Fase 1: Preparar el plan de recuperación
Lo primero que debe hacer para estos ataques es preparar su organización para que tenga una alternativa viable a pagar el rescate. Aunque los atacantes que controlan su organización tienen varias formas de presionarle para que pague, las demandas se centran principalmente en dos categorías:
Pagar para recuperar el acceso
Los atacantes exigen el pago bajo la amenaza de que no le devolverán el acceso a sus sistemas y datos. Esto se hace con mayor frecuencia al cifrar los sistemas y los datos y exigir el pago de la clave de descifrado.
Importante
Pagar el rescate no es tan sencillo y limpio de una solución como parece. Dado que está tratando con delincuentes que solo están motivados por el pago (y a menudo operadores relativamente aficionados que usan un kit de herramientas proporcionado por otra persona), hay una gran incertidumbre acerca de lo bien que funcionará realmente pagar el rescate. No hay ninguna garantía legal de que proporcionen una clave que descifra el 100 % de los sistemas y datos, o incluso proporcionan una clave en absoluto. El proceso para descifrar estos sistemas usa herramientas de ataques de crecimiento local, que suele ser un proceso manual y torpe.
Pagar para evitar la divulgación
Los atacantes exigen el pago a cambio de no publicar datos confidenciales o vergonzosos a la web oscura (otros delincuentes) o al público en general.
Para evitar ser forzado al pago (la situación rentable para los atacantes), la acción más inmediata y eficaz que puede realizar es asegurarse de que su organización puede restaurar toda la empresa desde el almacenamiento inmutable, que ni el atacante ni usted pueden modificar.
Identificar los activos más confidenciales y protegerlos a un nivel superior de garantía también es fundamental, pero es un proceso más largo y difícil de ejecutar. No queremos que retesalte otras áreas en las fases 1 o 2, pero le recomendamos que el proceso se inicia al reunir a partes interesadas de negocios, TI y seguridad para hacer y responder preguntas como:
- ¿Qué activos empresariales serían los más dañinos si están en peligro? Por ejemplo, ¿qué activos estarían dispuestos los líderes empresariales a pagar una demanda de extorsión si los atacantes los controlaran?
- ¿Cómo se traducen estos activos empresariales a activos de TI (archivos, aplicaciones, bases de datos, servidores, etc.)?
- ¿Cómo podemos proteger o aislar estos activos para que los atacantes con acceso al entorno de TI general no puedan acceder a ellos?
Copias de seguridad seguras
Debe asegurarse de que los sistemas críticos y sus datos se copian y las copias de seguridad están protegidas contra la eliminación deliberada o el cifrado por parte de un atacante.
Los ataques a las copias de seguridad se centran en paralizar la capacidad de respuesta de su organización sin pagar, con frecuencia dirigida a las copias de seguridad y a la documentación clave necesaria para la recuperación para obligarle a pagar las demandas de extorsión.
La mayoría de las organizaciones no protegen los procedimientos de copia de seguridad y restauración contra este nivel de orientación intencionada.
Nota
Esta preparación también mejora la resistencia a desastres naturales y ataques rápidos como WannaCry y (Not)Petya.
El plan de copia de seguridad y restauración para proteger contra ransomware aborda qué hacer antes de un ataque para proteger sus sistemas empresariales críticos y durante un ataque para garantizar una recuperación rápida de las operaciones empresariales.
Responsabilidades de los miembros del programa y del proyecto
En esta tabla se describe la protección general de los datos contra ransomware en términos de una jerarquía de administración de proyectos/patrocinios/administración de programas para determinar e impulsar resultados.
| Cliente potencial | Implementor | Responsabilidad |
|---|---|---|
| CENTRAL IT Operaciones o CIO | Patrocinio ejecutivo | |
| Cliente potencial del programa desde la infraestructura de TI central | Impulsar resultados y colaboración entre equipos | |
| CENTRAL IT Infraestructura/copia de seguridad | Habilitar copia de seguridad de infraestructura | |
| CENTRAL IT Productividad /Usuario final | Habilitar OneDrive copia de seguridad | |
| Arquitectura de seguridad | Informar sobre configuración y estándares | |
| Directiva y estándares de seguridad | Actualizar estándares y documentos de directiva | |
| Administración de cumplimiento de seguridad | Supervisar para garantizar el cumplimiento normativo | |
Lista de comprobación de implementación
Aplique estos procedimientos recomendados para proteger su infraestructura de copia de seguridad.
| Listo | Tarea | Descripción |
|---|---|---|
| Realice una copia de seguridad de todos los sistemas críticos automáticamente en una programación normal. | Le permite recuperar datos hasta la última copia de seguridad. | |
| Ejercer periódicamente su plan de continuidad empresarial/recuperación ante desastres (BC/DR). | Garantiza la recuperación rápida de las operaciones empresariales al tratar un ataque de ransomware o extorsión con la misma importancia que un desastre natural. | |
| Proteja las copias de seguridad contra la eliminación deliberada y el cifrado: - Protección segura: requiere pasos fuera de banda (MFA o PIN) antes de modificar las copias de seguridad en línea (como Azure Backup). - Protección más segura: almacene copias de seguridad en almacenamiento inmutable en línea (como Blob de Azure)o totalmente sin conexión o fuera del sitio. |
Las copias de seguridad accesibles por los atacantes se pueden hacer inutilizables para la recuperación empresarial. | |
| Proteja los documentos de soporte necesarios para la recuperación, como los documentos del procedimiento de restauración, la base de datos de administración de configuración (CMDB) y los diagramas de red. | Los atacantes se dirigirán deliberadamente a estos recursos porque afectan a su capacidad de recuperación. |
Resultados de la implementación y escalas de tiempo
En un plazo de 30 días, asegúrese de que el tiempo medio para recuperar (MTTR) cumpla con su objetivo de BC/DR, medido durante simulaciones y operaciones del mundo real.
Protección de datos
Debe implementar la protección de datos para garantizar una recuperación rápida y confiable de un ataque ransomware y bloquear algunas técnicas de los atacantes.
La extorsión ransomware y los ataques destructivos solo funcionan cuando se pierde todo el acceso legítimo a los datos y sistemas. Asegurarse de que los atacantes no puedan quitar su capacidad para reanudar operaciones sin pago protegerá su empresa y minará el incentivo monetario para ataques a su organización.
Responsabilidades de los miembros del programa y del proyecto
En esta tabla se describe la protección general de los datos de su organización contra ransomware en términos de una jerarquía de administración de proyectos/patrocinios/programas para determinar e impulsar resultados.
| Cliente potencial | Implementor | Responsabilidad |
|---|---|---|
| CENTRAL IT Operaciones o CIO | Patrocinio ejecutivo | |
| Cliente principal del programa de Seguridad de datos | Impulsar resultados y colaboración entre equipos | |
| CENTRAL IT Productividad /Usuario final | Implementar cambios en Microsoft 365 espacio empresarial para OneDrive y carpetas protegidas | |
| CENTRAL IT Infraestructura/copia de seguridad | Habilitar copia de seguridad de infraestructura | |
| Empresa/aplicación | Identificar activos empresariales críticos | |
| Arquitectura de seguridad | Informar sobre configuración y estándares | |
| Directiva y estándares de seguridad | Actualizar estándares y documentos de directiva | |
| Administración de cumplimiento de seguridad | Supervisar para garantizar el cumplimiento normativo | |
| Equipo de educación para usuarios | Asegurarse de que las instrucciones para los usuarios reflejen las actualizaciones de directivas | |
Lista de comprobación de implementación
Aplique estos procedimientos recomendados para proteger los datos de su organización.
| Listo | Tarea | Descripción |
|---|---|---|
| Migre su organización a la nube: - Mover datos de usuario a soluciones en la nube como OneDrive/SharePoint aprovechar las capacidades de la papelera de reciclaje y el control de versiones. - Educar a los usuarios sobre cómo recuperar sus archivos por sí mismos para reducir los retrasos y el costo de recuperación. |
Los datos de usuario en la nube de Microsoft se pueden proteger con características de seguridad y administración de datos integradas. | |
| Designar carpetas protegidas. | Dificulta que las aplicaciones no autorizadas modifiquen los datos de estas carpetas. | |
| Revise sus permisos: - Descubrir permisos generales de escritura y eliminación en recursos compartidos de archivos, SharePoint y otras soluciones. Broad se define como muchos usuarios que tienen permisos de escritura o eliminación para datos críticos para la empresa. - Reducir los permisos generales al cumplir los requisitos de colaboración empresarial. - Auditar y supervisar para asegurarse de que no vuelvan a aparecer los permisos generales. |
Reduce el riesgo de las actividades ransomware que permiten el acceso general. | |
Paso siguiente
Continúe con la fase 2 para limitar el alcance del daño de un ataque protegiendo roles privilegiados.
Recursos de ransomware adicionales
Información clave de Microsoft:
- La creciente amenaza de ransomware, entrada de blog de Microsoft On the Issues el 20 de julio de 2021
- Ransomware operado por humanos
- Proteger rápidamente contra ransomware y extorsión
- Informe de defensa digital de Microsoft 2021 (vea las páginas 10-19)
- Ransomware: Un informe generalizado y continuo de análisis de amenazas en el portal Microsoft 365 Defender amenazas
- Método y procedimientos recomendados para ransomware DART de Microsoft
Microsoft 365:
- Implementar protección contra ransomware para su Microsoft 365 inquilino
- Maximizar resistencia a ransomware con Azure y Microsoft 365
- Recuperarse de un ataque ransomware
- Protección contra malware y ransomware
- Proteger el equipo Windows 10 de ransomware
- Administrar ransomware en SharePoint Online
- Informes de análisis de amenazas para ransomware en el Microsoft 365 Defender web
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximizar resistencia a ransomware con Azure y Microsoft 365
- Plan de copia de seguridad y restauración para protegerse contra ransomware
- Ayudar a proteger contra ransomware con Microsoft Azure copia de seguridad (vídeo de 26 minutos)
- Recuperarse de un compromiso de identidad sistémico
- Detección avanzada de ataques multietapas en Microsoft Sentinel
- Detección de fusión para ransomware en Microsoft Sentinel
Microsoft Defender para aplicaciones en la nube:
Entradas de blog del equipo de seguridad de Microsoft:
Una guía para la lucha contra ransomware operado por humanos: Parte 1 (septiembre de 2021)
Pasos clave sobre cómo el equipo de detección y respuesta (DARDO) de Microsoft lleva a cabo investigaciones de incidentes de ransomware.
Una guía para la lucha contra ransomware operado por humanos: Parte 2 (septiembre de 2021)
Recomendaciones y procedimientos recomendados.
3 pasos para evitar y recuperarse del ransomware (septiembre de 2021)
-
Vea la sección Ransomware.
Ataques de ransomware operados por humanos: un desastre prevenible (marzo de 2020)
Incluye análisis en cadena de ataques de ataques reales.
Respuesta ransomware: ¿pagar o no pagar? (Diciembre de 2019)
Norsk Hydro responde al ataque ransomware con transparencia (diciembre de 2019)