Simulación de Ransomware

El ransomware es un vector de ataque que sigue creciendo y afecta a empresas de todos los tamaños. El ransomware tiene el potencial de detener las operaciones comerciales y la única defensa real radica en la calidad y disponibilidad de las copias de seguridad.

La mecánica del ransomware es mucho más compleja ahora en comparación con los primeros días, donde las campañas de phishing por correo electrónico de baja calidad eran el medio principal para lanzar ataques.

Los ataques de ransomware de hoy en día generalmente se dividen en tres «niveles» de actores de amenazas. El actor de la amenaza inicial obtendrá acceso a una red objetivo. Una vez dentro, normalmente venderán este acceso en la web oscura. El acceso se vende ampliamente con detalles del método de acceso (RDP es uno de los más comunes), la industria (productos farmacéuticos, por ejemplo) y un precio.

Una vez que un segundo actor de amenazas haya comprado el acceso a la red, generalmente será él quien lleve a cabo el ataque de ransomware. Con una fortaleza exitosa en los datos de un objetivo, el acceso se venderá nuevamente a un tercer actor de amenazas por un precio más alto que el que pagaron por el acceso inicial a la red.

El tercer actor de amenaza suele ser una unidad de delincuencia organizada, y ellos serán los que se ocupen de las demandas de ransomware. Históricamente, estos actores de amenazas de tercer nivel son los que buscan el día de pago más grande.

Nuestro servicio de simulación de ransomware está diseñado para probar la capacidad de recuperación de datos de una empresa y su capacidad para restaurar las operaciones comerciales después de un ataque de ransomware.

El 51% de las empresas encuestadas se vieron afectadas por un ataque de ransomware en 2020 – cloudwards.net

Proceso de Simulación de Ransomware

El alcance y las reglas de la reunión de participación se utilizan para definir qué sistemas serán los objetivos y cómo el equipo de pruebas abordará la simulación.

Aquí generamos un contrato de servicio y nos aseguramos de que todas las partes estén al tanto de lo que se espera durante la simulación de ransomware.

Comenzamos nuestra simulación asegurándonos de tener las copias de seguridad más actualizadas disponibles y a mano. Este es un factor importante, ya que necesitamos poder probar las copias de seguridad en cuanto a calidad y validez.

Al aislar un sistema del resto de la red, podemos asegurarnos de mantener el control de las condiciones de prueba.

Con los sistemas aislados, podemos proceder con la instalación de ransomware en el sistema de destino. Esto hará que el sistema aislado sea inaccesible y es en esta etapa en la que queremos comenzar a revisar el libro de estrategias de respuesta al ransomware. Las empresas que no tengan un manual de estrategias de respuesta al ransomware serán guiadas a través del proceso de creación a medida que continúa la simulación.

Queremos poder obtener acceso al sistema a través de la restauración de datos utilizando copias de seguridad recientes. Esta etapa de la simulación es la parte crucial en la que nuestro objetivo es minimizar el tiempo de inactividad de nuestro sistema. Tener copias de seguridad en funcionamiento es fundamental para el éxito y un buen plan de copias de seguridad ayudará a lograrlo.

Concluimos la simulación una vez que el acceso al sistema se ha restaurado con éxito o hemos llegado a un vacío donde ninguna acción adicional resultaría en la restauración del sistema. Esta simulación es un ejercicio de aprendizaje y el informe ayudará a preparar mejor su empresa para posibles ataques de ransomware.

Ejercicio de Escritorio

Esta simulación también está disponible como un ejercicio de mesa en el que reunimos a varias partes interesadas para ejecutar una simulación en papel de un ataque de ransomware.

Esto reduce el tiempo de inactividad operativo de los sistemas y nos permite «recuperar» la situación más rápidamente.

La expectativa es que los clientes acepten el ejercicio y tengan copias de seguridad físicas a mano. Queremos tratar esto como si fuera un ataque de ransomware en vivo.

Consejos Profesionales para Defenderse del Ransomware

  • Copia de seguridad a menudo
  • Pruebe las copias de seguridad restaurando los datos con frecuencia
  • Mantenga las copias de seguridad fuera de línea (aisladas de la red principal)
  • Monitorea la dark-web en busca de menciones de tu negocio / sector.
  • Supervisar la infracción de los proveedores (posible ataque a la cadena de suministro)