Los piratas informáticos utilizan cada vez más el ransomware como una herramienta eficaz para perturbar las empresas y financiar actividades maliciosas.
Un análisis reciente de la empresa de ciberseguridad Group-IB reveló que los ataques de ransomware se duplicaron en 2020 , mientras que Cybersecurity Venture predice que se producirá un ataque de ransomware cada 11 segundos en 2021.
Las empresas deben prepararse para la posibilidad de que un ataque de ransomware afecte sus datos, servicios y continuidad comercial. ¿Qué pasos hay que seguir para recuperarse de un ataque de ransomware?
- Aislar y apagar sistemas críticos
- Promulgue su plan de continuidad empresarial
- Reportar el ciberataque
- Reinstalar desde el respaldo
- Remediar, parchear y monitorear
Aislar y apagar sistemas críticos
El primer paso importante es aislar y cerrar los sistemas críticos para el negocio. Existe la posibilidad de que el ransomware no haya afectado a todos los datos y sistemas accesibles. Apagar y aislar tanto los sistemas infectados como los sistemas en buen estado ayuda a contener el código malicioso.
Desde la primera evidencia de ransomware en la red, la contención debe ser una prioridad. La contención y el aislamiento pueden incluir aislar los sistemas desde una perspectiva de red o apagarlos por completo.
Promulgue su plan de continuidad empresarial
El plan de continuidad comercial y su componente de recuperación ante desastres son esenciales para mantener cierto nivel de operaciones comerciales.
El plan de continuidad del negocio es un manual paso a paso que ayuda a todos los departamentos a comprender cómo funciona el negocio en tiempos de desastre u otros escenarios que alteren el negocio. El componente de recuperación ante desastres detalla cómo se pueden restaurar los datos y sistemas críticos y volver a ponerlos en línea.
Reportar el ciberataque
Muchas empresas pueden dudar en hacerlo, pero informar del ataque a los clientes, las partes interesadas y las autoridades policiales es esencial. Los organismos encargados de hacer cumplir la ley pueden brindar acceso a recursos que de otro modo podrían no estar disponibles.
También deberá considerar las regulaciones de cumplimiento. El RGPD, por ejemplo, proporciona a las empresas una ventana de 72 horas para divulgar una violación de datos que involucre la información personal de los clientes.
Reinstalar desde el respaldo
La mejor medida de protección que tiene para sus datos son las copias de seguridad. Sin embargo, restaurar grandes cantidades de datos puede llevar mucho tiempo, lo que obliga a la empresa a estar fuera de línea durante un período de tiempo prolongado.
Esta situación destaca la necesidad de descubrir y contener las infecciones de ransomware lo más rápido posible para reducir la cantidad de datos que deben recuperarse.
Remediar, parchear y monitorear
En la fase final de recuperación de un ataque de ransomware, las empresas remedian la infección de ransomware, parchean los sistemas que pueden haber llevado al compromiso inicial de ransomware y monitorean el entorno de cerca para detectar más actividad maliciosa.
No es extraño que continúe la actividad maliciosa, incluso si se paga el rescate o si se restauran los sistemas infectados. Si existe la misma vulnerabilidad que provocó el ataque inicial, el entorno puede verse comprometido una vez más.
Corregir puntos de entrada comunes para ransomware
A medida que las empresas buscan reforzar el entorno contra el ransomware y otras amenazas maliciosas, es fundamental observar los puntos de entrada comunes para este tipo de ataques.
Los ciberataques utilizan ataques de phishing para recopilar credenciales robadas que luego pueden usarse para lanzar un ataque de ransomware o acceder a los sistemas directamente.
Prevención y próximos pasos
Las empresas no deben ser descuidadas al manejar la seguridad de las contraseñas, especialmente con las cuentas de usuario de Active Directory. Desafortunadamente, Active Directory no tiene buenas herramientas de seguridad nativas para proteger las contraseñas de acuerdo con los requisitos de la política de seguridad de contraseñas actual.
La política de contraseñas de Specops proporciona protección con contraseñas violadas, listas de contraseñas no permitidas y muchas otras funciones de seguridad sólidas para proteger su entorno. Toma las políticas de contraseña muy básicas disponibles en Active Directory y las alinea con la guía moderna del NIST y otras autoridades de ciberseguridad.
Fuente: https://thehackernews.com/2021/06/5-critical-steps-to-recovering-from.html
