Ataques de ransomware y recuperación de datos: visión general completa

Dadas las pérdidas de datos y el tiempo de inactividad que causan, los ataques de ransomware son una amenaza peligrosa para las empresas en cualquier industria. El promedio de rescate en 2023 ha alcanzado los $1.54 millones según Sophos. Desafortunadamente, la intensidad de los ataques de ransomware está aumentando año tras año. Todos están en riesgo. Una vez instalado en un ordenador, el ransomware elimina o corrompe datos utilizando algoritmos de cifrado fuertes.

Los actores maliciosos detrás del ransomware generalmente exigen una suma de dinero (un rescate) para liberar los datos y volverlos a poner a disposición. Sin embargo, además de incentivar a los criminales, estos pagos no garantizan que obtengas acceso completo a datos utilizables. Esta publicación de blog explica cómo recuperarse de un ataque de ransomware de manera efectiva evitando transacciones con los atacantes.

Qué Hacer Después de un Ataque de Ransomware

A pesar de las numerosas medidas preventivas disponibles, todavía existe la posibilidad de que su organización sea víctima de un ataque de ransomware. Las siguientes prácticas pueden ayudarlo a minimizar el impacto de un ataque de ransomware si y cuando ocurra. Si sus máquinas se infectan con ransomware, siga estas recomendaciones antes de recuperar archivos de ransomware.

• Desconecte el dispositivo infectado. Tan pronto como detecte que una máquina está infectada con malware, debe desconectar inmediatamente el dispositivo de la red y los dispositivos de almacenamiento externo. De esta manera, puede asegurarse de que otras máquinas y sistemas en su infraestructura no se infecten también. Este paso le permite guardar datos no afectados y reducir la cantidad de trabajo necesario para recuperar archivos de ransomware.

  Después de eso, identifique la cantidad de máquinas que realmente han sido afectadas por el ataque de ransomware y busque actividad sospechosa en su infraestructura.

• Identifique el tipo de ransomware. Hable con la persona que detectó el problema por primera vez. Pregúntele qué estaba haciendo antes del incidente, si había recibido correos electrónicos con archivos adjuntos sospechosos y qué archivos había descargado recientemente. Identificar el tipo de ransomware proporciona información valiosa que se puede utilizar para identificar vulnerabilidades en su sistema de protección de datos y modificarlo en consecuencia.

  Además, si logra determinar el tipo de ransomware, puede saber exactamente cómo están afectados sus archivos (es decir, si están encriptados o bloqueados). Entonces puede entender las posibles repercusiones de no pagar el rescate y qué estrategia se debe utilizar para recuperarse con éxito del ataque de ransomware.

• Reportar el problema. Durante la capacitación de los empleados, explique a su personal que es importante notificar al equipo de soporte técnico sobre cualquier actividad sospechosa en sus equipos. De esta manera, los profesionales de IT pueden responder al ataque de ransomware a tiempo antes de que se produzcan daños graves. Después de eso, informe del ataque de ransomware a las autoridades (por ejemplo, al FBI si se encuentra en los Estados Unidos) y proporcione toda la información necesaria sobre el incidente. Informar a las autoridades puede ayudar a prevenir futuros ataques por parte del mismo(s) actor(es) de ransomware.

• No pague el rescate. Los funcionarios encargados de hacer cumplir la ley recomiendan no cumplir con las demandas de los atacantes porque esto fomenta aún más los ataques de ransomware en el futuro. Los hackers que buscan obtener dinero rápido lo verán como un blanco fácil para sus futuros ataques. Además, en la mayoría de los casos, pagar el rescate no garantiza que los atacantes desbloqueen o descifren los datos según lo prometido. Recuerde que está tratando con criminales que solo están interesados en obtener ganancias.

• Identifique el impacto del ataque de ransomware. Debe determinar cuántos datos se han corrompido, cuántas máquinas se han infectado como resultado del ataque y cuánto tiempo llevará recuperarse del ataque. Además, evalúe la criticidad de los datos no disponibles y determine si se pueden recuperar sin pagar el rescate.

• Recupere su sistema del ransomware. Después de eliminar el ransomware de sus computadoras, puede comenzar la recuperación del ataque de ransomware.

Opciones de recuperación para archivos encriptados por ransomware

Hay varios métodos para la recuperación de datos después de un ataque de ransomware. La efectividad de estos métodos varía según la situación.

Utilizando herramientas incorporadas en tu sistema operativo

Si utilizas Windows 10, puedes intentar usar una utilidad de Restauración del Sistema de Windows para recuperar la configuración del sistema y la configuración de programas desde un punto de recuperación que se creó automáticamente. No todos los datos se pueden restaurar con este método. El ransomware moderno puede desactivar la Restauración del Sistema y eliminar o corromper los puntos de recuperación de Windows. En este caso, este método es ineficaz.

Usa la herramienta de descifrado del ransomware

Si has detectado el tipo y la versión del ransomware, intenta encontrar la herramienta de descifrado proporcionada por investigadores de seguridad. Las herramientas de descifrado no están disponibles para cada versión de ransomware. También es cada vez más raro encontrar una herramienta de descifrado hoy en día.

Usa software para la recuperación de archivos eliminados

Si el ransomware no ha sobrescrito los archivos en el disco y ha llenado la superficie del disco con ceros o datos aleatorios, hay una posibilidad de que puedas recuperar algunos datos críticos. Escanear la superficie del disco requiere mucho tiempo. Los nombres de archivo después de la recuperación pueden perderse, y sus nombres pueden ser como RECOVER0001.JPG, RECOVER0002.JPG, etc.

Recuperar datos de una copia de seguridad

El punto principal de este método es que debes prepararte con anticipación y no esperar hasta que el ransomware infecte tus máquinas. Si no has creado una copia de seguridad antes del ataque de ransomware, este método no se aplicará. Necesitas prepararte con anticipación y hacer copias de seguridad de los datos a intervalos regulares. Las mejores prácticas de copia de seguridad recomiendan seguir la regla de copia de seguridad 3-2-1 y almacenar las copias de seguridad fuera del sitio y/o fuera de línea para recuperarte de un ataque de ransomware. Puedes utilizar la nube, cintas y/o almacenamiento de copia de seguridad inmutable para este propósito.

La mejor manera de crear copias de seguridad es utilizar soluciones dedicadas de protección de datos que admitan diferentes tipos de cargas de trabajo e infraestructuras y te permitan implementar la regla de copia de seguridad 3-2-1.

Una de esas soluciones es NAKIVO Backup & Replication. La solución de NAKIVO te permite aumentar el rendimiento de la copia de seguridad, garantizar la recuperabilidad de los datos y mejorar la recuperación de ransomware. La solución admite la protección de datos para servidores físicos, máquinas virtuales (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), instancias de Amazon EC2 y Microsoft 365. Con la solución, puedes:

• Realizar copias de seguridad e incrementales basadas en imágenes y conscientes de las aplicaciones.

• Crear fácilmente copias de seguridad sin involucrar a los hosts de origen o a las máquinas virtuales (VM). Almacenar copias de seguridad en un sitio remoto, una nube pública o cintas.

• Almacenar copias de seguridad en un sitio remoto, una nube pública o en cinta.

• Habilitar la inmutabilidad para repositorios locales basados en Linux o en la nube de Amazon S3.

• Elija entre una variedad de opciones de recuperación flexibles, incluida la activación instantánea de máquinas virtuales, la recuperación granular y la recuperación P2V de máquinas físicas como máquinas virtuales VMware vSphere.

• Cree flujos de trabajo de recuperación ante desastres organizando diversas acciones y condiciones en una secuencia automatizada.

¿Cuánto tiempo lleva recuperarse de un ransomware?

El tiempo necesario para recuperar archivos encriptados por un ataque de virus de ransomware depende de la cantidad de datos dañados en las computadoras infectadas y el método utilizado para la recuperación de ransomware. Al estimar el tiempo necesario para la recuperación de un ataque de ransomware, nos referimos a la recuperación de datos y a que todos los sistemas vuelvan a estar en línea con cargas de trabajo restauradas.

El tiempo para recuperar datos y restaurar cargas de trabajo puede variar de días a meses. Echemos un vistazo a los principales factores que influyen en el tiempo de recuperación.

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• La recuperación mediante una herramienta de descifrado (si encuentras una para una versión específica de ransomware) puede llevar mucho tiempo. Si los nombres de archivo también han sido cambiados después de la encriptación (como sLc6-fAl26m.nSeB2 en lugar de image001.jpg), llevaría aún más tiempo ponerlos en los directorios correctos después de la recuperación. Es necesario respetar la estructura de archivos y directorios correcta, especialmente si estos archivos son necesarios para que las aplicaciones funcionen.

• Tener una copia de seguridad de los datos reduce el tiempo necesario para la recuperación de archivos y servidores afectados por ransomware. La ventaja de recuperar archivos de una copia de seguridad después de un ataque de ransomware es que se recuperan datos estructurados, incluidos los nombres de archivos y carpetas con su ruta correcta. Debes seleccionar una copia de seguridad para la fecha/hora adecuada y elegir la ubicación de destino donde recuperar los datos. Luego, solo espera hasta que los datos se copien y recuperen.
  Además, soluciones de copia de seguridad como NAKIVO Backup & Replication se basan en tecnología de imágenes para capturar copias de seguridad de máquinas virtuales y físicas. Esto significa que la copia de seguridad captura el sistema operativo y otros archivos asociados al SO, como archivos de configuración de aplicaciones y estado del sistema, lo que te ayuda a ahorrar tiempo al restaurar sistemas.

• Una prueba insuficiente del plan de recuperación ante ransomware puede resultar en tiempos de restauración de datos más largos de lo esperado. Por esta razón, siempre intenta probar tu plan de recuperación para asegurarte de que puedas recuperar todo lo que necesitas en el tiempo adecuado.

Ten en cuenta que al crear una estrategia de recuperación ante desastres que incluya un plan de recuperación ante ransomware, debes tener en cuenta las métricas de RTO y RPO.

Conclusión

La recuperación ante ransomware es un proceso complejo que incluye la recuperación de datos y la restauración de cargas de trabajo. El costo y el tiempo de recuperación ante ransomware dependen de la cantidad de preparación que se invierta en la estrategia de copia de seguridad y la recuperación de ataques de ransomware.

El enfoque principal para mitigar los problemas causados por ataques de ransomware es seguir medidas preventivas y respaldar datos regularmente. Siga la regla de respaldo 3-2-1, y utilice almacenamiento de respaldo inmutable y una solución confiable de protección de datos que pueda automatizar tareas.