Inicio / Blog / Ransomware: medidas de respuesta

Ransomware: medidas de respuesta

Publicado el 16/12/2021, por INCIBE
Ransomware: medidas de respuesta

Como punto final a la serie de artículos dedicados al ransomware que han englobado medidas preventivas (partes I y II) y diversas técnicas de detección, este nuevo artículo de blog explicará aquellas acciones a tomar para responder a una infección por ransomware.

Procedimiento general

Tras una infección por ransomware, lo habitual es que se comiencen a cifrar archivos del ordenador, pendrives y carpetas compartidas en red. Un proceso del que, generalmente, no se tiene constancia hasta que ha finalizado su ejecución, aunque es posible detectarlo con anterioridad, permitiendo actuar de una manera más eficaz y posiblemente minimizando las consecuencias de la infección.

Como respuesta tras detectar un ransomware, se recomienda seguir los siguientes pasos en el orden establecido:

  • Desconectar las interfaces de red. La forma más eficaz de hacerlo es desconectar el cable de red RJ-45 en caso de que se esté en una red cableada, o desactivar la comunicación Wi-Fi, si se está conectado a una red inalámbrica. Esto anulará las posibilidades de que el ransomware se expanda, evitando que afecte a otros ordenadores de la misma red.

En el caso de que no sea posible desconectar las interfaces de red físicamente, se puede hacer deshabilitando las interfaces de red en el equipo o recurriendo a funcionalidades del programa de antivirus, que permitan bloquear las comunicaciones.

Si esto tampoco es posible, se deberá limitar, a nivel de seguridad perimetral, toda comunicación con otros equipos.

  • Comprobar si el proceso está aún ejecutándose. Para ello, podemos usar herramientas como Process Explorer de Sysinternals.
  • Finalizar la ejecución del proceso dañino. En el caso de que se haya identificado el proceso como se ha indicado en el apartado anterior, se debe finalizar la ejecución de éste.
  • Arrancar el equipo en Modo Seguro. Esto deshabilitará cualquier componente que no forme parte del sistema operativo, evitando que el malware se vuelva a ejecutar.
  • Realizar una copia de seguridad del equipo. La copia deberá ser una imagen completa del ordenador, con los datos cifrados y no cifrados, y deberá realizarse en un dispositivo de almacenamiento externo completamente aislado. Esto podrá ser útil en el futuro si en algún momento se libera la clave de cifrado.

En cualquier caso, se recomienda trabajar sobre una copia de la imagen inicial obtenida.

  • Comunicar el incidente de seguridad al equipo o persona competente. En este caso, una opción es comunicarlo a INCIBE–CERT, facilitándole la información necesaria según se indica en el siguiente apartado, "Comunicación del Incidente".
  • Valorar el escenario. Se debe analizar la situación y el alcance de la infección para poder determinar cuál es el método idóneo de proceder a la hora de restaurar la normalidad de los sistemas afectados.

Diagrama de valoración del escenario

Ilustración 1. Diagrama de valoración de escenario

En todo caso, es recomendable recopilar todas las evidencias que puedan ser de utilidad antes de manipular el equipo, como ficheros extraños encontrados, herramientas utilizadas por el malware, comunicaciones de red extrañas detectadas…

Comunicación del incidente

A la hora de notificar un incidente de ransomware a las autoridades competentes, se debe facilitar la siguiente información:

  • Estado de las copias de seguridad. El mejor escenario, en cuanto a copias de seguridad, es disponer de una que contenga los datos afectados por el ransomware. Se deberá realizar, en primera instancia, una copia de seguridad de los ficheros cifrados para asegurar los datos en caso de que la restauración falle. Posteriormente, se procederá a desinfectar o replataformar los sistemas afectados para finalmente, restaurar los datos originales.
  • Alcance de la infección. Para determinar el alcance será necesario llevar a cabo las acciones descritas en el apartado "Procedimiento general" en cada uno de los ordenadores de la red para determinar si están infectados o no.
  • Alcance en dispositivos que no son ordenadores. Los elementos más importantes de la mayoría de las empresas son almacenados en unidades de red, por lo que se debe examinar si el ransomware las ha afectado.

Es primordial aislar estos activos cuanto antes, con independencia de si la infección se ha producido.

  • Alcance del cifrado dentro de los equipos. Este dato puede determinar de qué familia de ransomware se trata, ya que no todos cifran el equipo al completo. Algunos, por ejemplo, solo cifran las carpetas personales.
  • Extensión de archivo que se ha usado para el cifrado.
  • Mensaje de rescate. Finalizado el cifrado del equipo, aparecerá algún tipo de nota de rescate para realizar el pago. Esta podrá ser de utilidad para identificar de qué malware se trata y podrá presentarse en forma de un archivo de texto en el escritorio o directamente como fondo de pantalla.
  • Inicio de la infección. Esta información, que también contribuye a clasificar e identificar al ransomware, puede obtenerse siguiendo las pautas descritas en el artículo dedicado a la detección.
  • Procedimiento seguido hasta el momento de la notificación. En algunas ocasiones, siempre dependiendo del ransomware que haya provocado la infección, es posible recuperar la información por medio de shadow copies.
  • Toda la información recabada sobre el malware en cuestión. Volcado de memoria, proceso en ejecución, ficheros extraños encontrados, herramientas utilizadas por el malware, comunicaciones de red extrañas detectadas, muestra de los datos cifrados…
  • Cualquier otra información que pueda ser de interés.

Valoración de escenarios

Después de realizar los pasos descritos en el apartado "Procedimiento general" es muy recomendable realizar una valoración interna, teniendo en cuenta la afectación que haya tenido el ransomware sobre los diferentes ámbitos, como los activos y la productividad, teniendo siempre, como siguiente objetivo, recuperar el acceso a los datos perdidos.

A continuación, se muestran todos los posibles escenarios, ordenados desde el más favorable (en el que se poseen copias de seguridad) hasta el más desfavorable (en el que no se poseen copias de seguridad y no se pueden recuperar los datos de otra forma):

  • Se dispone de backups completos del equipo afectado. Es la situación más favorable, en la que se procederá a limpiar el equipo y después a restaurar la última copia de seguridad.
  • Existe una herramienta que permite el descifrado. Este escenario ocurrirá normalmente cuando el ransomware no es demasiado reciente y ya ha sido analizado previamente junto con su código. De modo que existe una herramienta que permite descifrar los datos.
  • Se dispone de Shadow Copies. En este caso, para volver a la normalidad, tan solo sería necesario restaurar las copias de seguridad que realiza Windows automáticamente de los ficheros, utilizando Shadow Explorer, por ejemplo. Sin embargo, el ransomware frecuentemente imposibilitará esta acción.
  • Se pueden recuperar los ficheros utilizando software forense. Lo más probable es que no se recupere el 100% de los datos, pero puede ser una forma efectiva de recuperar datos importantes.
  • Si ninguno de los anteriores es posible, sólo queda: conservar los ficheros cifrados para descifrarlos en un futuro. Es posible que en el futuro los ficheros puedan ser descifrados con una herramienta específica. De ser así, este escenario nos devolvería al escenario descrito en el apartado uno.
    Para poder seguir haciendo uso del equipo afectado, si se diera este escenario, se recomienda tomar las siguientes acciones:
    • En primer lugar, clonar el equipo para conservar la información cifrada, siempre de forma aislada.
    • En segundo lugar, evaluar la seguridad del equipo para averiguar los motivos por los que se ha infectado.
    • Finalmente, replataformar el equipo y cambiar todas las contraseñas que pudieran estar guardadas, como medida de seguridad.

Diagrama del procesamiento general de respuesta

Ilustración 2. Diagrama del procedimiento general de respuesta

Si replataformar no fuese posible, se deberá limpiar el equipo en la medida de lo posible, poniendo especial atención en los posibles ejecutables que hayan originado los procesos o servicios del malware, para evitar así que el ordenador vuelva a ser cifrado.

Independientemente del escenario, una opción que nunca se debe contemplar es efectuar el pago por el rescate del equipo, ya que nada garantiza que los atacantes respondan con la herramienta o contraseña de descifrado, pudiendo después solicitar una cantidad superior o convirtiendo a la víctima en objetivo de futuros ataques.

Según Symantec, durante 2017, una de cada cinco empresas no consiguió recuperar sus archivos tras realizar el pago. Por ello, no se recomienda en ningún caso efectuar el pago. Además, las herramientas de descifrado proporcionadas por los ciberdelincuentes muchas veces son manuales y requieren una gran cantidad de tiempo y recursos humanos para restablecer a la normalidad de un ordenador.

Lecciones aprendidas

Tras el ataque se debe hacer una retrospección y análisis de lo ocurrido, independientemente de su gravedad y las interrupciones ocasionadas. En esta tarea deben participar todas las partes involucradas y relevantes de la empresa que revisarán qué factores han condicionado el ataque por su falta de funcionamiento o errónea configuración, al igual que aquellos que han funcionado correctamente y han evitado un mayor impacto del ataque ocurrido. Con esto se pretende identificar el vector de entrada y corregirlo.

Al realizarse este tipo de análisis, se pretende mejorar la respuesta y reducir las posibles vías de entrada ante futuros ataques, pudiendo disminuir el tiempo de respuesta ante los mismos y corregir errores presentes en la estructura de la organización, como puede ser habitual un mal uso de los firewall, tener puertos abiertos vulnerables o contar con equipos sin actualizar.

A través de estas lecciones aprendidas, se puede crear un protocolo más estructurado que ayude a mejorar la respuesta ante un futuro ataque, evitándose así procedimientos anteriores que hayan ralentizado la gestión.

Este tipo de protocolos tendría que ser revisado periódicamente para garantizar una correcta respuesta e incluir jornadas de formación para los usuarios orientadas a la ciberseguridad.

Conclusión

La idea más importante en la respuesta a un ataque de tipo ransomware es no ceder a las amenazas presentadas por los ciberdelincuentes, pagando el rescate. No es seguro que estos no soliciten una cantidad mayor de dinero o que realmente faciliten la solución al cifrado después de pagar el rescate. Además, cabe la posibilidad de convertirse en el objetivo de futuros ataques, debido a que los atacantes piensen que una organización que ya “ha cedido” una vez puede volver a hacerlo, y también alentando la continuación de su actividad delictiva al costear sus actividades e infraestructuras con el rescate pagado.