No es una novedad que el ransomware es el malware que más ha aumentado en los últimos tiempos. En buena parte impulsado por la fácil recompensa que nos ofrecen las criptomonedas, sin dejar rastro.
Según un informe ISTR 2017 de Symantec, han crecido todos los tipos de malware, aunque el ransomware es el que se lleva la palma. Se estima por varias fuentes (como malwarebytes), que el crecimiento has sido de un 93% y los ataques a empresas aumentaron hasta un 90%. Con semejante horizonte debemos tomar conciencia y como ocurre en otras facetas de nuestra vida, solemos pensar que estamos al margen, hasta que nos pasa a nosotros…
A finales de Noviembre de 2017 vimos como la variante Dharma con extensión .java dejaban en INUTIL cualquier opción BBDD de claves privadas existentes en las diversas asociaciones de lucha contra el RANSOMWARE, ya que las más actualizadas, datan de MARZO 2017…
Con nuestros sistemas, podemos destacar que este ATAQUE fue detectado por las firmas y contenidos se bloquearon en todos los clientes de Seguridad de Ingens Networks S.L. Y así lo constatamos después de hacer pruebas con un caso real…
No fue así en uno de nuestros casos de asistencia fugaz en diciembre, donde nos pasaron desde una gran empresa de Telefonía Española (que no revelaremos su nombre) un cliente sin las medidas de seguridad perimetral y buenas practicas que nosotros predicamos e implantamos. El cliente fue atacado, infectado y además con permisos de administrador, que obviamente provoco la encriptación de todos los escritorios de un servidor Terminal Server y de las copias de seguridad, que tenían como SAN mapeadas en el mismo server y fueron completamente machacadas…
Nuestro objetivo siempre es IMPEDIR EL DESASTRE, pero en casos como este… ES RECUPERAR LA INFORMACIÓN
Solo hay 2 OPCIONES (la desencriptación queda descartada y no hay tiempo…)
1. Ir gestionando Recuperación por medio de RESCATE
2. Desinfección SERVER y trabajar opciones de recuperación de datos de las propias Maquinas (se puede ir viendo en paralelo) Con métodos físicos sobre disco, reconstructores de Raid, regeneradores de archivos borrados, shadow copy etc… etc…
Lo primero es tranquilizar al cliente, asumir las riendas de TODO el proceso incluido el pago “si aplica”, evitando que sus técnicos con la mejor intención, compliquen más el escenario… Una vez verificamos que no hay más caminos, en paralelo analizamos la naturaleza del rescate, y ver como negociar y de qué forma evitar que te dejen COLGADO (porque los malos, tienen muchas opciones y van a lo fácil) es vital para llevar a buen puerto la solución, tener experiencia en estos casos.
Esta variante, Dharma NO ES AUTOMATIZADA con un counter, aquí interlocutamos mediante mail con el secuestrador… Lo que complica mucho más la psicología del caso y la delicadeza del mismo…
Recordar que ellos estiman que solo el 5% de las empresas no tienen copias (aprox…) y por tanto no sentirán PUDOR en abandonar la negociación… Penando que te recuperaras con tus BACKUPS.
Solo os diremos que cuantas más PISTAS y opciones demos al Hacker más personalizara el caso, a peor… O no…
En este caso, el cliente llevaba 6 horas sin recibir respuesta a sus mails… Y tenía explicación, porque se cometían errores fundamentales, en la negociación, por lo que la interlocución estaba en vía muerta y probablemente descartada… Como decimos, ellos van a lo fácil… Pay me ASAP & forget it…
Si has sufrido algo parecido…
Si no quieres pasar por esto…
Si te interesa tener el Disaster Recorvery más rápido posible…
Si eres de los que prefiere prevenir que curar…
¡Contacta con nosotros y te ayudaremos en todo!