Comparte este artículo

Ayer saltaba a las noticias que varias empresas españolas se han visto afectadas por un ataque cibernético, como siempre los casos que salen a la luz son casos de empresas conocidas y de un tamaño importante (Cadena SER , Everis, etc), pero el ataque que se menciona no discrimina el tamaño de la empresa, es muy importante tomar medidas preventivas para evitar y mitigar esos ataques de ransomware dentro de nuestras empresas.

¿Qué puedo hacer para protegerme de un ataque de ransomware?

  • Evitar tener en nuestra red sistemas operativos desfasados, como por ejemplo todo sistema operativo anterior a windows 7 ya no recibe actualizaciones de seguridad.
  • Además mantener siempre nuestros sistemas operativos y antivirus con las últimas actualizaciones disponibles.
  • Tener filtros antispam en el correo y permitir que nuestro antivirus revise los correos electrónicos.
  • No abrir correos, archivos adjuntos y enlaces de fuentes no confiables.
  • Aunque los correos vengan de gente conocida, desconfiar cuando el mail tiene adjuntos y el texto no es coherente, ante la duda ponerse con el remitente por otros medios antes de abrir ningún dato adjunto y cuidado al seguir enlaces en mensajería instantánea, redes sociales y correos.
  • Realizar copias de seguridad periódicas de nuestra información, y a ser posible tenerla en un entorno separado para en el caso de infección poder recuperar nuestros datos.
  • Contar con un firewall actualizado y bien configurado que evite que los ordenadores de la empresa se encuentren expuestos.
  • Desactivar el uso de macros en office.
  • Avisa a tus empleados y compañeros de estas medidas para que estén prevenidos.

Descargar eBook sobre >> Sistemas de Backup. Realiza correctamente tus copias de seguridad en 10 pasos <<

Como funciona el ataque de ransomware

Ryuk, es el ransomware, un tipo de programa malicioso o tipo de malware, que una vez instalado en el ordenador, cifra los archivos a los que el usuario tenga acceso, ya se encuentren en el mismo ordenador o en una unidad de red, con un código secreto. En ese momento solicita al afectado que ingrese una cantidad de dinero para recuperar sus archivos. Un rescate que oscila entre 300 y 600 dólares en criptodivisas bitcoin para recuperar los archivos, pero estas cantidades pueden variar y el pagar no garantiza nada, no olvidemos que son ciberdelincuentes y una vez disponen de los bitcoins no hay forma de recuperar el dinero o identificar quien ha recibido el mismo.

El vector de ataque principal son:

  • Emails o mensajes enviados falseando el remitente para identificarse como un conocido, e induciendo a que ejecutes o abras un archivo adjunto.
  • Puertos expuestos en Internet, el virus es capaz de escanear la red pública buscando puertos abiertos de sistemas operativos no securizados e intenta acceder mediante vulnerabilidades de smb y rdp.
  • Una vez que se encuentra en tu red de trabajo busca e utiliza vulnerabilidades para llegar a otros ordenadores y servidores que se encuentre tras tu cortafuegos, es por eso tan importante mantener actualizados todos tus ordenadores y servidores.

¿A quién está dirigido este ataque del virus?

A diferencia de otros programas maliciosos está especializado en atacar entornos empresariales, pero es capaz de enviarse a la libreta de direcciones del ordenador infectado por lo que es posible que recibamos el email del ataque en cualquier dirección de correo del que dispongan las empresas afectadas.

He sido afectado por ransomware ¿Qué hago?

Las medidas que el Instituto Nacional de Ciberseguridad propone son:

  1. No se debe pagar nunca por el rescate, pues pagarlo no garantiza nada, los ciberdelincuentes podrían no desencriptar tus datos una vez dispongan del dinero, y aunque lo hicieran no podrías confiar en que no hayan dejado algún fichero infectado intencionadamente.
  2. Aísla el equipo de la red para evitar que se propague el ciberataque basado en ransomware. De hecho desconfía de todo ordenador y disco duro que se encontrara en la red durante el tiempo del ataque y revisalos todos.
  3. Clona el disco duro, de esta manera podrás mantener el dispositivo original e intentar recuperar los datos sobre el clon.
  4. Desinfecta el disco clonado para intentar recuperarlo, hay una web www.nomoreransom.org avalada por la Europol que permite que identifiques el ransomware y en el caso de que exista herramienta para recuperar los ficheros te facilita esa información.
  5. Intenta recuperar los datos y restaura la copia de seguridad en un entorno limpio, quiere decir, no trates de seguir usando el mismo disco duro infectado, en su lugar instala el sistema operativo de nuevo en un disco duro y restaura solo los ficheros recuperados y analizados para evitar que el virus se vuelva a propagar.

¿He de notificarlo?

En caso de que se hayan visto afectados ficheros y datos de carácter personal de terceros debemos comunicarlo en menos de 72 horas a la autoridad competente para resolver cuestiones legales relacionadas con el RGPD es la AEPD (Agencia Española de Protección de Datos).

Por otro lado es recomendable denunciarlo para que se investigue el delito y el origen del mismo:

Sistemas de backup


Comparte este artículo