Una guía paso a paso para …


Incluso antes de la pandemia de COVID-19, los ataques de ransomware estaban en aumento y cada vez más caros. Ahora su organización de amigos ha sido víctima y va a pagar. Así es como deberían manejarlo.

Es martes por la mañana. Llegas a tu escritorio (en la sala de estar) y, oh no … malas noticias.

No solo su gato está dormido en su teclado nuevamente, sino que cuando intenta iniciar sesión en su crimson, un mensaje en la pantalla confirma lo peor: su organización ha sido atacada con ransomware. Para empeorar las cosas, sus copias de seguridad se están ejecutando, digamos, solo un tad detrás.

Cue gritos internos. (Su cónyuge está en una llamada de Zoom a unos metros de distancia, por lo que debe estar callado).

Hablando en serio. Como profesional de infosec, ¿qué haces ahora?

Los ataques de ransomware han ido en aumento. Esto period cierto incluso antes de que la pandemia de COVID-19 obligara a los trabajadores a irse a casa, enviando una gran cantidad de nuevas conexiones vulnerables en línea. Según los datos suministrados a Los New York Moments por la empresa de seguridad Emsisoft205,280 organizaciones enviaron archivos que fueron pirateados en un ataque de ransomware en 2019, un aumento del 41% año tras año.

También se están volviendo más caros: Datos del primer trimestre reportados por la firma de ciberseguridad Coveware muestra que los pagos promedio de rescate aumentaron un 33% desde el último trimestre, a $ 111,605.

Si bien es posible que no visualice un escenario en el que su empresa cedería al pago del rescate, sucede con mayor frecuencia a medida que las organizaciones sopesan los riesgos y los beneficios y descubren que no tienen otra opción.

Entonces di que esta es tu realidad. Dim Reading habló con varios expertos en ciberseguridad para trazar el proceso paso a paso de pagar el rescate y lo que debe saber para completar el proceso.

Paso 1: evaluar la situación
Una vez que haya sido pirateado con ransomware, debe tomar medidas rápidas.

Lo primero que quiere saber, dice Jeff Horne, CSO de la compañía de seguridad cibernética Ordr, es si el ransomware se propaga a través de su purple, y luego evita que lo haga utilizando herramientas de detección y respuesta (XDR) o de respuesta a incidentes.

Una vez que haya hecho todo lo posible para aislar y sacar sus máquinas de la pink infectada, el siguiente paso es averiguar con qué está tratando, dice Horne. Para eso, solo realice una búsqueda very simple del ransomware específico en Google para ver de qué tipo es y «posteriormente, ¿hay un descifrador disponible para que no tenga que pagar ese rescate en absoluto?» él dice.

Horne dice que es posible encontrar la clave usted mismo, ya que a veces hay errores de programación en el código de ransomware por los cuales la clave queda expuesta antes de que los archivos se bloqueen. Otras veces, la misma clave se usa en los ataques. Eso significa que una víctima que paga el rescate permite que todos los demás descifren.

Pero supongamos que no puede encontrar fácilmente una clave de descifrado en Google, y no tiene procesos de copia de seguridad internos que le permitan recuperar todo por su cuenta. ¿Qué haces ahora?

Esto es cuando su organización necesita tomar decisiones críticas sobre si vale la pena pagar el rescate.

«He tenido una posición cambiante para cumplir con las demandas de extorsión», dice Charles Carmakal, vicepresidente sénior y director de tecnología de servicios estratégicos de la empresa de ciberseguridad Mandiant. «(Hay) muchas variables diferentes que querrás ver para pagar».

Las variables incluyen todo, desde si su pink en peligro podría tener un impacto product en la vida humana (por ejemplo, servicios de la ciudad, hospitales, and many others.) hasta si su organización puede permitirse perder los datos infectados.

Paso 2: solicite ayuda externa
Suponiendo que ha descartado sus opciones preferidas de encontrar claves de descifrado sueltas en Web, recuperar sus redes a través de soluciones sofisticadas de respaldo, o simplemente considerando la pérdida de datos, es hora de comenzar a comunicarse con su atacante.

Si su empresa tiene experiencia en seguridad interna y un suministro completo de criptomonedas, esta puede ser una tarea que puede manejar sin ayuda externa.

Si ese no es el caso, Mandiant&#39s Carmakal recomienda reclutar proveedores externos que se especialicen en la resolución de ataques de ransomware. Estas organizaciones poseen conocimientos sobre la credibilidad de los actores de amenazas y las posibilidades de que cooperen si se les paga, dice. Además, tienen bitcoins en reserva, por lo que es un proceso más rápido para pagar el rescate que si buscara comprar criptomonedas por su cuenta.

Paso 3: prueba los códigos de descifrado
Pero recuperarse de un ataque de ransomware no es tan uncomplicated como entregar bitcoins y recuperar su red. El proceso de ida y vuelta entre usted / su firma de terceros y el actor de la amenaza implica una serie de comunicaciones por correo electrónico donde generalmente hay un proceso de prueba que descifra una muestra de su pink para demostrar que realmente tienen las claves.

«Algunos permanecerán en el teléfono con usted mientras prueba la clave de descifrado. Una vez que haya verificado que funciona, cuelgan», dijo Christopher Kuhl, CISO y CTO del Dayton Young children&#39s Hospital, hablando de su experiencia en roles antes de unirse. el hospital, donde no ha visto ningún ataque de ransomware. «Lo loco es que muchos operadores de ransomware, los más grandes, tienen su propio centro de llamadas. Las personas allí son increíblemente amables y amigables. Reconocen que lo que están haciendo está mal».

Sin embargo, los operadores de ransomware más pequeños, o aquellos que solo quieren obtener sus bitcoins y escapar, enviarán la clave de descifrado y cerrarán sus cuentas de correo electrónico, agrega.

Nota al margen: no intente negociar
Si bien puede ser tentador (especialmente si las personas del centro de atención telefónica son amables), tanto Kuhl como Horne están de acuerdo en que no vale la pena ni en su mejor interés negociar la suma del rescate.

«Los precios que he visto o que otras personas han visto no han sido negociables. Así que nunca lo hemos intentado», dice Kuhl.

«Estás lidiando con una fiesta anónima», agrega Horne. «Literalmente no tienes apalancamiento. Si yo fuera un operador de ransomware y vinieras a mí y me dijeras, &#39En lugar de pagarme $ 1,000, vas a pagar $ 500&#39, bueno, ahora me debes $ 20,000».

Paso 4: descifrar la pink
Una vez que la muestra se ha probado con éxito, el monto del rescate pagado, algunas lágrimas derramadas y la clave de descifrado recibida, el resto no es fácil.

«El descifrado no es un proceso trivial. Podría llevar días, semanas, más de un mes», dice Carmakal. «Algunas organizaciones optan por pagar al actor de la amenaza y descifrar en paralelo en diferentes sistemas a medida que recuperan sistemas a través de copias de seguridad».

Los que pagan «están pagando para acelerar el proceso de recuperación», agrega.

Además, pagar el rescate no significa necesariamente que realmente obtendrá la clave de descifrado o que funcionará. Se sabe que los actores de amenazas recolectan sus bitcoins y proporcionan claves de descifrado falsas o claves para desbloquear solo una parte de la purple si se utilizó más de un tipo de ransomware.

Y en los casos en que se está utilizando ransomware más antiguo que los operadores han abandonado desde entonces, pagar significa que «está arrojando dinero a un balde que ya nadie supervisa», dice Horne. «Al ultimate del día, esos operadores ya no operan el backend, no intercambian claves, por lo que hay menos del 50% de posibilidades de recuperar sus datos».

Cómo evitar este desastre a toda costa
Pagar un rescate es, en standard, un juego perdido, ya que las organizaciones a menudo no tienen más remedio que desembolsar dinero en efectivo para acceder a redes que tal vez nunca puedan recuperarse realmente.

Una mejor opción es ser proactivo, lo que significa un liderazgo eficazmente convincente de que preferirían invertir en seguridad ahora que pagar después.

Kuhl dice que ha tenido éxito al convencer a los líderes empresariales de esto en el Hospital de Niños de Dayton.

«Los hemos convencido de que (el ransomware) es un riesgo empresarial, que afecta la seguridad del paciente, la vitalidad financiera y que necesitamos las herramientas y la capacitación adecuadas para disminuir la cantidad de tiempo desde la prevención hasta la detección», dice.

Ordr&#39s Horne agrega que la única forma de salir de esto es garantizar que exista una copia de seguridad adecuada que disminuya el daño que un ataque de ransomware podría causar a su organización.

«Una copia de seguridad robusta, como una estrategia de copia de seguridad N + 1 fuera de línea, es absolutamente crítica para las organizaciones», dice. «A las organizaciones que han sido atacadas por ransomware que tenían estrategias de copia de seguridad robustas no les importa si son atacadas por ransomware. La copia de seguridad con redundancia, y la copia de seguridad fuera de línea específicamente, es la forma de vencer esto en última instancia».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Nicole Ferraro es escritora, editora y narradora independiente con sede en la ciudad de Nueva York. Ha trabajado en b2b y medios tecnológicos de consumo durante más de una década, anteriormente como editora en jefe de World-wide-web Evolution y Long term Cities de UBM y como director editorial en The Webby Awards. … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia authentic