Cómo pagar un rescate por Ransomware:
Guía paso a paso

Ransomware

Las malas noticias...

Incluso antes de la pandemia del COVID-19, los ataques de ransomware estaban en aumento y están cada vez más caros... Ahora imagina que tu organización o la de unos amigos ha sido víctima de este ataque y deciden pagar. Así es como deberían manejarlo.

Es martes por la mañana. Llegas a tu escritorio (donde sea que sea..) y, oh no ... malas noticias. No solo es tu gato encima del teclado nuevamente, sino que cuando intentas iniciar sesión en tu red, un mensaje en la pantalla confirma lo peor: tu empresa ha sido atacada con ransomware. Para empeorar las cosas, tus copias de seguridad se están ejecutando, digamos, un poco más atrás. Y BUM! Entras en una especie de Kernel Panic, sudas frío y piensas en comprar un arma.. Pero tranquilo, porque eso no ayudará.. Hablando en serio. Como profesional de infosec o simplemente como colaborador, ¿qué haces ahora?

rescate

Los ataques de ransomware han ido en aumento. Esto era cierto incluso antes de que la pandemia de COVID-19 obligara a los trabajadores a irse a casa, abriendo nuevas oportunidades para vulnerar estas conexiones. Según los datos proporcionados a The New York Times por la firma de seguridad Emsisoft , 280 organizaciones presentaron archivos que fueron pirateados en un ataque de ransomware en 2019, un aumento del 41% año tras año.

Y se están volviendo mas caros

rescate

Los datos del primer trimestre de 2020 reportados por la firma de ciberseguridad Coveware muestran que los pagos promedio de rescate aumentaron un 33% desde el último trimestre. Considerar el pago se está volviendo cada vez una opción más real.

Si bien es posible que no visualices un escenario en el que tu empresa cedería para pagar el rescate. Pero a veces sucede con mayor frecuencia a medida que las organizaciones sopesan los riesgos y los beneficios, descubren que no tienen otra opción.

¡VAMOS AL RESCATE!

rescate

Si esta es tu realidad. hemos hecho un estudio y conversado con varios expertos en ciberseguridad para trazar el proceso paso a paso de pagar el rescate y lo que debes saber para no morir en el intento.

#1 EVALÚE LA SITUACIÓN

Una vez fuiste hackeado con el Ransomware, debes tomar medidas rápidas.

Lo primero que quieres saber es si el ransomware se propaga a través de la red, y luego, evitar que lo haga utilizando herramientas de detección de respuestas (XDR) o de respuesta a incidentes.

Una vez hayas hecho todo lo posible para aislar y sacar tus máquinas de la red infectada , el siguiente paso es averiguar con qué estás tratando.

Para eso, realiza una simple búsqueda del ransomware específico en Google, para ver qué tipo es y posteriormente, ¿Hay un descifrador disponible para no tener que pagar el rescate?

Sí, es posible encontrar la clave tú mismo, ya que a veces hay errores de programación en el código del ransomware por lo cual, la clave queda expuesta antes de que los archivos se bloqueen.

Otras veces, la misma clave se usa para diferentes ataques. Esto significa que una víctima que paga el rescate permite que todos los demás descifren.

Pero supongamos que no puedes encontrar fácilmente la clave de descifrado en google, y no tienes procesos de copia de seguridad internos que te permitan recuperar todo por tu cuenta. ¿Qué haces ahora?

Aquí es cuando la empresa debe tomar decisiones críticas sobre si vale la pena pagar el rescate.

"He tenido una posición en evolución para cumplir con las demandas de extorsión", dice Charles Carmakal, vicepresidente sénior y director de tecnología de servicios estratégicos de la firma de ciberseguridad Mandiant. "[Hay] muchas variables diferentes que querrás ver para pagar".

Las variables incluyen TODO. Desde si su red en peligro podría tener un impacto material en la vida humana (por ejemplo, servicios de la ciudad, hospitales, etc.) hasta si la organización puede permitirse perdero o no los datos infectados.

#2 SOLICITE AYUDA EXTERNA

Suponiendo que ya descartaste las mejores opciones de encontrar la clave de descifrado en internet, recuperar tus redes a través de soluciones sofisticadas de respaldo o simplemente considerando la pérdida de los datos, es hora de comenzar a comunicarte con el atacante.

Si tu empresa ya tiene experiencia en seguridad interna y un suministro completo de criptomonedas, esta puede ser una tera que puede manejarse sin ayuda externa.

Si ese no es el caso, ALFANET recomienda reclutar proveedores externos que se especialicen en la resolución de ataques de ransomware.

Estas empresas poseen conocimientos sobre la credibilidad de los actores de amenazas y posibilidades de que cooperen si se les paga.

Además, tienen bitcoins en reserva, por lo que es un proceso más rápido para pagar el rescate que si buscaras comprar criptomonedas por tu propia cuenta.

rescate

#3 PRUEBA LOS CÓDIGOS DE DESCIFRADO

Recuperarte de un ataque ransomware no es tan simple como entregar bitcoins y recuperar tu red.

El proceso de ida y vuelta entre tú / firma de terceros y el actor de la amenaza, implica una serie de comunicaciones por correo electrónico donde generalmente hay un proceso de prueba que descifra una muestra de tu red para demostrar que realmente tienen las claves.

"Algunos se quedarán contigo mientras pruebas la clave. Una vez haya verificado que funciona, cuelgan.."

Lo loco, es que muchos operadores de ransomware, los más grandes, tienen su propio centro de llamadas. Las personas ahí son increíblemente amables y amigables, incluso reconocen que lo que están haciendo está mal.

Pero qué más da.. Negocios son negocios...

Sin embargo los operadores de ransomware más pequeños, o aquellos que solo quieren obtener sus bitcoins y escapar, enviarán la clave de descifrado y cerrarán sus cuentas de correo.

NOTA: NO INTENTES NEGOCIAR. Si bien puede ser tentador (especialmente si las personas de atención telefónica son amables), la realidad es que no vale la pena.

Estas lidiando con una fiesta ANÓNIMA.

Si vienes a mi y me dices: "En lugar de pagarte $1.000 te pagaré $500", bueno, ahora automáticamente me debes $20.000. Asique no lo intentes..

#4 DESCIFRAR LA RED

Una vez que probaste la muestra con éxito, el monto del rescate pagado, algunas lágrimas derramadas y la clave de descifrado está recibida, el resto es difícil de navegar.

El descifrado no es un proceso trivial. Podría llevar días, semanas, hasta más de un mes

Algunas organizaciones optan por pagar al actor de la amenaza y descifrar en paralelo en diferentes sistemas a medida que recuperan sistemas a través de copias de seguridad

Los que pagan, están pagando para acelerar el proceso de recuperación.

Además, pagar el rescate no significa necesariamente que realmente obtendrás la clave de descifrado o que funcionará. Se sabe que los actores de amenazas recolectan sus bitcoins y proporcionan claves de descifrados falsas o claves para desbloquear solo una parte de la red, si se utilizó más de un tipo de ransomware.

Y en los casos en que se está utilizando ransomware más antiguo, que los operadores han abandonado, pagar significa que "estás tirando dinero a un balde que ya nadie supervisa". Al final del día, esos operadores ya no están operando el backend, no están intercambiando claves, por lo que hay menos del 50% de posibilidades de recuperar tus datos. Por eso es importante el apoyo externo de profesionales.

Pagar un rescate es, en general, un juego perdido, ya que las organizaciones muchas veces no tienen más remedio que desembolsar efectivo para acceder a redes que tal vez nunca puedan recuperarse realmente.

Una mejor opción es ser PROACTIVO. Lo que significa un liderazgo eficaz y convincente, porque es preferible invertir en seguridad que intentar pagar por los rescates.

El ransomware es un riesgo empresarial que afecta la seguridad de las personas, la vitalidad financiera y que con las herramientas y capacitación adecuadas, podemos disminuir la cantidad de tiempo desde la prevención hasta la detección, que son los factores claves.

La única forma de salir de esto es GARANTIZAR que exista una copia de seguridad adecuada que disminuya el daño que un ataque de Ransomware podría causar a la organización.

Una copia de seguridad robusta, como una estrategia de copia de seguridad N + 1 fuera de línea, es absolutamente crítica para las organizaciones.

las organizaciones que han sido atacadas por ransomware que tenían estrategias de copia de seguridad robustas no les importa si son atacadas por ransomware. La copia de seguridad con redundancia, y la copia de seguridad fuera de línea específicamente, es la forma de vencer esto.

COMPARTE

Si eres amante de la ciberseguridad, del hacking ético, un profesional de TI o simplemente un aficionado, ayúdanos compartiendo nuestro contenido.

De esta manera juntos podemos contribuir a un internet más libre y más seguro para todos.

Recuerda: LA IGNORANCIA TE HACE FELIZ, PERO LA INFORMACIÓN TE HACE LIBRE, PORQUE EL CONOCIMIENTO, ES PODER.

Image placeholder

Alfanet

Editor: Daniel S. D.

HackingNews