Checklist en medio de un ataque de ransomware

Los  ataques de ransomware han aumentado en volumen, transformándose y evolucionando a lo largo de los años, especialmente recientemente, en los ataques debilitantes que vemos hoy. Según un reciente  Informe sobre el  panorama de amenazas globales de FortiGuard Labs, los ataques de ransomware se multiplicaron por siete en la última mitad de 2020 y se volvieron aún más disruptivos. Las tácticas de los actores de amenazas continúan cambiando y los defensores no solo deben continuar entendiendo correctamente los «conceptos básicos» de las estrategias defensivas, sino también evaluar continuamente las políticas de seguridad de su propia organización para garantizar que aún brinden respuestas adecuadas contra los actores de amenazas de ransomware de hoy. Los CISO se enfrentan ahora a una dura realidad: no se trata de si, sino de cuándo serán atacados.

La  investigación de FortiGuard Labs también muestra que casi todas las áreas del mundo son objetivos. Y es importante tener en cuenta que ningún sector está a salvo del ransomware. Con esto en mente, el siguiente checklist puede ayudar a su organización a lidiar de manera efectiva en medio de un ataque de ransomware:

  • No entre en pánico:  mantenga la calma y comience a ejecutar su plan de respuesta a incidentes (IR), si está disponible. Si no tiene un plan de RI, los pasos a continuación pueden ayudar. Alternativamente, comuníquese con su proveedor de seguridad para obtener ayuda o informe el incidente a su compañía de seguros; es posible que ya tengan una lista de proveedores de seguridad expertos que pueden ayudarlo. Muchas organizaciones utilizarán servicios de respuesta a incidentes como el equipo de respuesta de FortiGuard. Considere el impacto potencial que puede tener el incidente de seguridad. Tenga en cuenta no solo las áreas obviamente comprometidas, como el cifrado de datos y la eliminación de aplicaciones, sino también áreas adicionales de riesgo potencial.

 

  • Aísle sus sistemas y detenga la propagación:  existen múltiples técnicas para aislar la amenaza y evitar que se propague. Primero, identifique el alcance del ataque. Si ya se sabe que el incidente está muy extendido, implemente bloqueos en el nivel de la red, como aislar el tráfico en el conmutador o en el borde del firewall, o considere desconectar temporalmente la conexión a Internet. Si se confirma que el alcance del incidente es más estrecho, infectando solo unos pocos sistemas, aísle a los atacantes a nivel del dispositivo posiblemente desconectando Ethernet o desconectando el  Wi-Fi . Si está disponible,  detección y respuesta de endpoints La tecnología (EDR) puede bloquear el ataque a nivel de proceso, que sería la mejor opción inmediata con una interrupción mínima del negocio. La mayoría de los atacantes de ransomware encuentran una vulnerabilidad para ingresar a su organización, como RDP expuesto, correos electrónicos de suplantación de identidad u otro método que los atacantes están utilizando para afianzarse en su entorno.

 

  • Identifique la variante de ransomware:  muchas de las tácticas, técnicas y procedimientos (TTP) de cada variante de ransomware están documentadas públicamente. Determinar con qué cepa está lidiando puede darle pistas sobre la ubicación de la amenaza y cómo se está propagando. Dependiendo de la variante, es posible que algunas herramientas de descifrado ya estén disponibles para que descifre sus archivos rescatados.

 

  • Identificar el acceso inicial:  determinar el punto de acceso inicial, o el paciente cero, ayudará a identificar y cerrar el agujero en su seguridad. Los vectores de acceso inicial comunes son el phishing, las vulnerabilidades en sus servicios de borde (como los servicios de Escritorio remoto) y el uso no autorizado de credenciales. Determinar el punto de acceso inicial es a veces difícil y puede necesitar la experiencia de los equipos de análisis forense digital y expertos en RI.

 

  • Identificar todos los sistemas y cuentas infectados (alcance):  Identifique cualquier malware activo o restos persistentes en los sistemas que aún se están comunicando con el servidor de comando y control (C2). Las técnicas de persistencia comunes incluyen la creación de nuevos procesos que ejecutan la carga útil maliciosa, el uso de claves de registro de ejecución o la creación de nuevas tareas programadas.

 

  • Determine si se extrajeron los datos: a  menudo, los ataques de ransomware no solo cifran sus archivos, sino que también extraen sus datos. Harán esto para aumentar las posibilidades de pago de rescate amenazando con publicar cosas como datos patentados o vergonzosos en línea. Incluso pueden ponerse en contacto con sus socios comerciales si identifican alguno de sus datos que fue robado y también los amenazan. Busque señales de ex filtración de datos, como grandes transferencias de datos, en sus dispositivos de borde de firewall. Busque comunicaciones extrañas desde servidores que se dirigen a aplicaciones de almacenamiento en la nube.

 

  • Ubique sus copias de seguridad y determine la integridad:  un ataque de ransomware intentará borrar sus copias de seguridad en línea y instantáneas de volumen para disminuir las posibilidades de recuperación de datos. Debido a esto, asegúrese de que su tecnología de respaldo no se haya visto afectada por el incidente y aún esté operativa. Con muchos ataques de ransomware, los atacantes generalmente han estado en su red durante días, si no semanas, antes de decidir cifrar sus archivos. Esto significa que puede tener copias de seguridad que contienen cargas útiles maliciosas que no desea restaurar en un sistema limpio. Escanee sus copias de seguridad para determinar su integridad.

 

  • Desinfecte sistemas o cree nuevas compilaciones:  si confía en su capacidad para identificar todo el malware activo y los incidentes de persistencia en sus sistemas, entonces puede ahorrar algo de tiempo al no reconstruir. Sin embargo, puede ser más fácil y seguro crear sistemas nuevos y limpios. Incluso puede considerar crear un entorno limpio y completamente separado al que luego pueda migrar. Esto no debería llevar mucho tiempo si está ejecutando un entorno virtual. Al reconstruir o desinfectar su red, asegúrese de que estén instalados los controles de seguridad adecuados y siga las mejores prácticas para garantizar que los dispositivos no se vuelvan a infectar.

 

  • Informe el incidente:  es importante informar el incidente. También debe determinar si es necesario y obligatorio informar a las autoridades. Su equipo legal puede ayudarlo a abordar cualquier obligación legal relacionada con los datos regulados, como PCI, HIPAA, etc. Si el ataque es severo y su empresa abarca varias regiones geográficas, es posible que deba comunicarse con los servicios de aplicación de la ley nacionales en lugar de con los locales o regionales. agencia de aplicación de la ley basada en la ley.

 

  • ¿Pagando el rescate ?:  La policía desaconseja pagar el rescate, sin embargo, si lo está considerando, debe contratar una empresa de seguridad con habilidades especializadas para que lo ayude. Además, pagar el rescate no solucionará las vulnerabilidades que los atacantes explotaron, así que asegúrese de haber identificado el acceso inicial y parcheado las vulnerabilidades.

Secuestro de datos

  • Realice una revisión posterior al incidente:  revise su respuesta al incidente para comprender qué salió bien y documentar las oportunidades de mejora. Esto asegura la mejora continua de sus capacidades de respuesta y recuperación para el futuro. Considere simular los detalles técnicos y no técnicos del ataque en el equipo rojo y ejercicios de mesa para que pueda revisar sus opciones.

Preparación en caso de un ataque de ransomware

Cuando ocurre un ataque de ransomware, tomar las medidas adecuadas es esencial para minimizar el impacto en usted, su equipo y su organización. Una vez que ocurre un ataque, el pánico puede extenderse por la organización y solo crear problemas mayores. Los CISO saben que sobrevivir a un ataque de ransomware requiere un plan de respuesta a incidentes, pero el desafío es el momento de documentar un plan completo y tener los recursos adecuados para implementar cuando sea necesario, permita a Fortinet y a BG2 ayudarle en el proceso y en ayudarle a responder de inmediato ante cualquier amaneza o ataque.

Investigación experta y recuperación de ataques cibernéticos de  FortiGuard de Fortinet.

Conozca más sobre BG2