avatar-9 avatar-8 avatar-7 avatar-6 avatar-5 avatar-4 avatar-3 avatar-2 avatar-1

AVISO IMPORTANTE - Si cuentas con algún producto ESET Endpoint (v7.1 o inferior) o ESET home (v12 o inferior) ¡Actualiza tu producto! más información

Cerrar Busqueda

Resolución
invalida 😔

¿Qué hacer durante un ciberataque de ransomware?

Creamos este post con el fin de concientizar y aconsejar acerca de las medidas que debes tomar durante un ciberataque de ransomware.

1.- Aisla los sistemas afectados

El aislamiento debe considerarse la máxima prioridad. La gran mayoría del ransomware escaneará la red de destino, cifrará los archivos almacenados en recursos compartidos de la red e intentará propagarse lateralmente a otros sistemas. Para contener la infección y evitar que el ransomware se propague, los sistemas infectados deben eliminarse de la red lo antes posible.

2. Desincroniza copias de seguridad

Desconecta el almacenamiento de seguridad de la red o bloquea el acceso a los sistemas de copia de seguridad hasta que se resuelva la infección.

3. Deshabilita las tareas de mantenimiento

Deshabilita inmediatamente las tareas de mantenimiento automatizadas, como la eliminación de archivos temporales y la rotación de registros en los sistemas afectados, ya que estas tareas pueden interferir con archivos que pueden ser útiles para los investigadores y los equipos forenses.

4.- Crea copias de seguridad en los sistemas infectados

Debes crear copias de seguridad o imágenes de los sistemas infectados después de aislarlos de la red.

5.- Pon en cuarentena el malware

Nunca debes eliminar, borrar, reformatear o volver a crear una imagen de los sistemas infectados, a menos que te lo indique específicamente un especialista en recuperación de ransomware.

En cambio, el malware debe ponerse en cuarentena, lo que permite a los investigadores analizar la infección e identificar la cepa exacta de ransomware responsable de cifrar los archivos.

Eliminar toda la infección hace que sea extremadamente difícil para los equipos de recuperación encontrar la muestra de ransomware específica involucrada en el ataque.

6.- Identifica la fuente origen de la infección

Es crucial para comprender cómo los atacantes obtuvieron acceso al sistema, aparte de qué otras acciones tomaron mientras estaban en la red y el alcance de la infección.

Detectar la fuente de la infección es útil no solo para resolver el incidente actual, sino que también puede ayudar para subrayar las vulnerabilidades y reducir el riesgo de compromiso futuro.

7.- Decide si pagarás el rescate.

Si bien pagar el rescate puede ayudar a reducir las interrupciones y puede ser más económico que el costo total del tiempo de inactividad, no es una decisión que deba tomarse a la ligera.

Las organizaciones solo deben considerar pagar el rescate si todas las demás opciones se han agotado y la pérdida de datos probablemente resultará en la quiebra de la empresa.

Existe una probabilidad de 1 en 20 de que los autores de ransomware tomen el dinero pero no proporcionen un descifrador.

Es posible que el descifrador proporcionado por el atacante no funcione correctamente.

Los pagos de rescate se pueden utilizar para financiar actividades delictivas graves, incluida la trata de personas y el terrorismo.

El pago del rescate confirma el modelo comercial de ransomware y perpetúa más ataques.

¿Qué NO debes hacer durante un ataque de ransomware?

1.- NO reinicies los dispositivos afectados

Muchas cepas de ransomware detectarán intentos de reinicio y podrían penalizarte, corrompiendo la instalación de Windows del dispositivo, para que el sistema nunca se reinicie. Mientras que otros pueden comenzar a eliminar archivos cifrados al azar.

Los sistemas afectados deben ponerse en estado de hibernación, lo que escribe todos los datos en la memoria en un archivo de referencia en el disco duro del dispositivo, que luego puede usarse para análisis futuros.

2.- NO conectes dispositivos de almacenamiento externos a sistemas infectados

Los dispositivos de almacenamiento externo y los sistemas de respaldo no deben conectarse (físicamente o mediante acceso a la red) a los sistemas infectados hasta que estés completamente seguro de que la infección se ha eliminado.

3.- Evita apresurarte pagando el rescate

Siempre hay otras opciones, y estas deben explorarse en su totalidad antes de recurrir a pagar el rescate.

4.- NO te comuniques con la red afectada

Con la red comprometida, los atacantes pueden interceptar cualquier comunicación que se envíe y reciba.

5.- NO elimines archivos

Los archivos (Incluyendo notas de rescate) NO deben eliminarse de los sistemas cifrados a menos que un especialista en recuperación de ransomware lo haya recomendado.

Los archivos cifrados no solo son útiles para estudios forenses, sino que algunas familias de ransomware almacenan claves de cifrado dentro de los archivos cifrados; si los archivos se eliminan, el descifrador no funcionará.

6.- NO confíes en los autores de ransomware

A pesar de tratar cada vez más de adoptar una fachada de profesionalismo, los autores de ransomware son delincuentes que no están obligados a respetar ningún acuerdo ni cumplir ningún código de ética.

NO debes creer en la información proporcionada por los grupos de ransomware, incluida la información en la nota de rescate (como la cepa del ransomware) ni confiar en que el pago del rescate conducirá a la recuperación de datos cifrados.

Toma en cuenta que estos procedimientos deben considerarse consejos generales y no exhaustivos. Los requisitos de seguridad pueden variar significativamente y los sistemas de seguridad siempre deben adaptarse de acuerdo con la industria, los requisitos reglamentarios y las necesidades de seguridad únicas de tu empresa.


Sugerencias

Comentarios
Enviar
Soporte técnico