Una "característica" molesta del ransomware es su capacidad para cifrar y bloquear a los usuarios de las computadoras de la empresa, ya que esto interrumpe procesos de trabajo importantes.
¿El resultado? Según el Informe Data Breach Report 2024 de IBM, el costo promedio de un ataque de ransomware es de 4.91 millones de dólares, y aumenta en función de si las fuerzas del orden han estado implicadas. Además de los costos financieros, la recuperación tras un ataque puede llevar días, meses o incluso años, dependiendo de factores como la persistencia de un actor de amenazas en los sistemas afectados o de cuán preparados están los equipos de seguridad.
Por lo tanto, la recuperación y los gastos relacionados son problemáticos, incluso hasta el punto de que una empresa pague un rescate y confíe en la buena voluntad del atacante para obtener la clave de descifrado. Jugar con estas probabilidades puede dejar fácilmente a las organizaciones en una situación crítica. Pero ¿y si existiera una forma de escapar de las garras de este costoso esquema de cifrado?
Un panorama crítico para empresas de todos los tamaños
Debido a la naturaleza evolutiva del ransomware y a la entrada o reaparición de actores de amenazas respaldados por Estados-nación, el panorama de amenazas parece decididamente desfavorable para las pequeñas y medianas empresas (PyMEs) y para empresas e infraestructuras estatales, ya que la tasa de incidencia sigue aumentando (actualmente representan el 23% de todas las brechas según Verizon).
La situación de las PyMEs es especialmente delicada debido a la escasez de fondos destinados a la ciberseguridad. De hecho, las pequeñas y medianas empresas están en la mira de los grupos de ransomware (en la región de Asia-Pacífico, ESET descubrió que 1 de cada 4 ataques contra PyMEs fueron ransomware).
Amenazas como el ransomware buscan apalancarse presionando a los líderes de las organizaciones para que paguen un elevado rescate para recuperar sus sistemas. Además, los ciberdelincuentes también pueden intentar borrar las copias de seguridad de los datos para impedir una recuperación "sin ayuda". Sin embargo, confiar en la buena voluntad de los atacantes para reestablecer un sistema sería como hacer que una oveja confíe en un lobo para que no se la coma cuando tiene hambre.
Por eso, la mejor manera de evitar el ransomware es, en primer lugar, prevenirlo. ESET es consciente de que la prevención es el primer paso para el éxito de la ciberseguridad, como demuestran nuestros Casos de éxito de ESET Managed Detection and Response (ESET MDR)de la ESET Technology Conference 2024 (ETeC 2024), donde en uno de los casos, los equipos de seguridad de ESET fueron capaces de detener el ransomware Mallox en sus etapas más tempranas, antes de que pudiera causar algún daño. Asimismo, ESET Ransomware Shield se desarrolló previamente como parte del ESET Host-Based Intrusion Prevention System (HIPS), un módulo capaz de detectar y neutralizar ransomware en tiempo real.
En otras palabras, aquellas empresas que no consideren la prevención como el enfoque principal de su estrategia de defensa, igualmente deberían evitar la “recuperación asistida” por criminales —es decir, pagar un rescate—, y centrar sus esfuerzos en mejorar sus tácticas de remediación.
Recuperación típica después de un ataque de ransomware: ¿una batalla perdida?
Hay tres principales formas de responder al cifrado de un ransomware:
- Restaurar los sistemas a partir de copias de seguridad (backup).
- Esperar a que se publique una clave de descifrado, a menudo proporcionada por investigadores de seguridad.
- Pagar un rescate y esperar a que se proporcione una clave de descifrado.
El problema es que ninguno de estos enfoques es infalible. Después de la prevención, las copias de seguridad son la segunda mejor opción: una gran carta para jugar cuando se necesita restaurar los sistemas a un estado estable anterior después de un ataque de malware, una mala actualización o incluso al pasar a un nuevo dispositivo, lo que permite retroceder en el tiempo en los sistemas, por así decirlo. Pero los backups también presentan sus propios problemas: incluso cuando se configuran correctamente, no garantizan la conservación de la totalidad de los datos.
El siguiente elemento de la lista son las claves de descifrado públicas. Si bien es muy positivo que los investigadores de seguridad, como los que participan en la iniciativa No More Ransom (incluido ESET), realicen ingeniería inversa del ransomware, esto requiere mucho tiempo y esfuerzo. A efectos de recuperación, una empresa podría pasar años con sus sistemas bloqueados, y esto no es un escenario positivo desde el punto de vista económico, ¿verdad?
Por último, no pagar el rescate es el verdadero consejo que dan los expertos de seguridad. Sin embargo, si se está lo suficientemente desesperado como para pagarlo, esto siempre debe hacerse junto con la presencia de las fuerzas de seguridad y aseguradoras, a efectos de responsabilidad y mantenimiento de registros.
Si pudiéramos retroceder en el tiempo tras un ataque de ransomware
Centrémonos un poco más en las copias de seguridad. Aunque son útiles, también pueden ser el blanco de ataque de los cibercriminales. Si se eliminan o modifican las copias de seguridad de una empresa, esta no podrá volver a funcionar con normalidad, por lo que será más propensa a pagar un rescate para restaurar sus sistemas.
En un ejemplo reciente, el equipo de ESET MDR detectó a un actor de amenazas que quería explotar una vulnerabilidad en el software recuperación y backup para eliminar las copias de seguridad. Una táctica similar ocurre cuando los atacantes buscan dañar o cifrar los backups, lo que sucede en el 94% de los casos. Según se informa, las empresas que no protegen debidamente sus backups enfrentan costos de recuperación mucho más elevados, casi el doble.
Cada amenaza requiere un enfoque específico, especialmente a medida que evoluciona, y debido a que el ransomware cada vez con más frecuencia apunta a las copias de seguridad, ESET está tomando medidas ante esta realidad y potenciando la tecnología de Ransomware Shield, su escudo contra Ransomware, con una funcionalidad adicional llamada ESET Ransomware Remediation.
¿Qué es ESET Ransomware Remediation?
Minimizar el impacto en el negocio en caso de un ataque de ransomware es primordial. Por ello, ESET Ransomware Remediation (RR) es una funcionalidad que es una combinación de prevención y remediación, proporcionando un enfoque integral de múltiples etapas para combatir el cifrado.
Todo comienza con la tecnología ESET Ransomware Shield (RS), que se activa al detectar acciones sospechosas. Al igual que otros sistemas de detección de comportamiento, como HIPS, funciona en conjunto con las tecnologías de ESET LiveSense, diseccionando y analizando el malware hasta su núcleo. Si se sospecha que se trata de un ransomware, RS lo marca e inicia la corrección.
Luego entra en acción Ransomware Remediation, que comienza a crear copias de seguridad de cualquier archivo impactado por el proceso que genera la alerta (antes de que este pueda realizar modificaciones). Continuará haciéndolo hasta que RS decida que el proceso es seguro, momento en el que se descarta la copia de seguridad. Si no es así, RS decide que el proceso es malicioso, lo elimina y restaura a los archivos de la copia de seguridad.
Este proceso de copia de seguridad es mucho más robusto, ya que, a diferenciade las soluciones basadas en Windows Volume Shadow Copy, no es un servicio local del que puedan abusar los atacantes. Ransomware Remediation tiene su propia sección de almacenamiento protegida en la unidad donde los archivos no pueden ser modificados o dañados, ni la copia de seguridad puede ser eliminada por el atacante. Esto resuelve y bloquea activamente uno de los fallos más comunes de las copias de seguridad regulares tras un ataque de ransomware.
Días del futuro pasado
La función del administrador en el proceso de Ransomware Remediation es entender las capacidades y agregar tipos de archivos al filtro que RR aplica al crear copias de seguridad. El único límite a los respaldos es el tamaño del disco (y un tamaño máximo de 30 MB por archivo).
Si bien ESET RR es muy potente, tener otras copias de seguridad como se describe en la regla 3-2-1 sigue siendo una práctica recomendada: Recuerda siempre tener al menos tres copias diferentes de los datos (incluido el original), dos tipos de medios diferentes (disco, memoria) y una copia externa (nube).
En definitiva, el ransomware puede ser muy sofisticado y problemático, pero aun así se puede combatir. Y gracias a las copias de seguridad seguras, viajar en el tiempo ya no es tan ciencia ficción.
Para obtener más información sobre cómo funciona ESET Ransomware Remediación, visite nuestra página web