En este artículo del blog y después de estas jornadas aciagas contra el ransomware, quisiéramos hacer una breve reflexión con vosotros sobre la continuidad de negocio.
Las Meigas y los Ataques de Ransomware
Conforme avanzan los días nos vamos enterando de nuevos ataques a empresas. Nada nuevo bajo el sol. Haberlos, haylos, los veamos o no. Pero nos llama la atención cómo va cambiando la situación y lo que la ha provocado.
Los primeros ataques, de hace años, eran a grandísimas empresas y salían en los periódicos por lo extraordinario de la situación. Y ahora es a cualquier empresa, de cualquier tamaño, da igual que sea famosa o no.
Commodity Ransomware y el autosabotaje
Los ataques ya no tienen que ser supersofisticados o de superexpertos en ciberseguridad oscura, como el de SolarWinds, que les permitió llegar más allá y colarse hasta en el código de Microsoft Windows.
Ni de última generación: el ataque al SEPE no ha sido tan sofisticado, sino con un ransomware que está circulando desde 2018, Ryuk. Si se rasca un poco, se ve que Ryuk deriva de otro ransom, Hermes, que está disponible en foros, por lo que ya se considera Commodity Ransomware. Ojo al dato: Commodity.
Y el otro ataque reciente, el exploit de Microsoft Exchange, hasta se colgó en GitHub.
Luego no es una cuestión de sofisticación y mala suerte, sino de mentalizarse que, igual que los ataques cambian, las protecciones que se adquieren también deben hacerlo. Psicológica y genéticamente, el ser humano tiende a conservar lo que tiene, porque le ha costado un esfuerzo y no va a tirarlo porque sí. Pero esto es un arma de doble filo, porque es un autosabotaje, es más que tirar piedras sobre tu propio tejado. Es abrir la puerta y decir: pasad, que estáis todos invitados.
Hay que recordar que el hecho de que no se vea nada encriptado ni pantallas con avisos de pagos de bitcoins, no quiere decir que no estén dentro desde hace tiempo.
De hecho, mientras hemos estado haciendo análisis forense en clientes atacados recientemente, siempre vemos que ya estaban dentro mucho antes de que empiecen a realizar las fechorías.
Bueno, vale, de acuerdo. Pero tengo mi backup
Siendo sinceros, es verdad que se puede discutir mucho, porque el papel lo aguanta todo, sobre todo si una solución de protección (endpoint, correo, WAF, …) es mejor que otra.
Y que la estadística nos dice que la mayoría de las veces no se cambia hasta que no se sufre un ataque o se hace una PoC comparativa. Todos sabemos que las personas aprendemos más a las malas que a las buenas.
Da igual que te digan que fulanito tiene la misma solución que tú y le han dado; siempre se pensará que “a mi no” (la magia de la psicología humana). Pero si algo es realmente anti-ransomware o no, sí se ve. Son hechos, no opiniones.
¿Seguro que tienes tu backup?
Si algo se puede modificar, se puede crackear, se puede encriptar… nos harán un siete en cualquier momento. Esto no es un backup, es un archivado de ficheros.
¿Cuál es el objetivo de un ransomware? Cifrar lo máximo posible, a ser posible los backups.
¿Por qué? Porque si se consigue, no hay posibilidad de recuperar datos y el pago del ransomware es casi seguro.
Conclusiones
La mayoría de las empresas siguen pensando en el modelo tradicional de protección, que se centra en las fases de Detect y Protect. Pero, por desgracia, este modelo se ha demostrado que no es perfecto, porque las personas y las herramientas de Detect y Protect no lo son. Por muchos 99.999…9% de efectividad que tengan, no es un 100%.
Por tanto, cuando hablamos de continuidad de negocio, hablamos de tener un 100% de continuidad, no muchos nueves en los decimales. Hablamos de una solución inmutable frente al ransomware, que me permita estar seguro de que nos vamos a recuperar de los ataques. Eso es ciberresiliencia real.
Y las herramientas de backup tradicionales no lo dan; son complejas y provocan que sea más difícil pasar a otra que continuar con ella, y eso es una trampa, con todas sus letras.
Las organizaciones, a través de sus equipos de IT, deben ser proactivos y estar preparados. Porque la capacidad de recuperación ante ataques de tipo ransomware debe ser un factor crítico dentro de los planes de Continuidad de Negocio en las organizaciones, debe ser la prioridad de cualquier empresa.
Nosotros podemos ayudaros, igual que lo estamos haciendo con nuestros clientes. ¿Hablamos?
Autor: Juan Fernando Romero, Business Development en Open3S