Es la noticia que ninguna organización quiere escuchar: usted ha sido víctima de un ransomware ataque, y ahora te preguntas qué hacer a continuación. 

Lo primero que debes tener en cuenta es que no estás solo. Más del 17 por ciento de todos los ciberataques involucran ransomware-un tipo de el malware que mantiene los datos o el dispositivo de la víctima bloqueados a menos que la víctima pague un rescate al hacker. De las 1,350 organizaciones encuestadas en un estudio reciente, El 78 por ciento sufrió un ataque de ransomware exitoso (el enlace se encuentra fuera de ibm.com).

Los ataques de ransomware utilizan varios métodos, o vectores, para infectar redes o dispositivos, incluido engañar a las personas para que hagan clic en enlaces maliciosos utilizando suplantación de identidad correos electrónicos y explotar vulnerabilidades en software y sistemas operativos, como el acceso remoto. Los ciberdelincuentes suelen solicitar pagos de rescate en Bitcoin y otras criptomonedas difíciles de rastrear, proporcionando a las víctimas claves de descifrado en el momento del pago para desbloquear sus dispositivos.

La buena noticia es que, en caso de un ataque de ransomware, existen pasos básicos que cualquier organización puede seguir para ayudar a contener el ataque, proteger la información confidencial y garantizar la continuidad del negocio minimizando el tiempo de inactividad.

Respuesta inicial

Aislar los sistemas afectados 

Debido a que las variantes de ransomware más comunes escanean las redes en busca de vulnerabilidades que se propaguen lateralmente, es fundamental que los sistemas afectados se aíslen lo más rápido posible. Desconecte Ethernet y desactive WiFi, Bluetooth y cualquier otra capacidad de red para cualquier dispositivo infectado o potencialmente infectado.

Otros dos pasos a considerar: 

• Desactivar tareas de mantenimiento. Desactive inmediatamente las tareas automáticas (por ejemplo, eliminar archivos temporales o rotar registros) en los sistemas afectados. Estas tareas pueden interferir con los archivos y obstaculizar la investigación y recuperación del ransomware. 
• Desconectar copias de seguridad. Debido a que muchos tipos nuevos de ransomware apuntan a las copias de seguridad para dificultar la recuperación, mantenga las copias de seguridad de los datos fuera de línea. Limite el acceso a los sistemas de respaldo hasta que haya eliminado la infección.

Fotografiar la nota de rescate

Antes de continuar con cualquier otra cosa, tome una foto de la nota de rescate, idealmente fotografiando la pantalla del dispositivo afectado con un dispositivo separado, como un teléfono inteligente o una cámara. La foto acelerará el proceso de recuperación y ayudará a la hora de presentar un informe policial o un posible reclamo ante su compañía de seguros.

Notificar al equipo de seguridad.

Una vez que haya desconectado los sistemas afectados, notifique a su seguridad informatica equipo de ataque. En la mayoría de los casos, los profesionales de seguridad de TI pueden asesorar sobre los próximos pasos y activar la seguridad de su organización. respuesta al incidente plan, es decir, los procesos y tecnologías de su organización para detectar y responder a los ciberataques.

No reinicie los dispositivos afectados

Cuando se trata de ransomware, evite reiniciar los dispositivos infectados. Los piratas informáticos saben que este podría ser su primer instinto, y algunos tipos de ransomware detectan intentos de reinicio y causan daños adicionales, como dañar Windows o eliminar archivos cifrados. Reiniciar también puede dificultar la investigación de ataques de ransomware: se almacenan pistas valiosas en la memoria de la computadora, que se borra durante el reinicio. 

En su lugar, ponga los sistemas afectados en hibernación. Esto guardará todos los datos en la memoria en un archivo de referencia en el disco duro del dispositivo, conservándolos para análisis futuros.

Erradicación 

Ahora que ha aislado los dispositivos afectados, probablemente esté ansioso por desbloquearlos y recuperar sus datos. Si bien erradicar las infecciones de ransomware puede ser complicado de gestionar, especialmente las cepas más avanzadas, los siguientes pasos pueden iniciarle en el camino hacia la recuperación. 

Determinar la variante de ataque.

Varias herramientas gratuitas pueden ayudar a identificar el tipo de ransomware que infecta sus dispositivos. Conocer la cepa específica puede ayudarte a comprender varios factores clave, incluido cómo se propaga, qué archivos bloquea y cómo puedes eliminarla. Simplemente cargue una muestra del archivo cifrado y, si los tiene, una nota de rescate y la información de contacto del atacante. 

Los dos tipos más comunes de ransomware son los bloqueadores de pantalla y los cifradores. Los bloqueadores de pantalla bloquean su sistema pero mantienen sus archivos seguros hasta que usted paga, mientras que los cifradores son más difíciles de abordar ya que encuentran y cifran todos sus datos confidenciales y solo los descifran después de que usted realiza el pago del rescate. 

Buscar herramientas de descifrado

Una vez que haya identificado la cepa de ransomware, considere buscar herramientas de descifrado. También existen herramientas gratuitas para ayudar con este paso, incluidos sitios como No más de Ransom. Simplemente ingrese el nombre de la cepa de ransomware y busque el descifrado correspondiente. 

Descargue la guía definitiva sobre ransomware

Recuperación 

Si ha tenido la suerte de eliminar la infección de ransomware, es hora de iniciar el proceso de recuperación.

Comience actualizando las contraseñas de su sistema y luego recupere sus datos de las copias de seguridad. Siempre debes intentar tener tres copias de tus datos en dos formatos diferentes, con una copia almacenada fuera del sitio. Este enfoque, conocido como regla 3-2-1, le permite restaurar sus datos rápidamente y evitar pagos de rescate. 

Después del ataque, también debería considerar realizar una auditoría de seguridad y actualizar todos los sistemas. Mantener los sistemas actualizados ayuda a evitar que los piratas informáticos aprovechen las vulnerabilidades encontradas en software antiguo, y la aplicación periódica de parches mantiene sus máquinas actualizadas, estables y resistentes a las amenazas de malware. También es posible que desee perfeccionar su plan de respuesta a incidentes con las lecciones aprendidas y asegurarse de haber comunicado el incidente lo suficiente a todas las partes interesadas necesarias. 

Autoridades notificantes 

Debido a que el ransomware es una extorsión y un delito, siempre debe informar los ataques de ransomware a las autoridades encargadas de hacer cumplir la ley o al FBI. 

Es posible que las autoridades puedan ayudarlo a descifrar sus archivos si sus esfuerzos de recuperación no funcionan. Pero incluso si no pueden guardar sus datos, es fundamental que cataloguen la actividad cibercriminal y, con suerte, ayuden a otros a evitar destinos similares. 

Es posible que algunas víctimas de ataques de ransomware también estén obligadas por ley a informar sobre infecciones de ransomware. Por ejemplo, el cumplimiento de HIPAA generalmente requiere que las entidades de atención médica informen cualquier violación de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.

Decidir si pagar 

Decidir si se debe realizar un pago de rescate Es una decisión compleja. La mayoría de los expertos sugieren que sólo debería considerar pagar si ha probado todas las demás opciones y la pérdida de datos sería significativamente más dañina que el pago.

Independientemente de su decisión, siempre debe consultar con funcionarios encargados de hacer cumplir la ley y profesionales de ciberseguridad antes de seguir adelante.

Pagar un rescate no garantiza que recuperará el acceso a sus datos o que los atacantes cumplirán sus promesas; las víctimas a menudo pagan el rescate, pero nunca reciben la clave de descifrado. Además, el pago de rescates perpetúa la actividad cibercriminal y puede financiar aún más los delitos cibernéticos.

Prevención de futuros ataques de ransomware

Las herramientas de seguridad del correo electrónico y el software antivirus y antimalware son las primeras líneas de defensa fundamentales contra los ataques de ransomware.

Las organizaciones también dependen de herramientas avanzadas de seguridad de endpoints como firewalls, VPN y autenticación de múltiples factores como parte de una estrategia más amplia de protección de datos para defenderse contra las violaciones de datos.

Sin embargo, ningún sistema de ciberseguridad está completo sin capacidades de última generación de detección de amenazas y respuesta a incidentes para detectar a los ciberdelincuentes en tiempo real y mitigar el impacto de los ciberataques exitosos.

IBM Security® QRadar® SIEM aplica aprendizaje automático y análisis del comportamiento del usuario (UBA) al tráfico de red junto con registros tradicionales para una detección de amenazas más inteligente y una solución más rápida. En un estudio reciente de Forrester, QRadar SIEM ayudó a los analistas de seguridad a ahorrar más de 14,000 horas durante tres años al identificar falsos positivos, reducir el tiempo dedicado a investigar incidentes en un 90 % y reducir el riesgo de sufrir una violación de seguridad grave en un 60 %.* Con QRadar SIEM, los equipos de seguridad con recursos limitados tienen la visibilidad y el análisis que necesitan para detectar amenazas rápidamente y tomar medidas inmediatas e informadas para minimizar los efectos de un ataque.

Más información sobre IBM QRadar SIEM

*Los Impacto económico totalTM de IBM Security QRadar SIEM es un estudio encargado por Forrester Consulting en nombre de IBM, abril de 2023. Basado en los resultados proyectados de una organización compuesta modelada a partir de 4 clientes de IBM entrevistados. Los resultados reales variarán según las configuraciones y condiciones del cliente y, por lo tanto, generalmente no se pueden proporcionar los resultados esperados.