¿Y ahora qué?
En una entrada anterior de este blog referimos algunas recomendaciones dirigidas a reducir la posibilidad de que un ataque de ransomware tenga éxito dentro de una organización. Se trataba de recomendaciones más o menos sencillas de implementar y que podrían evitarnos más de un quebradero de cabeza.
Ahora bien, como hemos mencionado, solo son recomendaciones y por supuesto no son infalibles. Lo cierto es que no siempre será posible evitar los efectos de un ataque de ransomware. Si desafortunadamente ese es nuestro caso, deberemos prepararnos para ser metodológicos y cuidadosos en nuestros siguientes pasos — incluyendo la ayuda de profesionales especializados— porque de ello dependerá gran parte del tiempo que tardemos en recuperarnos.
A continuación, enumeramos algunas recomendaciones cuya aplicación dependerá de la fase del ataque en la que nos encontremos.
Detección y análisis
Lo primero y más importante es identificar los sistemas que están afectados e inmediatamente aislarlos. Debemos pensar en términos de redes. Es fundamental, en la medida de lo posible, no apagar los equipos, aunque sí mantenerlos aislados para evitar las propagaciones laterales.
En caso de que los equipos no se puedan aislar de la red, podríamos apagarlos. No es la mejor opción porque con ello perderemos cualquier evidencia del ataque que resida en memoria. Por tanto, esta medida debe tomarse de forma muy reflexionada.
También debemos diagnosticar los sistemas que se han visto afectados para su posterior recuperación, dando prioridad a los equipos más críticos. Todo este proceso debe estar documentado junto con las concusiones del primer análisis.
Finalmente debemos informar del incidente a aquellos que puedan tener un interés legítimo en él y a aquellas compañías y organismos que puedan contribuir a su resolución.
Contención y eliminación
Una vez diagnosticado el ataque debemos capturar una imagen del sistema y del contenido de la memoria de algunos de los dispositivos afectados. Esta información, junto con los logs de los sistemas, nos permitirá identificar indicadores de compromiso.
Un paso recomendable es consultar a los organismos públicos y a las comunidades de expertos en ciberseguridad para ver si disponen de algoritmos para descifrar diferentes variantes del ransomware. Y, por supuesto, investigar el tipo de ransomware para determinar su posible comportamiento futuro.
Un elemento fundamental en esta etapa será la identificación de los sistemas y las cuentas de usuarios que originaron la brecha original. Basándonos en esta información se podrán implementar medidas de contención para evitar su propagación (i.e. deshabilitar VPNs, servidores de acceso remoto, recursos de SSO o servicios en la nube).
Si se detecta que un servidor se ha infectado a través de un puesto de trabajo, debemos revisar las sesiones y los ficheros abiertos, analizar las conexiones RDP y comprobar las conexiones SMB y los intentos de acceso.
No menos importante resultará la información que proporcionan las herramientas de seguridad (EPP, IDS, IPS, FW…). Uno de los elementos críticos a localizar con ellas es el que actúa habitualmente de facilitador para la descarga del ransomware. Se trata de un componente clave en todo el proceso.
Deberemos, asimismo, analizar la posibilidad de persistencia del ransomware una vez que este sea eliminado a través de la localización de cuentas ocultas, puertas traseras o vulnerabilidades externas.
Finalmente, y una vez verificados y resueltos todos estos puntos, podremos reconstruir el sistema empezando por los sistemas más críticos, utilizando imágenes software preconfiguradas, para inmediatamente cambiar las contraseñas y actualizar las versiones del software.
Recuperación
Llegados a esta etapa, volveremos a conectar los servicios en la red y monitorizaremos su comportamiento. Como punto final, será indispensable documentar todos los pasos dados durante el proceso, así como las lecciones aprendidas. De hecho, deberíamos considerar la posibilidad de compartir con la comunidad esas conclusiones en beneficio colectivo.
Corolario
El ransomware es una de las amenazas más dañinas que actualmente se presentan a las organizaciones. Estar preparados para evitarlo, y llegado el caso combatirlo, es una tarea fundamental dentro de cualquier compañía. Con una serie de medidas básicas de seguridad ciertamente podremos reducir su tasa de éxito. Resolverlo, sin embargo, a posteriori, resultará una tarea “algo más compleja”.
