todos los correos electrónicos entrantes y salientes para detectar amenazas y filtrar los archivos ejecutables para que no lleguen a los usuarios finales.
- Configure los cortafuegos para bloquear el acceso a direcciones IP maliciosas conocidas.
- Considere la posibilidad de desactivar el Protocolo de Escritorio Remoto si no se está utilizando.
- Conduct an annual penetration test and vulnerability assessment. (See the FBI's brochure, Ransomware Prevention, and Response for CISOs.)
The following are additional considerations for businesses.
- Centrarse en la concienciación y la formación. Dado que los usuarios finales suelen ser el objetivo, los empleados deben ser conscientes de la amenaza del ransomware, de cómo se transmite, y recibir formación sobre los principios y técnicas de seguridad de la información.
- Parchee todos los sistemas operativos, el software y el firmware de los dispositivos de punto final a medida que se descubran vulnerabilidades.
- Gestione el uso de las cuentas privilegiadas aplicando el principio del mínimo privilegio. No se debe asignar acceso administrativo a ningún usuario a menos que sea absolutamente necesario. Aquellos que necesiten cuentas de administrador sólo deben utilizarlas cuando sea necesario, y deben operar con cuentas de usuario estándar en el resto de los casos.
- Configure los controles de acceso teniendo en cuenta el mínimo privilegio.
- Utilizar entornos virtuales para ejecutar entornos del sistema operativo o programas específicos.
- Clasificar los datos en función de su valor organizativo y aplicar la separación física/lógica de las redes y los datos para las distintas unidades organizativas.
- Requiere la interacción del usuario para las aplicaciones de usuario final que se comunican con sitios web no clasificados por el proxy de red o el cortafuegos.
- Implement application white-listing. Only allow systems to execute programs known and permitted by the security policy. (See the FBI public service announcement from September 15, 2016, "Ransomware Victims Urged To Report Infections to Federal Law Enforcement.")
- Las organizaciones también deben realizar un análisis de riesgos de ciberseguridad de la organización y tener y probar un plan de respuesta a incidentes.
- Por último, las organizaciones deben tener en cuenta la cobertura de los seguros, incluida la cobertura de ciberresponsabilidad/ciberextorsión.
¿Existe un ejemplo de plan de recuperación específico para un ataque de ransomware?
La Guía para la recuperación de eventos de ciberseguridad del Instituto Nacional de Normas y Tecnología incluye un ejemplo de plan de recuperación en forma de libro de jugadas para un ataque de ransomware. (Véase la publicación especial del NIST, Guide for Cybersecurity Event Recovery.) Aunque la guía se aplica a los organismos federales de Estados Unidos, debería ser útil para cualquier organización.
¿Podría un ataque de ransomware dar lugar a una infracción según la HIPAA?
El Departamento de Salud y Servicios Humanos (HHS) proporcionó orientación en Fact Sheet: Ransomware and HIPAA que dice:
- Según las normas de la HIPAA, una infracción se define como "... la adquisición, el acceso, el uso o la divulgación de [información sanitaria protegida] PHI de una manera no permitida por la [norma de privacidad de la HIPAA] que compromete la seguridad o la privacidad de la PHI". Véase 45 C.F.R. 164.402.6.
- Cuando la información sanitaria electrónica protegida (ePHI) se encripta como resultado de un ataque de ransomware, se ha producido una infracción porque la ePHI encriptada por el ransomware fue adquirida (es decir, personas no autorizadas han tomado posesión o control de la información), y por lo tanto es una "divulgación" no permitida por la Regla de Privacidad de la HIPAA.
- A menos que la entidad cubierta o el asociado comercial puedan demostrar que existe una "... baja probabilidad de que la PHI se haya visto comprometida", basándose en los factores establecidos en la Regla de Notificación de Infracciones, se presume que se ha producido una infracción de la PHI. La entidad debe entonces cumplir con las disposiciones de notificación de infracciones aplicables, incluida la notificación a los individuos afectados sin demora injustificada, al Secretario del HHS y a los medios de comunicación (para las infracciones que afecten a más de 500 individuos) de acuerdo con los requisitos de notificación de infracciones de la HIPAA. Véase 45 C.F.R. 164.400-414.