Esta es una pregunta que cuando suele hacerse ya es demasiado tarde, sin embargo, es importante saber cómo actuar ante estos eventos que suelen ser catastróficos para las empresas.
Este artículo fue escrito basándose en las experiencias de nuestra compañía entendiendo este tipo de incidentes informáticos en el sector financiero y productivo del país. Algunos consejos fueron tomados del libro “Ransomware – Defending against digital extortion de la editorial O’Reilly”.
¿Qué es ransomware?
El ransomware más que un tipo de malware (software malicioso) es una táctica de extorsión por medios digitales, en el que un extorsionista secuestra el acceso a la información y pide una recompensa a cambio de dar acceso nuevamente a los archivos o computadores afectados, este tipo de tácticas suelen usar como medio de pago las Criptomonedas debido a que estas dan un alto nivel de anonimato.
¿Ya fui atacado, que debo hacer?
- Si su empresa no posee personal con conocimiento en el manejo de incidentes de seguridad de la información llámenos al (317) 373 – 8997, o escribanos al correo electrónico info@pralogy.co.
- Para el manejo de esta clase de incidentes lo primero que se debe realizar es contener el impacto del ransomware, normalmente las versionas más sofisticadas de esta clase de malware suele propagarse a todos los equipos de la red, y en algunas ocasiones a otras redes conectadas, como redes de servidores, redes interconectadas por medio de VPN o redes WAN. Por esto es muy importante que se detenga el virus lo antes posible; para esto debe identificar y asilar todos los equipos que tengan señales de estar afectados por el virus, para esto busque equipos que tenga: archivos cifrados, comportamientos anómalos, programas donde el software antivirus esta inoperativo o fue eliminado, también aislé todos los equipos que puedan ser vulnerables, por ejemplo equipos que no poseen software antivirus al día y con las firmas actualizadas, o actualizaciones de sistema y de seguridad al día. Posiblemente esto sea una tarea bastante dispendiosa, pero de esto depende que el daño no se incremente exponencialmente.
- Haga rápidamente un impacto del incidente informático, para esto es posible que pueda serle útil este formulario: Formulario de Diagnostico de Incidente de Seguridad, si requiere ayuda para diligenciar el formulario puede ponerse en contacto con nosotros a info@pralogy.co
- Identifique el ransomware: esto le ayudara a saber si existen herramientas que permitan descifrar la información secuestrada sin necesidad de pagar por la información, para esto vaya a ID Ransomware, y al subir los archivos que hay le solicita le dirá cuál es el tipo de ransomware que ataco su organización, con esto usted podrá verificar en nomoreransom!, si existe una herramienta que permita descifrar la información de acuerdo a tipo de virus identificado.
- Instale y corra la herramienta encontrada en el paso 5 y verifique si puede recuperar la información.
- Si en el paso anterior no encontró una herramienta que le pudiera ayudar, debe probar mediante herramientas de recuperación de datos a nivel de sistema de archivos. Recomendamos Parento Data Recovery Pro.
- En caso de ninguna de las herramientas del paso 6 y 7 le ayudara a recuperar la información, debe ejecutar sus planes de contingencia y recuperación a partir de los Backups existentes.
- Una vez haya realizado todos los pasos anteriores la alta gerencia debe determinar si la información que no se pudo ser recuperada es lo suficientemente importante como para decidir pagar a los extorsionistas. Lo recomendable siempre es no pagar, pero esto es una decisión de la alta gerencia. En caso de decidir pagar, nunca use medios oficiales de la empresa ni haga saber su nombre ni el de su empresa, así como tampoco provea ningún dato que permita a los criminales identificarlo o relacionarlo a su empresa. Esto debido a que son extorsionistas que pueden aprovechar la posición de saber la importancia de la empresa o de la información afectada. Debe tener en cuenta que usted puede negociar el precio con el extorsionista, en algunos casos, aunque inicialmente se solicita 1.5 Bitcoin por equipo, ha llegado a negociarse en un precio de 200 USD, esto dependerá de la posición del criminal y de su habilidad de negociación. La última recomendación es pagar por solo un equipo, debido a que no se conoce si el criminal, va a liberar la información usted podrá reducir los gastos en caso de salir estafado. Al pagar por solo un equipo usted podría estar seguro si el plan del extorsionista es regresar la información o no. Si después de pagar el extorsionista le da una herramienta para desbloquear la información, verifique si esta le pueda servir para desbloquear los demás sistemas afectados.
- Reportar el incidente: Es importante que se haga seguimiento por parte de las autoridades con el fin de encontrar tendencias y comportamientos de este tipo de delitos, así como también encontrar a los autores de los mismos.
Contacte al centro cibernético de la policía y exponga su caso, esto puede hacerlo a través del siguiente link caivirtual. también puede hacerlo mediante el chat virtual en www.cpp.gov.co, a través del correo electrónico caivirtual@correo.policia.gov.co o la línea telefónica 4266302 si esta en Bogotá.
- Después de hablar con las autoridades y del personal experto en manejo de incidentes usted deberá determinar si se abrirá un proceso de investigación que requiera informática forense, para lo cual usted deberá contratar un equipo informático forense que realice la investigación, sin embargo esto es un proceso costoso y largo para empresas pymes, así que si usted determina que lo que necesita es prontamente recuperar la operación, en la sección “Fase de Recuperación de Operación” detallamos el proceso.
- Algunos procedimientos más avanzados como identificar donde se originó el virus, como se propago desde donde fue lanzado el ataque pueden ayudarle a usted y a su empresa a elaborar planes que le permitan evitar o mitigar este tipo de afectaciones en el futuro, usted puede contratar este servicio con nosotros a través de la línea (317)373-8997.
FASE DE RECUPERACIÓN DE OPERACIÓN
- Aislar los equipos afectados.
- Formatear y reinstalar cada uno de los equipos afectados: La recomendación es formatear los equipos afectados no importa si son estaciones de trabajo o servidores, debido a que estos virus suelen dejar puertas traseras que muchas veces los sistemas de antivirus no pueden detectar.
- Después de formatear, usted debe instalar un software antivirus que tenga protección específicamente contra este tipo de virus informático.
- Conecte el equipo a la red.
- Actualice firmas y actualizaciones de todos los productos y del sistema operativo.
- Ejecute un análisis completo en el sistema, para detectar si el virus aún se encuentra en la red y se está intentado propagar. De ser así, determine el equipo de donde provienen el virus y aíslelo.