El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha advertido sobre el auge que ha experimentado el ransomware en los últimos tres años, en una publicación de su blog escrita por su director técnico de gestión de incidentes, Toby L.
Según señala, los ataques de WannaCry y NotPetya alertaron al público sobre el potencial impacto del ransomware, pero desde entonces ha evolucionado integrando técnicas cada vez más sofisticadas. "Hasta hace poco, el ransomware se enfocaba solo en el elemento de 'disponibilidad' de la tríada de Aseguramiento de la Información (IA), al bloquear a los usuarios de sus datos. Esto se logró a través del cifrado o modificando las cuentas de usuario y las contraseñas. Pero a medida que aumentaba la prevalencia de las copias de seguridad y la redundancia del sistema para mitigar la interrupción de la disponibilidad, los atacantes pasaron al elemento de 'confidencialidad' de la tríada, amenazando con publicar material robado en línea", explica.
Toby L define el ransomware como una transacción financiera ya que si la víctima quiere recuperar sus datos robados, debe pagar por ello. Además, ha expuesto el caso de una empresa que sufrió un ataque de ransomware como una lección a aprender para otras organizaciones que también lo sean.
"Hemos oído hablar de una organización que pagó un rescate (un poco menos 6,5 millones de libras con los tipos de cambio actuales) y recuperó sus archivos (utilizando el descifrador suministrado), sin ningún esfuerzo por identificar la causa raíz y asegurar su red. Menos de dos semanas después, el mismo atacante atacó nuevamente la red de la víctima, utilizando el mismo mecanismo que antes, y volvió a implementar su ransomware. La víctima sintió que no tenía otra opción que volver a pagar el rescate".
Investigue las causas, no solo los síntomas
"Para la mayoría de las víctimas que se comunican con el NCSC, su primera prioridad es, comprensiblemente, recuperar sus datos y garantizar que su empresa pueda volver a funcionar. Sin embargo, el problema real es que el ransomware suele ser solo un síntoma visible de una intrusión de red más grave que puede haber persistido durante días, y posiblemente más", advierte el director técnico de gestión de incidentes de NCSC.
Toby L subraya que el peligro puede persistir incluso con el ransomware eliminado y el sistema restaurado a partir de copias de seguridad puesto que los atacantes: pueden tener acceso de puerta trasera a la red; Probablemente tengan privilegios de administrador; y podrían volver a implementar fácilmente el ransomware si quisieran.
"En consecuencia, mi táctica de apertura al responder a un incidente de ransomware es '¿cómo llegó allí?'", agrega.
El NCSC ha proporcionado una guía detallada para ayudar a mitigar los ataques de malware y ransomware y Toby L también ha resaltado que "recuperarse de un incidente de ransomware rara vez es un proceso rápido. La investigación, la reconstrucción del sistema y la recuperación de datos a menudo implica semanas de trabajo".