Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo proteger las copias de seguridad del ransomware

[14/03/2019] A pesar de una reciente disminución de los ataques, el ransomware aún representa una gran amenaza para las empresas, como lo demuestran los ataques contra varios periódicos importantes este mes. También se está volviendo cada vez más capaz. En particular, los autores de ransomware son conscientes de que las copias de seguridad son una defensa efectiva y están modificando su malware para rastrear y eliminar las copias de seguridad.

Ransomware en baja, pero no fuera

McAfee reporta una disminución en el malware y las muestras este último año. Según el último informe, en el tercer trimestre del 2018, el número de muestras de ransomware fue menos de la mitad del máximo a finales del 2017, cuando se alcanzó alrededor de 2,3 millones. Según Kaspersky Labs, 765 mil de sus usuarios fueron atacados por malware que cifró archivos durante el año pasado, en comparación con más de cinco millones que fueron atacados por crypto mineros.

El director de investigación de amenazas de Bitdefender, Bogdan Botezatu, dice que la razón principal de la caída de los ataques de ransomware es que las empresas de seguridad están mejorando su defensa. "Siempre habrá nuevas versiones de ransomware, algunas más complejas que otras y otras más difíciles de detectar, pero no esperamos que el ransomware adquiera proporciones mucho más grandes", indica. "Al menos no más grande que el año pasado".

"El ransomware fue la amenaza número uno durante algunos años, pero se redujo significativamente", comenta Adam Kujawa, jefe de inteligencia de malware en Malwarebytes. Sin embargo, el ransomware que está ahí afuera está evolucionando, añade. Por ejemplo, los creadores de malware están aprovechando las últimas vulnerabilidades, como las filtradas de la NSA. "Vemos que aparecen en muchas familias de malware", indica. "Cuando usa ese tipo de exploit, si infecta un solo sistema puede moverse lateralmente usando estos exploits. Crea un objetivo mucho más grande -esa es una tendencia que definitivamente vemos que está sucediendo".

Ransomware focalizándose las copias de seguridad

El ransomware ahora eliminará cualquier copia de seguridad que se encuentre en el camino, señala Kujawa. Por ejemplo, una táctica común para el ransomware es eliminar copias automáticas de los archivos que crea Windows. "Entonces, si va a restauración del sistema, no podrá volver atrás", anota. "También los hemos visto llegar a unidades de red compartidas".

Dos ejemplos recientes de ransomware que tienen copias de seguridad en su mira son SamSam y Ryuk. En noviembre, el Departamento de Justicia de Estados Unidos acusó a dos iraníes por usar el malware SamSam para extorsionar más de 30 millones de dólares a más de 200 víctimas, incluidos hospitales. Los atacantes maximizaron el daño, lanzando ataques fuera del horario comercial y "cifrando las copias de seguridad de las computadoras de las víctimas", decía la acusación.

Más recientemente, Ryuk alcanzó varios objetivos de alto perfil, como Los Angeles Times y el proveedor de alojamiento en la nube Data Resolution. De acuerdo con los investigadores de seguridad en Check Point, Ryuk incluye una secuencia de comandos que elimina volúmenes ocultos y archivos de copia de seguridad. "Si bien esta variante particular de malware no se dirige específicamente a las copias de seguridad, pone en riesgo soluciones de copia de seguridad más simplistas -unas que resultan en datos que residen en recursos compartidos de archivos", indica Brian Downey, director senior de gestión de productos de Continuum, una empresa de tecnología con sede en Boston que ofrece servicios de backup y recuperación.

La forma más común de hacerlo es a través de una función de Microsoft Windows llamada Versiones Anteriores, anota Mounir Hahad, director de investigación de amenazas en Juniper Networks. Esta permite a los usuarios restaurar versiones anteriores de archivos. "La mayoría de las variantes de ransomware eliminan las instantáneas", indica, y agrega que la mayoría de los ataques de ransomware también atacarán las copias de seguridad en los controladores de red asignados.

Ataques de ransomware oportunistas

Sin embargo, eso no significa que todas las copias de seguridad ahora sean vulnerables. Cuando el ransomware va tras éstas, generalmente es oportunista, no deliberado, señala David Lavinder, tecnólogo jefe de Booz Allen Hamilton. Dependiendo del ransomware, normalmente funciona rastreando un sistema en busca de tipos de archivo específicos. "Si encuentra una extensión de archivo de copia de seguridad, seguramente la cifrará", señala.

El ransomware también trata de propagarse, de infectar a tantos otros sistemas como sea posible, añade. Es en el tipo de capacidad de worming, como con WannaCry, donde espera ver más actividad en el futuro. "No esperamos ver ningún objetivo deliberado de las copias de seguridad, pero sí esperamos ver un esfuerzo más centrado en el movimiento lateral", indica.

Puede proteger sus copias de seguridad y sistemas de estas nuevas tácticas de ransomware tomando algunas precauciones básicas:

Complementar las copias de seguridad de Windows con copias adicionales y herramientas de terceros: Para defenderse del ransomware que elimina o cifra las copias de seguridad locales de los archivos, Kujawa sugiere usar copias de seguridad adicionales, utilidades de terceros u otras herramientas que no formen parte de la configuración predeterminada de Windows. "Si no hace las cosas de la misma manera, el malware no sabrá dónde eliminar las copias de seguridad", señala. "Si sus empleados se infectan con algo, pueden borrarlo y [restaurar desde esa copia de seguridad]".

Aislar las copias de seguridad: Cuantas más barreras haya entre un sistema infectado y sus copias de seguridad, más difícil será para el ransomware llegar a él. Un error común es utilizar el mismo método de autenticación para las copias de seguridad en varios lugares, comenta Landon Lewis, CEO de Pondurance, una empresa de servicios de ciberseguridad con sede en Indianápolis. "Si la cuenta de su usuario está comprometida, lo primero que va a querer hacer el atacante es aumentar sus privilegios", señala. "Si el sistema de copia de seguridad utiliza la misma autenticación, podrán tomar el poder de todo".

Un sistema de autenticación independiente, con contraseñas diferentes, hace que este paso sea mucho más difícil.

Mantener varias copias en múltiples ubicaciones: Lewis recomienda que las empresas conserven tres copias diferentes de sus archivos importantes, utilizando como mínimo dos métodos de copia de seguridad diferentes, y al menos uno de ellos debe estar en una ubicación diferente. Las copias de seguridad basadas en la nube proporcionan una opción remota y fácil de usar, señala. "El almacenamiento de bloques en Internet es muy económico. Es difícil argumentar por qué alguien no lo usaría como un método de respaldo adicional y si usa un sistema de autenticación diferente, es incluso mejor".

Muchos proveedores de copias de seguridad también ofrecen la opción de rollbacks, o múltiples versiones del mismo archivo. Si un ransomware ataca y cifra archivos, entonces la utilidad Copia de seguridad automáticamente hace copias de seguridad de las versiones encriptadas y sobrescribe las buenas, así el ransomware ni siquiera tiene que salir de su camino para llegar a las copias de seguridad. Como resultado, los rollbacks se están convirtiendo en una característica estándar, y las compañías deben verificar antes de decidirse por una estrategia de respaldo. "Eso es algo que yo, de todas maneras, agregaría a mi criterio", indica Lewis.

Probar, probar, probar: Muchas empresas solo descubren que sus copias de seguridad no se llevaron, o son demasiado voluminosas para regresar, después de haber sido víctimas de un ataque. "Si no ha hecho algún tipo de ejercicio de restauración, no está documentado y nadie está familiarizado con él, todavía vemos que muchos clientes consideran pagar, y en algunos casos realmente hacerlo, porque pagarle al atacante es más barato operacionalmente", indica.

Bob Antia, CSO en Kaseya, una compañía de tecnología que proporciona soluciones de respaldo como parte de sus ofertas, también recomienda verificar si los proveedores de respaldo pueden detectar un ataque de ransomware, especialmente las variedades más nuevas y sigilosas. Ahora, algunos ransomware se mueven lentamente de manera deliberada o permanecen inactivos antes del cifrado, señala. "Estas dos técnicas significan que es difícil saber [hasta] qué punto en el tiempo recuperar de sus copias de seguridad, añade. "Espero que el ransomware continúe encontrando formas más difíciles de ocultarse para dificultar la recuperación".

"No hemos visto muchos ataques globales importantes como WannaCry y Petya recientemente", anota Antia. Pero cuando sucede, puede ser extremadamente perjudicial. "Hemos visto a organizaciones perder millones de dólares como resultado de ataques recientes", finaliza.