Conocer los pasos de recuperación ante un ataque ransomware es realmente importante para los líderes de negocio y los profesionales de TI, ya que estos ataques devastadores están golpeando a organizaciones de todos los tamaños en todo el mundo. De hecho, el costo estimado de los ataques ransomware se incrementó a $20 mil millones en 2021 y se proyecta que alcance los $ 265 mil millones para 2031.
El ransomware es un tipo de malware, o código malicioso, que bloquea el acceso a la mayor cantidad posible de datos y sistemas, y exige el pago de un rescate para restaurar el acceso. Los ataques más sofisticados encriptan sus datos para bloquear el acceso e incluso copian los datos y amenazan con publicarlos a menos que se pague el rescate.
Los atacantes usan muchas estrategias diferentes para introducir su ransomware en la red de la víctima. Una opción popular es enviar un correo electrónico de phishing que parece provenir de una fuente legítima y engañar a los empleados de una empresa para que abran un archivo adjunto malicioso o hagan clic en un enlace a un sitio web. Otros ataques explotan vulnerabilidades en los sistemas operativos u otro software.
¿Cómo recuperarse?
A primera vista, la forma más sencilla de recuperarse de un ataque de ransomware parecería ser simplemente pagar el rescate y esperar a que los piratas informáticos entreguen la clave de descifrado. Sin embargo, solo el 8% de las organizaciones que pagan el rescate logran recuperar todos sus datos; de hecho, tres de cada diez (29%) recuperan la mitad o menos. Además, el 80% de las empresas que pagaron el rescate sufrieron un segundo ataque, y casi la mitad de ellas cree que fue a manos de los mismos ciberdelincuentes.
En consecuencia, es fundamental establecer una estrategia sólida de recuperación de ransomware.
Cinco prácticas para curarse en salud
1. Separar y tener un plan para las copias de seguridad: haga copias de seguridad periódicas, incluidas las copias de Active Directory necesarias para restaurar los controladores de dominio, y probarlas para verificar que estén en buen estado. Después, elija almacenar estas copias de seguridad en la nube con un proveedor confiable, lo que brinda una manera sencilla de proporcionar una ubicación externa alternativa para los datos. Esto también agrega la capacidad de recuperarse en ubicaciones alternativas si es necesario. Las opciones incluyen Amazon Simple Storage Service (S3), Amazon S3 Glacier y S3 Glacier Deep Archive, y Microsoft Azure Blob Storage. Si existe la intención de utilizar el almacenamiento en la nube, asegúrese de que todos los datos de las copias de seguridad estén cifrados antes de que abandonen el perímetro de la red de la empresa.
2. Tener elaborado un plan para afrontar el peor de los casos: desafortunadamente muchas organizaciones cometen el error de limitar su estrategia de recuperación de ransomware a documentos y aplicaciones. Considere el impacto de un ataque en la red, enrutadores, conmutadores y concentradores de VPN. A menudo se pasa por alto la necesidad de proteger la infraestructura en la nube de Microsoft, lo cual es especialmente importante, considerando que Microsoft informó de más de 25 mil millones de intentos de ataques en Azure AD solo en 2021. Los datos de respaldo de Microsoft 365 almacenados en Exchange y SharePoint Online, OneDrive, Teams y Calendars son igualmente susceptibles a errores de usuario, eliminación accidental, corrupción y malware.
3. Reunir a las personas adecuadas que puedan colaborar de manera efectiva: un esfuerzo de recuperación de ransomware involucra a muchos equipos diferentes, como el equipo de respaldo para realizar restauraciones, personas de almacenamiento, redes, servidores, seguridad, aplicaciones y aliados externos como proveedores de almacenamiento en la nube.
- Le puede interesar: Así es la colección que fusiona los universos de Desigual y Smiley
Es fundamental tener un responsable que pueda dirigir y coordinar todos estos equipos y tomar decisiones sobre la marcha. Asegúrese de haber documentado claramente todos los roles y responsabilidades. Incluya una sala virtual donde estos equipos puedan unirse y los subgrupos puedan dividirse para elaborar estrategias sobre problemas particulares.
4. Contemplar una recuperación por etapas: cuando un ataque de ransomware trae más que solo una parte aislada de su ecosistema de TI, la recuperación estratégica de datos y aplicaciones en fases suele ser la mejor manera de hacer que el negocio se recupere lo antes posible. Durante la planificación de la recuperación, identifique las aplicaciones que son más críticas para las operaciones comerciales principales.
5. Más vale calidad y no velocidad: si bien es comprensible que las organizaciones estén ansiosas por volver a la normalidad después de un ataque, es esencial asegurarse de que la recuperación se realice correctamente, para que no se vuelva a infectar de inmediato. Es inteligente elegir una solución de recuperación que brinde la flexibilidad de elegir la mejor manera de restaurar cada uno de sus controladores de dominio.