El ransomware es un tipo de software malicioso diseñado para denegar el acceso a los sistemas o datos de un usuario cifrando los archivos. Una vez que el ransomware ha infectado un sistema, el atacante exige un rescate (normalmente en criptomonedas como Bitcoin) para proporcionar la clave de descifrado y devolver el acceso al usuario.

Pasos previos

La mejor prevención contra el ransomware es contar con una política de copias de seguridad robusta, que te permita no perder la información y restaurarla incluso si eres víctima de estos ataques. Para ello, debes realizar un ejercicio para identificar qué información no puede permitirse perder tu empresa y tomar medidas para evitar que se pierda. A nivel de usuario, una medida eficaz puede ser trabajar con documentos online, utilizando soluciones en la nube como M365 o Google Workspace, y por otro lado, una buena solución de backup que se encargue de salvaguardar la información empresarial (servidores, aplicaciones, bases de datos, etc.).

Pasos a realizar en caso de compromiso

Aislamiento inmediato

  • Desconecte los sistemas afectados de la red para evitar que el ransomware se propague a otros equipos.
  • Desactive la conectividad de red, los recursos compartidos de red y los servicios en la nube que puedan estar implicados.

Aislamiento
Desconecte los sistemas afectados de la red

Identificación y análisis

  • Determine el tipo específico de ransomware leyendo la nota del ransomware o mediante un análisis forense. Esto puede incluir el análisis de los archivos cifrados, el comportamiento del malware, los registros del sistema y las comunicaciones con el servidor de mando y control (C&C) del atacante.
  • Identifique el vector de infección para evitar futuras intrusiones.

Evaluación de la situación

  • Compruebe si dispone de copias de seguridad intactas y actualizadas que no hayan sido comprometidas.
  • Evalúe el alcance de los daños, cuántos sistemas están afectados, si se trata de datos confidenciales y si el ransomware ha filtrado datos.

Eliminar el malware y restaurar

  • Eliminar cualquier rastro del ransomware de los sistemas comprometidos utilizando herramientas de eliminación especializadas.
  • Restaurar los datos cifrados a partir de las copias de seguridad, asegurándose de que estén libres de la infección.
  • En caso de no tener copias de seguridad, explorar si existen claves de descifrado públicas o disponibles, o si es posible realizar un descifrado a través de terceros.

En caso de que no tengas backups, es posible que, dependiendo del ransomware que haya infectado la red, puedas recuperar la información. Existen varias páginas y servicios en línea que proporcionan herramientas para intentar descifrar archivos cifrados por ransomware. Estos servicios suelen estar enfocados en los tipos de ransomware más comunes y proporcionan claves de descifrado cuando son conocidas o si el atacante ha cometido errores durante la implementación del cifrado. A continuación, tienes algunos de los recursos más conocidos:

  1. No More Ransom (https://www.nomoreransom.org/)
  2. Emsisoft Decryptor (https://www.emsisoft.com/en/ransomware-decryption/)
  3. Malwarebytes Ransomware Decryptor (https://www.malwarebytes.com/ransomware)
  4. BitDefender (https://www.bitdefender.es/consumer/support/answer/14292/)
  5. Kaspersky (https://noransom.kaspersky.com/es/)

Mitigación de riesgos

  • Cambiar todas las contraseñas en sistemas comprometidos y redes para evitar accesos no autorizados.
  • Parchear vulnerabilidades y aplicar actualizaciones de seguridad a todos los sistemas afectados.
  • Hacer una revisión exhaustiva de la infraestructura de seguridad, incluyendo firewalls, antivirus y políticas de acceso.

Monitorización y seguimiento

  • Implementar una monitorización activa para detectar cualquier posible reactivación del ransomware o actividad sospechosa posterior.
  • Asegurarse de que no existan puertas traseras o archivos maliciosos residuales que puedan permitir el reinicio del ataque.

Monitorizacion
Implemente una monitorización activa

Notificación y cumplimiento

  • En caso de que se haya exfiltrado información personal o confidencial, es necesario notificar a las autoridades regulatorias pertinentes y a los usuarios afectados según las leyes de privacidad y protección de datos (por ejemplo, GDPR).
  • Considerar la posibilidad de informar a las fuerzas del orden, ya que pueden tener recursos para rastrear y detener a los atacantes.

Prevención a largo plazo

  • Implementar medidas de seguridad más estrictas, como autenticación multifactor, segmentación de red y capacitación regular sobre seguridad para los empleados.
  • Realizar simulaciones de ataques (como pruebas de penetración y simulaciones de phishing) para evaluar la preparación ante posibles futuros ataques.

NO pagues el rescate!

Ten claro dos cosas, los cibercriminales que te han atacado tienen exclusivamente una motivación económica y también son muy muy perezosos. Si pagas el rescate, estás desmostrando que tienes solvencia económica para pagar esta recompensa y las posteriores, por lo que vas a volver a ser un objetivo claro para ellos y para otros cibercriminales. Si por el contrario no pagas si no que demuestras que puedes recuperar la información a través de backups o mejorando en la seguridad de tu infraestructura, los cibercriminales van a buscar otras victimas dispuestas a pagar o con menos seguridad. En conclusión, no pagues el ransomware, vas a desanimar a los atacantes y seguramente en el futuro no seas victima.

No pagues
Nunca pagues el rescate, la mejor recuperación es una política de backup robusta