¿No quieres pagar rescates a las bandas? Pruebe sus copias de seguridad. – Krebs sobre seguridad


Look at los comentarios de prácticamente cualquier historia sobre un ataque de ransomware y es casi seguro que encontrará la opinión de que la organización víctima podría haber evitado pagar a sus extorsionadores si solo hubieran tenido copias de seguridad de datos adecuadas. Pero la fea verdad es que hay muchas razones no obvias por las que las víctimas terminan pagando incluso cuando han hecho casi todo bien desde la perspectiva de la copia de seguridad de datos.

Esta historia no trata sobre lo que hacen las organizaciones en respuesta a los ciberdelincuentes que retienen sus datos como rehenes, lo que se ha convertido en una de las mejores prácticas entre la mayoría de los principales grupos criminales de ransomware en la actualidad. Más bien, se trata de por qué las víctimas aún pagan por una clave necesaria para descifrar sus sistemas, incluso cuando tienen los medios para restaurar todo desde las copias de seguridad por su cuenta.

Los expertos dicen que la razón principal por la que los objetivos de ransomware y / o sus proveedores de seguros aún pagan cuando ya tienen copias de seguridad confiables es que nadie en la organización de la víctima se molestó en probar de antemano cuánto tiempo podría llevar este proceso de restauración de datos.

«En muchos casos, las empresas tienen copias de seguridad, pero nunca antes intentaron restaurar su purple a partir de copias de seguridad, por lo que no tienen strategy de cuánto tiempo llevará», dijo. Fabian Wosar, director de tecnología en Emsisoft. “De repente, la víctima se da cuenta de que tiene un par de petabytes de datos para restaurar a través de World-wide-web, y se da cuenta de que incluso con sus conexiones rápidas, se necesitarán tres meses para descargar todos estos archivos de respaldo. Muchos equipos de TI nunca hacen ni siquiera un cálculo inicial de cuánto tardarían en restaurar desde una perspectiva de velocidad de datos «.

Wosar dijo que el siguiente escenario más común involucra a víctimas que tienen copias de seguridad encriptadas fuera del sitio de sus datos, pero descubren que la clave electronic necesaria para descifrar sus copias de seguridad estaba almacenada en la misma purple nearby de intercambio de archivos que fue encriptada por el ransomware.

El tercer impedimento más común para que las organizaciones víctimas puedan confiar en sus copias de seguridad es que los proveedores de ransomware también logran corromper las copias de seguridad.

“Eso todavía es algo raro”, dijo Wosar. “Sucede, pero es más la excepción que la regla. Desafortunadamente, todavía es bastante común terminar teniendo copias de seguridad de alguna forma y una de estas tres razones impide que sean útiles «.

Invoice Siegel, CEO y cofundador de Coveware, una empresa que negocia pagos de ransomware para las víctimas, dijo que la mayoría de las empresas que pagan no tienen copias de seguridad configuradas correctamente o no han probado su capacidad de recuperación o la capacidad de recuperar sus copias de seguridad frente al escenario del ransomware.

«Puede ser (que) tengan 50 petabytes de copias de seguridad … pero está en una … instalación a 30 millas de distancia … Y luego comienzan (restaurando sobre un cable de cobre desde esas copias de seguridad remotas) y va muy lento … y alguien se retira una calculadora y se da cuenta de que se necesitarán 69 años (para restaurar lo que necesitan) ”, dijo Siegel. Kim Zetter, un veterano Cableado reportero que lanzó recientemente un boletín de ciberseguridad en Substack.

«O hay muchas aplicaciones de software package que realmente united states of america para hacer una restauración, y algunas de estas aplicaciones están en su red (que se cifraron)», continuó Siegel. «Así que estás como, &#39Oh, genial. Tenemos copias de seguridad, los datos están ahí, pero la aplicación que realmente hace la restauración está encriptada &#39. Por lo tanto, hay todas estas pequeñas cosas que pueden hacerle tropezar, que le impiden hacer una restauración cuando no practica «.

Wosar dijo que todas las organizaciones deben probar sus copias de seguridad y desarrollar un plan para priorizar la restauración de los sistemas críticos necesarios para reconstruir su red.

«En muchos casos, las empresas ni siquiera conocen sus diversas dependencias de pink, por lo que no saben en qué orden deben restaurar los sistemas», dijo. «Ellos no saben de antemano, &#39Oye, si nos golpean y todo falla, estos son los servicios y sistemas que son prioridades para una purple básica que podemos construir&#39».

Wosar dijo que es esencial que las organizaciones analicen sus planes de respuesta a brechas en ejercicios periódicos de mesa, y que es en estos ejercicios donde las empresas pueden comenzar a refinar sus planes. Por ejemplo, dijo, si la organización tiene acceso físico a su centro de datos de respaldo remoto, podría tener más sentido desarrollar procesos para enviar físicamente los respaldos a la ubicación de restauración.

“Muchas víctimas se ven enfrentadas a tener que reconstruir su pink de una manera que no anticiparon. Y ese no suele ser el mejor momento para tener este tipo de planes. Es por eso que los ejercicios de mesa son increíblemente importantes. Recomendamos crear un libro de jugadas completo para que sepa lo que debe hacer para recuperarse de un ataque de ransomware «.



Enlace a la noticia unique