Cada 11 segundos se produce un nuevo ataque ransomware en el mundo, lo que traduce a unos 20 mil millones de dólares en pérdidas, un poco más de 80.000 dólares de coste medio en cada ataque. Como hemos comentado en más de una ocasión, no todas las empresas cuentan con la infraestructura de seguridad perimetral necesaria para evitar estos ataques, pero una vez ocurrida la encriptación de los datos, nos encontramos con que muchas de estas empresas tampoco tienen unas políticas de copias de seguridad capaces de revertir el ataque, perdiendo los datos o teniendo que negociar con los ciberdelicuentes en situaciones de clara vulnerabilidad.
La empresa Veeam Software, líderes en cuarta ocasión en el cuadrante mágico de Gartner 2020 en la categoría: Solución de Data Center Backup and Recovery, nos ofrecen su visión sobre el ransomware y nos explican cómo su producto puede ayudar a la seguridad de los datos de nuestra empresa.
Resumimos la información de "Veeam: Identify and protect yourself against ransomware", publicada originalmente en https://www.veeam.com/ransomware-protection.html
¿Qué es el Ransomware?
El Ransomware es un malware malicioso que detecta y encripta los archivos y el almacenamiento de una empresa.
A través de correos electrónicos con phishing, los usuarios pueden autorizar involuntariamente este ataque a la empresa.
Los ciberdelincuentes utilizan este malware para extorsionar a la compañía, a la que se le da la opción de pagar un rescate generalmente elevado para desencriptar los datos o confiar en una copia de seguridad para restaurarlos. Sin embargo, muchos ataques de ransomware también buscan todos los archivos y documentos de producción y de copia de seguridad. Al encriptarlos también, el ataque no deja a la empresa otra opción que cumplir con las exigencias de los ciberdelincuentes.
Ejemplos actuales de Ransomware
Ryuk: Descubierto por primera vez en agosto de 2018, Ryuk inmediatamente cambió de opinión tras interrumpir las operaciones de un importante editor de periódicos con sede en los Estados Unidos. Aunque finalmente fue puesto en cuarentena, Ryuk se reinfectó y se extendió a los sistemas conectados en la red porque los parches de seguridad no se mantuvieron cuando los equipos técnicos trajeron los servidores de vuelta. Las detecciones de Ryuk aumentaron más del 500% en el primer trimestre de 2019 con respecto al trimestre anterior; en el cuarto trimestre de 2019, las detecciones aumentaron otro 43%, tal como comentamos en el artículo de SonicWall.
Phobos: apareció a principios de 2019. Se ha observado que esta nueva cepa de ransomware está fuertemente basada en la familia previamente conocida como Dharma (alias CrySIS) y probablemente distribuida por el mismo grupo que Dharma. Phobos es uno de los tipos de ransomware distribuidos a través de conexiones de Escritorio Remoto Pirateados (RDP). Los servidores RDP hackeados son un producto barato en el mercado clandestino y pueden ser un vector de difusión atractivo y rentable para los grupos de amenazas.
Sodinokibi: es un modelo de amenaza de Ransomware as a Service (RaaS) que apareció por primera vez en mayo de 2019. Sodinokibi ha demostrado ser una amenaza casi tan grande como Ryuk, con altos picos de detección que superan lo que hemos visto con otras familias de ransomware enfocados en negocios en 2019, como Phobos. Desde su introducción, las detecciones de Sodinokibi han aumentado en un 820%, un número preocupante de cara al futuro.
El verdadero coste del Ransomware
Las capacidades de ransomware de Veeam
Las copias de seguridad con cámara de aire o "inmutables" ofrecen una poderosa técnica para ser resistentes contra el ransomware y otras amenazas.
Habilite una réplica de su copia de seguridad, almacenada fuera del alcance de los ciberataques, utilizando controles que aseguren que las eliminaciones o los cambios no puedan ocurrir sin aprobaciones estrictas de varios niveles. Veeam Scale-Out Backup Repository (SOBR), asociado con Capacity Tier (también conocido como Cloud Tier), permite una capacidad fácil de usar que escribe los datos de la copia de seguridad en el almacenamiento de objetos, ya sea en Microsoft Azure, Amazon Web Services (AWS), IBM Cloud o cualquier plataforma que soporte el almacenamiento de objetos. Utilizando AWS S3 o un almacenamiento compatible con S3 seleccionado, también se obtiene acceso a Object Lock, lo que permite almacenar los datos de copia de seguridad como una copia de seguridad inmutable.
Detección del ransomware
Detectar un ransomware en sus etapas iniciales puede ser difícil. Veeam ONE proporciona la capacidad de vigilar de cerca su entorno y ser consciente de cualquier actividad sospechosa o anormal. Al analizar el uso de la CPU, la velocidad de escritura del almacenamiento de datos y la velocidad de transmisión de la red, Veeam ONE puede ayudar a identificar si hay cantidades más altas de lo normal de actividad en una máquina en particular. Cuando se dispara la alarma, esto le notifica inmediatamente que inspeccione la máquina, mire los contadores de recursos y determine por sí mismo si la actividad es normal o no. Si no lo es, es un buen indicador de que se deben tomar más medidas para determinar si el ransomware es el culpable.
Garantizar copias de seguridad sin ransomware
Los virus pueden no ser detectados y estar inactivos en sus sistemas actuales, listos para saltar. Use el poder de su copia de seguridad para eliminar las amenazas de ransomware antes de que ataquen.
Veeam SureBackup avisa inmediatamente de que un sistema puede no ser recuperable debido a un ransomware o una amenaza de malware no detectada.
¿Cómo puedo protegerme del ransomware?
Los productos de copia de seguridad de Veeam son conocidos por ser sencillos, flexibles y fiables, atributos que son clave para sus medidas de protección. Cuando se trata de un incidente de ransomware, la capacidad de recuperación se basa completamente en la forma en que implemente su solución de infraestructura de respaldo de Veeam, el comportamiento de la amenaza y el curso que tome para remediarla.
Si necesitas más información sobre Veeam Backup, o como proteger tu empresa de amenazas como el ransomware, no dudes en contactar con nosotros.