EMPRENDER, INNOVAR, TRIUNFAR
lunes, 27 de septiembre de 2021
Tecnología
Qué hacer si somos víctimas de un ransomware
El SEPE ha sufrido un ciberataque devastador en las últimas 24 horas, específicamente ha sufrido un ataque de ransomware
11/03/2021

El SEPE ha sufrido un ciberataque devastador en las últimas 24 horas, específicamente ha sufrido un ataque de ransomware, un secuestro digital que tristemente se está convirtiendo en una de las herramientas favoritas de los cibercriminales. 

Llegados a este punto, debemos admitir que resulta muy difícil deshacerse de un ransomware una vez que se cuela en los sistemas de una empresa. De hecho, muchas organizaciones no saben muy bien cómo reaccionar.

Sin embargo, eso no significa que estemos indefensos. Si desafortunadamente ese es nuestro caso, los pasos a dar deben ser metodológicos y cuidadosos, incluyendo la ayuda de profesionales especializados. En All4Sec ya explicamos consejos para prevenirlos, ahora queremos expresar un conjunto de recomendaciones básicas a seguir, dependiendo de la fase en la que nos encontremos. 

Detección y análisis

Lo primero y más importante es identificar los sistemas que están afectados e inmediatamente aislarlos. Debemos pensar en términos de redes. Es fundamental, en la medida de lo posible, no apagar los equipos, aunque sí mantenerlos aislados para evitar las propagaciones laterales.

En caso de que los equipos no se puedan aislar de la red, podríamos apagarlos. No es la mejor opción porque con ello perderemos cualquier evidencia del ataque que resida en memoria. Por tanto, esta medida debe tomarse de forma muy reflexionada.

También debemos diagnosticar los sistemas que se han visto afectados para su posterior recuperación, dando prioridad a los equipos más críticos. Todo este proceso debe estar documentado junto con las concusiones del primer análisis.

Finalmente debemos informar del incidente a aquellos que puedan tener un interés legítimo en él y a aquellas compañías y organismos que puedan contribuir a su resolución.

Contención y eliminación

Una vez diagnosticado el ataque debemos capturar una imagen del sistema y del contenido de la memoria de algunos de los dispositivos afectados. Esta información, junto con los logs de los sistemas, nos permitirá identificar indicadores de compromiso.

Un paso recomendable es consultar a los organismos públicos y a las comunidades de expertos en ciberseguridad para ver si disponen de algoritmos para descifrar diferentes variantes del ransomware. Y, por supuesto, investigar el tipo de ransomware para determinar su posible comportamiento futuro.

Un elemento fundamental en esta etapa será la identificación de los sistemas y las cuentas de usuarios que originaron la brecha original. Basándonos en esta información se podrán implementar medidas de contención para evitar su propagación (i.e. deshabilitar VPNs, servidores de acceso remoto, recursos de SSO o servicios en la nube).

Si se detecta que un servidor está siendo infectado a través de un puesto de trabajo, debemos revisar las sesiones y los ficheros abiertos, analizar las conexiones RDP y comprobar las conexiones SMB y los intentos de acceso.

No menos importante resultará la información que proporcionan las herramientas de seguridad (EPP, IDS, IPS, FW…). Uno de los elementos críticos a localizar con ellas es el que actúa habitualmente de facilitador para la descarga del ransomware. Se trata de un componente clave en todo el proceso.

Deberemos, asimismo, analizar la posibilidad de persistencia del ransomware una vez que este sea eliminado a través de la localización de cuentas ocultas, puertas traseras o vulnerabilidades externas.

Finalmente, y una vez verificados y resueltos todos estos puntos, podremos recurrir a nuestros sistemas protegidos de backups y reconstruir el sistema empezando por los sistemas más críticos, utilizando imágenes software preconfiguradas, para inmediatamente cambiar las contraseñas y actualizar las versiones del software.

Recuperación

Llegados a esta etapa, volveremos a conectar los servicios en la red y monitorizaremos su comportamiento. Como punto final, será indispensable documentar todos los pasos dados durante el proceso, así como las lecciones aprendidas. De hecho, deberíamos considerar la posibilidad de compartir con la comunidad esas conclusiones en beneficio colectivo.

Corolario

El ransomware es una de las amenazas más dañinas que actualmente se presentan a las organizaciones. Estar preparados para evitarlo, y llegado el caso combatirlo, es una tarea fundamental dentro de cualquier compañía. Con una serie de medidas básicas de seguridad ciertamente podremos reducir su tasa de éxito. Resolverlo, sin embargo, a posteriori, resultará una tarea “algo más compleja”.