Ransomware: cómo actuar frente a un ciberataque de este tipo.
En los últimos años, los ataques de ransomware crecieron considerablemente a nivel global, transformándose en una de las primeras ciberamenazas para los Estados y todo tipo de organización pública o privada, que no posea un plan adecuado de seguridad para proteger sus activos de información.
Tal aumento, se vió reflejado en la cantidad de casos que se publicaron en los medios de comunicación, así como también en distintos sitios web especializados en el tema y en las cuentas de redes sociales de las víctimas y de profesionales vinculados con la ciberseguridad, la seguridad de la información o la seguridad informática.
Otras fuentes de divulgación fueron las empresas privadas que ofrecen servicios y/o productos de protección para softwares. Ellas realizaron también informes destacando el crecimiento del uso de este malware, que cifra archivos del equipo vulnerado para que luego quien lo envió exija un pago para quitar esa restricción de acceso.
Algunas de ellas mencionaron que, en el 2022, se registraron varios casos en organismos gubernamentales de distintas partes del mundo, y que América Latina fue una de las regiones más afectadas, dato que se puede comprobar accediendo a Internet y utilizando nuestro motor de búsqueda habitual.
En algunos de esos hechos, las infraestructuras críticas de información -que se utilizan para brindar servicios esenciales a la población- fueron los objetivos de los cibercriminales. Por tal motivo, el ransomware representa una verdadera amenaza para el funcionamiento óptimo de los Estados, donde se crea, gestiona, procesa y almacena información de sus ciudadanos.
Frente a un ransomware
Para comenzar, supongamos que (mientras estamos realizando nuestras labores en la computadora de la oficina) nos aparece en la pantalla un cartel informando: “Hemos encriptado todos sus archivos. Si desea recuperarlos, deberá realizar el pago de 'U$S 1000000 de dólares" en la cuenta 'billetera_bitcoin_atacante' , y comunicarse al mail '[email protected]'”. Esto es un típico ejemplo de cuando un código malicioso del tipo ransomware logra infectar a nuestro dispositivo, que si bien puede variar en los mensajes y métodos, el atacante quiere lograr que nosotros no podamos acceder a nuestros datos, y que debamos pagar para hacernos nuevamente de los mismos.
Ante este tipo de ataques, es recomendable al menos realizar las siguientes actividades:
¿Qué puedo hacer si pasa en mi dispositivo?
Cuando veamos este cartel puede que identifiquemos el tipo de ataque como un ransomware. Lo primero que debemos recordar son los protocolos que posee nuestro organismo, ¿en ellos nos dice qué hacer ante este tipo de incidente? ¿O menciona algo al respecto, pero en forma genérica o frente a otro incidente similar? En caso de ser así, deberíamos aplicar los pasos descritos en el mismo. Pero de no existir una directiva clara y precisa, formal o informal, informemos a la autoridad del área de la que dependemos y tengamos en cuenta las siguientes recomendaciones:
- Mantener la calma en todo momento y no asustarse frente a la situación.
- Actuar los más rápidamente posible, tratando de recordar la mayor cantidad de detalles posible (día, hora, tipo de información que se procesa o almacena en la PC, etc.)
- No apagar el equipo comprometido ni continuar utilizándolo.
- De ser posible, desconectar el cable de red de la computadora o desconectarse del Wi-Fi para evitar la propagación del software malicioso y perjudicar a otros equipos del organismo.
- Contactar al equipo responsable de incidentes informáticos de nuestro organismo e informar el caso a la autoridad del área de la que dependemos o quien lo reemplace o se encuentre disponible.
- En caso de recibir instrucciones por parte del equipo responsable de incidentes al comunicarse, seguir las acciones recomendadas.
- De ser posible, tomar fotos evidencia de lo ocurrido sin realizar cambios en el equipo. Bajo esta premisa, no se deben sacar las fotos con la misma computadora infectada, sino utilizar un dispositivo externo, como un celular, para que no se comprometa la evidencia.
- Cuando se presente la persona quien tome el incidente, se debe hacer el relevo correspondiente, haciendo entrega de la posible evidencia, si la hubiere, y prestar colaboración a fin de ayudar con el proceso.
¿Qué puedo hacer como parte del equipo responsable de gestionar el incidente?
Ante esta situación, es probable que tengamos un plan de actuación definido dentro de los protocolos y políticas de nuestro organismo. De ser así, nuestro deber es conocerlos y aplicar los pasos indicados para el tratamiento y resolución de este tipo de incidentes.
Un posible curso de acción es:
- Revisar si el equipo comprometido puede ser aislado de la red y hacerlo, si es posible.
- Revisar las herramientas de monitoreo y equipos de la red para identificar otros posibles equipos infectados y recuperar evidencia.
- Buscar en los logs de las herramientas si hay registros de conexiones a URLs e IPs provenientes del software malicioso y en caso afirmativo, proceder a bloquearlas en los equipos de red del organismo.
- Consultar con el usuario si hay evidencia fotográfica y en caso de no haber, de ser posible tomar evidencia fotográfica del momento.
- Realizar la interacción necesaria con el usuario para tener un panorama de lo ocurrido. Se pueden hacer preguntas respecto a qué actividades estaba realizando, si abrió algún link o programa en particular, etc.
- Realizar clonaciones del disco duro infectado. De esta manera, el disco original podrá quedar como evidencia para un posible seguimiento administrativo o judicial ya que con los clones podremos restaurar a un estado anterior o realizar un análisis forense propio.
- Desinfectar un clon del disco mediante una herramienta antivirus o antimalware actualizada. Es importante realizar este paso para evitar que los datos puedan ser cifrados nuevamente al recuperarlos.
- Intentar recuperar los datos. Para ello se puede investigar si existe una posible solución a la variante del ransomware que nos ha afectado, por ejemplo, mediante el proyecto colaborativo de nomoreransom.org.
- Si existe solución, entonces aplicar la ofrecida por el proyecto.
- Si no existe solución, conservar el disco cifrado y, si apareciera una solución en un futuro, recuperar los datos.
- Recuperar una copia de seguridad de un punto anterior de restauración del sistema, en caso de no poder recuperar los datos. Recordar que sea el más reciente previo a la infección posible para tener menor pérdida de datos.
- Corroborar que la copia de seguridad elegida se encuentra limpia.
- En un disco nuevo o formateado, con una instalación en limpio del sistema operativo, restaurar la copia de seguridad. En caso de haber recuperado la información, se puede transferir al nuevo dispositivo.
- Realizar el proceso anterior en todos los equipos comprometidos.
- Realizar un reporte detallado con las acciones tomadas y la evidencia recuperada, así como también determinar el alcance e impacto del incidente.
- Realizar las actividades post incidentes que sean necesarias, como por ejemplo:
- Analizar el vector de ataque y aplicar las medidas necesarias para evitar una futura infección.
- Capacitar a los usuarios de los sistemas en materia de seguridad informática.
¿Qué puedo hacer como autoridad o responsable del área de sistemas?
Es responsabilidad de las máximas autoridades del organismo y de quienes se encuentren a cargo de las oficinas afectadas, brindar las herramientas que el equipo de gestión de incidentes necesite. Durante el incidente, encontrarse a disposición y solicitar la comunicación permanente sobre el estado de situación, adoptando las decisiones del caso.
- Nunca considerar la opción de pagar el rescate.
- Pagar no garantiza volver a tener acceso a los datos.
- Podría ser objeto de nuevos ataques debido a que se sabe que se está dispuesto a pagar.
- Con los fondos del pago se podrían financiar actividades ilícitas tales como terrorismo, trata de personas, venta ilegal de armas, etc.
- Pueden solicitar una cifra mayor luego del pago.
- Pudieron haber realizado una copia de los datos antes de encriptarlos, con lo cual no asegura estar libre de futuras extorsiones o fugas de información.
- Para algunas instituciones como los Estados podría ser ilegal el acto de pagar aunque se haga de buena fe por más que la intención sea recuperar la información comprometida.
- Realizar las comunicaciones que fueren necesarias respecto al incidente, tanto a los equipos especializados como a los posibles damnificados.
- Tomar las acciones legales correspondientes, como lo es realizar la denuncia ante las autoridades judiciales correspondientes, de corresponder.
- Mantener un contacto abierto permanente y fluido con las autoridades del organismo y con las áreas afectadas, según sea el caso.
- Encontrarse a disposición ante cualquier situación que se pueda presentar.
- Dar intervención a las áreas competentes, como las de auditoría, los departamentos jurídicos o de RRHH, etc.