É«¿Ø´«Ã½

Ransomware es un tipo de malware que cifra sus archivos y exige el pago de un rescate a cambio de restaurar el acceso a sus datos. Si el rescate no se paga, sus datos pueden borrarse, ser retenidos o exfiltrados en la web oscura o en otros sitios web por intenci¨®n maliciosa. Como no hay ninguna garant¨ªa de que un perpetrador cumpla los t¨¦rminos del rescate, la mejor opci¨®n es prevenir el ransomware creando una arquitectura resistente a los datos que emplee las mejores pr¨¢cticas de ciberseguridad y la inmutabilidad.

Informe ESG: Iluminar el camino hacia la preparaci¨®n y la mitigaci¨®n

Al igual que todo el malware, el ransomware debe descargarse en su m¨¢quina o red para poder acceder a sus datos. La manera m¨¢s com¨²n de contraer el ransomware es mediante un archivo adjunto descargable que se env¨ªa a trav¨¦s de un correo electr¨®nico de phishing, pero las unidades de memoria, las aplicaciones comprometidas, los sitios web infectados, la ingenier¨ªa social y las amenazas internas tambi¨¦n son vectores de ataque viables.??

Una vez descargado y ejecutado, el ransomware cifra los archivos del sistema host, lo que hace que sea computacionalmente inaccesible sin la clave de descifrado adecuada. Normalmente, se presenta una nota de rescate a los propietarios del sistema comprometido con detalles sobre c¨®mo y cu¨¢nto pagar para que se liberen los archivos. Un ransomware m¨¢s sofisticado puede proporcionar su carga ¨²til sin depender de los errores humanos y, en su lugar, aprovechando las vulnerabilidades cr¨ªticas del software de su sistema.

Reconocer los signos de una infecci¨®n por ransomware es crucial para una detecci¨®n y una respuesta tempranas. Estos son los indicadores clave que hay que tener en cuenta:

• Archivos bloqueados: Descubre que sus archivos son repentinamente inaccesibles o que se les a?aden extensiones de archivo inusuales.
• Nota sobre el rescate: Aparece un mensaje en su pantalla que le pide que pague a cambio de una clave de descifrado.
• Extensiones de archivos modificadas: Sus archivos tienen extensiones inusuales a?adidas, lo que indica el cifrado.
• Actividad inusual de la red: Mayor tr¨¢fico de red, sobre todo en dominios desconocidos o sospechosos.
• Rendimiento lento: Su sistema o red experimenta una ralentizaci¨®n significativa del rendimiento.
• Software de seguridad inhabilitado: Ransomware a menudo intenta desactivar el antivirus o el software de seguridad.

Entender las posibles consecuencias de los ataques de ransomware es esencial para estar preparado. El impacto de estos ataques puede ser de gran alcance e incluye:

• P¨¦rdida de datos: El cifrado de sus archivos puede provocar la p¨¦rdida permanente de datos si no tiene copias de seguridad.
• P¨¦rdida financiera: Pagar el rescate no garantiza la recuperaci¨®n segura de sus datos y puede generar p¨¦rdidas financieras.
• Alteraci¨®n operativa: Ransomware puede interrumpir las operaciones de su empresa y provocar tiempos de inactividad y p¨¦rdidas de productividad.
• Da?o a la reputaci¨®n: Ser v¨ªctima de un ataque de ransomware puede da?ar la reputaci¨®n de su organizaci¨®n y erosionar la trus.
• Consecuencias regulatorias: Las vulneraciones de datos derivadas de los ataques de ransomware pueden conllevar sanciones legales y regulatorias.

Ransomware a los operadores de ransomware una tarifa de suscripci¨®n por el acceso a los kits de RaaS que pueden usarse para desplegar, supervisar y gestionar sus propias campa?as de ransomware.?

Los kits de RaaS suelen incluir paneles de control dedicados para que la filial realice un seguimiento y gestione sus campa?as, lo que les proporciona visibilidad de los archivos cifrados y las m¨¢quinas infectadas. El portal de RaaS tambi¨¦n permite que los usuarios establezcan mensajes de usuario personalizados, establezcan demandas de rescate y realicen un seguimiento de los beneficios.??

Los kits de RaaS se pueden encontrar en la web oscura, con soporte 24x7, rese?as de usuarios, foros y otras caracter¨ªsticas normalmente asociadas con proveedores de SaaS leg¨ªtimos. Se puede acceder a ellos con una tarifa de suscripci¨®n fija o a trav¨¦s de programas de afiliados, con un porcentaje de los beneficios destinados al desarrollador del ransomware.

El malware de limpiaparabrisas, tambi¨¦n conocido como wiperware, es un tipo de pseudo ransomware en el que el objetivo del malware es destruir los sistemas y los datos de una v¨ªctima en lugar de extraer un rescate a cambio de descifrar los archivos. El Wiperware puede seguir usando los mensajes de ransomware para dejar entrever la esperanza de recuperar todos sus archivos, pero esta es una t¨¢ctica de retraso que se utiliza para comprar tiempo para acceder a m¨¢s sistemas, propagarse a otros usuarios y aumentar la huella de da?os. Los mensajes de ransomware tambi¨¦n sirven para ocultar la verdadera intenci¨®n del ataque el tiempo suficiente para ejecutarse. Dado que un rescate no es el objetivo, estos ataques suelen llevarse a cabo como ciberespionaje por parte de los gobiernos que intentan da?ar la infraestructura.

Las medidas proactivas para prevenir los ataques de ransomware son primordiales para proteger los datos y las operaciones de su organizaci¨®n. Tenga en cuenta las siguientes estrategias preventivas:

• Educaci¨®n del usuario: Formar a los empleados para que reconozcan los correos electr¨®nicos de phishing y eviten descargar archivos adjuntos sospechosos.
• Actualizaciones de software: Mantenga actualizado su sistema operativo y software para corregir las vulnerabilidades conocidas.
• Soluciones de ciberseguridad: Invierta en herramientas de ciberseguridad como cortafuegos, software antivirus y sistemas de detecci¨®n de intrusiones.
• Control de acceso: Limite los privilegios de usuario y el acceso a los sistemas cr¨ªticos para minimizar la superficie de ataque.
• Copias de seguridad de datos: Implementar copias de seguridad de datos regulares con almacenamiento externo para garantizar las opciones de recuperaci¨®n de datos.
• Plan de respuesta a incidentes: Desarrolle un plan de respuesta a incidentes completo para minimizar los da?os en caso de ataque.

En caso de un ataque de ransomware, es esencial un plan de respuesta bien definido para minimizar los da?os y facilitar la recuperaci¨®n. Aqu¨ª le explicamos c¨®mo responder de manera efectiva:

• A¨ªsle el sistema infectado: Desconecte el sistema comprometido de la red para evitar una mayor propagaci¨®n.
• Eval¨²e el da?o: Determine el alcance del cifrado de datos y eval¨²e el impacto en las operaciones.
• Informe del incidente: Notificar a las fuerzas del orden p¨²blico y a las autoridades pertinentes seg¨²n lo exijan las normativas.
• No pague el rescate: No se recomienda pagar el rescate, ya que no garantiza la recuperaci¨®n de los datos y financia las actividades delictivas.
• Restaurar a partir de las copias de seguridad: Utilice sus copias de seguridad seguras para restaurar los datos cifrados y reanudar las operaciones.
• Mejore la seguridad: Refuerce sus medidas de ciberseguridad para prevenir futuros ataques.

M¨¢s all¨¢ de la prevenci¨®n y la respuesta, aqu¨ª tiene algunos pasos que puede seguir para mitigar los da?os y los tiempos de inactividad, como:

• Crear una para mantener los datos seguros y disponibles.
• Mantener actualizado su sistema operativo y su pila tecnol¨®gica para anticiparse a los exploits y vulnerabilidades conocidos.
• Invertir en ciberseguridad (por ejemplo, formaci¨®n en InfoSec, auditor¨ªas de seguridad de la red y pruebas de vulnerabilidad).
• Controlar el acceso a los archivos y datos seguros, mediante la gesti¨®n de los derechos y los privilegios de administraci¨®n.
• Realizar copias de seguridad de sus archivos mediante copias instant¨¢neas frecuentes y otros m¨¦todos de protecci¨®n de datos.

Las medidas de protecci¨®n de datos convencionales se dise?aron para salvaguardar sus datos de los desastres naturales o provocados por el hombre, los da?os en los datos o los borrados accidentales. Sin embargo, los ataques de ransomware pueden poner al l¨ªmite la infraestructura de protecci¨®n de datos existente, que puede estar basada en arquitecturas tradicionales, como el disco y la cinta, m¨¢s de lo previsto. Para responder a las amenazas en constante evoluci¨®n, como el ransomware, la resiliencia de los datos debe integrarse en la arquitectura desde cero.?

Las copias instant¨¢neas SafeMode ? de É«¿Ø´«Ã½??proporcionan una protecci¨®n integrada para sus datos en caso de un ataque de ransomware, al realizar copias de seguridad frecuentes de su sistema en copias instant¨¢neas de solo lectura desde las que puede recuperar sus datos. SafeMode ayuda a proteger los datos cr¨ªticos, ya que estas copias instant¨¢neas no pueden modificarse, eliminarse o cifrarse, incluso si las credenciales de administrador se han visto comprometidas. Piense en estas copias instant¨¢neas inmutables, como las bolsas de aire, que no evitar¨¢n un choque, pero aumentar¨¢n sus posibilidades de dejar de sufrir el choque sin sufrir da?os.

Disponible con todos los sistemas FlashBlade y FlashArray ?,?SafeMode?est¨¢ incluido en el entorno operativo Purity como parte de su suscripci¨®n a É«¿Ø´«Ã½.

Cuando se sufre un ataque de ransomware, hay que restaurar los datos r¨¢pidamente. Sin embargo, los sistemas tradicionales y los dispositivos dise?ados espec¨ªficamente son notablemente lentos y no est¨¢n dise?ados para la recuperaci¨®n. Rapid Restore , que funciona con los sistemas FlashBlade de É«¿Ø´«Ã½, aumenta dr¨¢sticamente la velocidad de restauraci¨®n de los datos sin necesidad de cambiar su software de copia de seguridad. FlashBlade proporciona una restauraci¨®n r¨¢pida y una recuperaci¨®n de petabytes a escala, con un rendimiento de recuperaci¨®n de datos de hasta 270TB/h.