https://blog.grupomicronet.com/consejos-para-evitar-un-ataque-de-ransomware
¿Cómo responder a un ataque de ransomware?
1. Determina si el ataque es real
Existen muchos subtipos de malware que engañan a los usuarios haciéndoles creer que han descargado un ransomware. Sin embargo, si se hace una revisión completa, se podrá verificar que los archivos están intactos.
Te servirá buscar extensiones de archivo sospechosas, es común que el ransomware cifre archivos para que queden inutilizables y asegúrate de comprobar si este problema solo ocurre en un dispositivo o si ha afectado a varios sistemas y ubicaciones.
2. inicia la respuesta al incidente
Una vez que los sistemas de seguridad determinen que se trata de ransomware, notifica de inmediato a los equipos ejecutivos, legales y de marketing, recursos humanos y otras partes interesadas importantes. Documenta todo el proceso de respuesta a incidentes para que toda la evidencia se conserve para el enjuiciamiento o el análisis posterior al incidente.
3. Desconecta la red
Si se descubre que el ransomware está atacando a más de una ubicación o dispositivo, entonces desconecta la red. Puedes volver a habilitar la red más tarde durante el modo de recuperación y restauración. También intenta deshabilitar las conexiones de red de conmutadores y dispositivos conectados a ella.
4. Determina el alcance del ciberataque
Es hora de profundizar en la naturaleza del ciberataque y el alcance del daño. Hazte algunas preguntas importantes como:
- ¿Qué fue y qué no fue golpeado?
- ¿Qué lugares, sistemas operativos y tipos de archicvos fueron afectados ?
- ¿Qué se comprometió?
- ¿Se han robado datos?
- ¿Es más de una máquina la comprometida?
- ¿Qué tipo de cepa de ransomware es (Ryuk, Locky, Dharma, SamSam, Conti, entre otros)?
Verifica los registros del software de seguridad para detectar vulnerabilidades, escanea en busca de malware, herramientas y secuencias de comandos que puedan haberse utilizado para filtrar datos y verifica las copias de seguridad y asegúrate de que estén intactas.
Los archivos de almacenamiento inesperadamente grandes (por ejemplo, zip, arc) que contienen información confidencial pueden indicar datos robados. Y para determinar si se han robado las credenciales, revisa las credenciales de usuario en sitios de volcado de contraseñas.
Podría interesarte: Todo lo que debes saber sobre las huellas del ransomware
5. Limita el daño inicial
A estas alturas, los equipos de seguridad deberían haber deshabilitado las redes, internet incluido, para evitar que los piratas informáticos miren dentro de la red o controlen de forma remota el ransomware.
Algunos incidentes de ransomware también pueden ser el resultado de un compromiso anterior de la red sin resolver (es decir, infecciones de malware como TrickBot, Dridex o Emotet). Se debe tener cuidado para identificar y limpiar cualquier malware de este tipo para evitar un compromiso continuo, por lo que es una buena idea llamar a expertos.
6. Informa al equipo
Los equipos de seguridad deben compartir lo que se sabe en toda la organización para que todos tengan una comprensión común de los daños infligidos. Asegúrate de que todos estén de acuerdo con la evaluación inicial. Al final, el propósito es que todos estén en la misma página porque solo así pueden llegar a una respuesta efectiva a la situación.
7. Contacta al equipo de Grupo Micronet
En muchos casos, los usuarios se sentirán confundidos y nerviosos cuando su sistema informático se enfrente a un incidente. Busca ayuda de un equipo profesional en ciberseguridad, servicio que nosotros en Grupo Micronet ofrecemos para ayudar a las empresas a evaluar sus opciones en ciberseguridad y determinar la respuesta ante el ransomware y ante cualquier otro tipo de ataque.