Ransomware en el corazón del “salvaje oeste” de la ciberseguridad

Por Julio César Castrejón, Country Manager para México de Pure Storage

En la década de 1800, Butch Cassidy aterrorizó al salvaje oeste, ganando notoriedad por robar bancos y trenes. En su atraco más icónico, Cassidy identificó la vulnerabilidad de un tren de Union Pacific en tránsito y usó señales ferroviarias falsas para detener el vehículo en medio del desierto. Esto le dio a él y a su pandilla mucho tiempo para abordar los carruajes y robar los objetos de valor que estaban dentro.

La tecnología puede haber avanzado significativamente desde aquellos días, pero la mentalidad de los ladrones y ciberdelincuentes no lo ha hecho: quieren obtener la máxima recompensa con el mínimo riesgo de ser atrapados. Si Butch Cassidy operara en el mundo actual, apuntaría a los datos en lugar de al dinero en efectivo, y usaría ransomware para hacerlo.

Al igual que Cassidy, los ciberdelincuentes de hoy intentan identificar debilidades y vulnerabilidades en los procesos de seguridad de las organizaciones para poder explotarlos y robar sus activos más valiosos. Las señales ferroviarias falsas de hoy en día son estafas de ingeniería social, ataques de phishing y pirateo, y la valiosa carga en la proverbial bóveda de un banco o vagón de tren son datos, extremadamente valiosos y difíciles de recuperar, lo que deja a las empresas a su merced.

La principal de sus herramientas es el ransomware, que se encuentra en el corazón del salvaje oeste de la seguridad cibernética.

La fiebre del oro del ransomware

Según el grupo de seguridad cibernética Emsisoft, el ransomware causó cientos de miles de millones de dólares en daños económicos a nivel mundial en 2020. Los desafíos de Covid-19 y el trabajo remoto masivo se vieron exacerbados por un aumento en los ataques y la demanda promedio de rescate creció más del 80 por ciento. resultando en un estimado de $18 mil millones de dólares pagados en rescates con un pago promedio de $150,000 dólares. Con muchas organizaciones aún en desorden desde los últimos 12 meses, el ransomware es una fiebre del oro moderna para los ciberdelincuentes.

Las empresas deben afrontar el hecho de que los ataques de ransomware están aumentando a un ritmo sin precedentes, y ser blanco de ataques es inevitable. Los equipos deben asegurarse de contar con una estrategia de protección de datos sólida y confiable para que, si ocurre lo peor, puedan recuperarse de un ataque.

Por supuesto, cuando es atacado, poder restaurar desde copias de seguridad es una parte fundamental de una estrategia de recuperación, pero desafortunadamente los ciberdelincuentes también se están adaptando.

Hackers que apuntan a las copias de seguridad

Desafortunadamente, los ciberdelincuentes reconocen que las copias de seguridad son tu última línea de defensa y, si puedes recuperarte con éxito, no pagarás el rescate. De hecho, el hacker promedio pasa más de 200 días en tu red antes de encriptar cualquier cosa. Están planeando cuidadosamente su atraco, tal como lo hizo Cassidy, tratando de obtener acceso a tantos sistemas como sea posible antes de hacer su movimiento, incluidas tus copias de seguridad.

El ataque inicial se usa para ingresar a tu red sin ser detectado. Una vez dentro, el pirata informático pasa mucho tiempo intentando acceder a credenciales comprometedoras. Esta es la clave de su ataque, incluso existen herramientas de piratas informáticos diseñadas específicamente para atacar servicios de directorio para obtener credenciales. Una vez que tienen las credenciales adecuadas, pueden hacer prácticamente cualquier cosa.

¿Cómo te proteges a ti mismo? La solución es triple

Las organizaciones necesitan una estrategia de tres puntos para prepararse, minimizar el impacto y recuperarse de un ataque:

1. Primero observa las mejores prácticas holísticas, tu pulcritud de seguridad general. Esto ayudará a protegerte contra un ataque y agilizará la detección. Las mejores prácticas básicas incluyen la actualización de software y sistemas operativos con los últimos parches; capacitar al personal para que tenga cuidado con los enlaces o archivos adjuntos en los correos electrónicos, especialmente los no solicitados; hacer copias de seguridad de los datos de forma regular y mantener las copias de seguridad en dispositivos separados de los datos de producción (brechas de aire).
   
   Asegúrate siempre de que las copias de seguridad estén protegidas y sean inmutables para que, si los piratas informáticos obtienen acceso, estén limitados por lo que pueden hacer.

1. En segundo lugar, viene qué hacer durante un ataque. La conciencia de lo que es “normal” en el funcionamiento de la infraestructura es esencial aquí. Sin esto, podría llevar semanas ver algo “anormal” para marcar los datos o los sistemas podrían verse comprometidos.

1. En tercer lugar, permite una recuperación rápida después de un ataque. Las organizaciones necesitan copias de seguridad válidas e inmutables de sus datos que estén protegidos y no se puedan erradicar, modificar o cifrar. Esto, junto con la capacidad de restaurar datos rápidamente es primordial. Los líderes de TI deben considerar los acuerdos de nivel de servicio (SLA) para restaurar los datos y realizar copias de seguridad al elegir proveedores.

Cuidado con la brecha

Los espacios de aire son un medio para mantener separadas las redes de producción y de respaldo. El objetivo de un espacio de aire es aislar los datos críticos de las redes locales y las áreas de producción que son más vulnerables a los ataques. Al permitir la entrada de datos desde la red de producción a intervalos regulares, las copias de seguridad se actualizan periódicamente, pero los dos lados no siempre están conectados.

Sin embargo, hay algunos problemas a considerar con los espacios de aire:

• No son 100% inmunes a los ataques.
• Pueden ser costosos de implementar y operar, y difíciles de administrar y mantener.
• No son súper escalables y pueden ser más lentos para recuperar grandes volúmenes de datos.
• No resuelven las amenazas internas o las credenciales comprometidas de los administradores de almacenamiento o de respaldo.
• La recuperación de grandes volúmenes de archivos lleva demasiado tiempo cuando necesita cumplir con RPO estrictos, y clasificar esos datos para la recuperación por niveles requiere tiempo y esfuerzo.

Las estrategias de seguridad con espacios vacíos tampoco pueden abordar por completo los problemas de confiabilidad y velocidad, los dos factores más importantes para una recuperación exitosa.

El nuevo sheriff en la ciudad – Restauración Rápida

Incluso con instantáneas o snapshots inmutables y brechas de aire en su lugar, las organizaciones estarán limitadas por la velocidad a la que pueden restaurar los datos. Si una gran empresa está inactiva incluso por una hora, podría costarles millones y causar un daño irreparable a la confianza y la lealtad del cliente.

No solo esto, sino que un ataque de ransomware no es un escenario típico de recuperación de datos, es posible que deba restaurar todos sus archivos o varias bases de datos. No es raro que la restauración de una base de datos tarde varias horas, a veces días. Ahora imagina que hay 50 o 100 bases de datos para restaurar, y queda claro cuán importante es la velocidad de recuperación después de un ataque.

Al evaluar a los proveedores de almacenamiento y respaldo, es fundamental que las organizaciones establezcan SLA y elijan una solución de respaldo que pueda restaurar datos a una velocidad de cientos de terabytes por hora para obtener la máxima velocidad de recuperación en caso de que ocurra lo peor.

En última instancia, las organizaciones necesitan una estrategia que combine las medidas preventivas adecuadas, instantáneas de datos inmutables regulares y una solución de restauración rápida para permitir un rápido retorno a las operaciones.

A menos que las restauraciones de tus datos sean lo suficientemente rápidas para evitar un impacto importante en la organización, la reputación y las finanzas, todo el trabajo que has realizado en torno a la protección es inútil. Independientemente de la plataforma o la tecnología subyacente, necesitas restaurar velocidades que no hagan esperar a tu empresa. Es la única forma de mantener a los delincuentes fuera de tu red y proteger tus datos para que no se mezclen.