El ransomware es una clase sofisticada de malware en la que los datos son secuestrados hasta que se pague un rescate. Algunas de las formas más comunes en que el ransomware se infiltra en las organizaciones es a través de correos electrónicos de phishing, sitios web corruptos y extensiones maliciosas. Al adoptar medidas de seguridad proactivas y desarrollar un plan de respuesta al ransomware bien estructurado, las organizaciones pueden reducir significativamente el riesgo de ser víctimas de estos ciberataques extorsionadores. Aquí encontrará algunas estrategias eficaces para protegerse contra el ransomware, métodos de prevención y pasos para lograr una rápida recuperación en el desafortunado caso de sufrir un ataque de ransomware.
Use la regla de respaldo 3-2-1: Guarde al menos tres versiones distintas de los datos (una original y dos copias de seguridad), en dos tipos de almacenamiento diferentes, y al menos una copia fuera de las instalaciones.
Reduzca las vulnerabilidades de sus sistemas operativos, navegadores, software antivirus y otras aplicaciones actualizándolos regularmente.
Bloquee los ejecutables maliciosos, el spam, el phishing y otros ataques de correo electrónico comunes que se sabe que utilizan ransomware.
Utilice una sólida gestión de acceso para restringir los accesos injustificados y reducir el número de puntos de acceso a través de los cuales el malware puede entrar en su organización.
Ofrezca formación periódica a sus empleados sobre cómo identificar y evitar las trampas habituales del ransomware, como anuncios maliciosos, correos electrónicos de phishing, etc.
Detenga los ataques de ransomware en sus primeras fases utilizando un monitoreo continuo para detectar signos de actividad anómala o maliciosa en tiempo real, lo que le permite responder al instante.
Divida su red en varios segmentos lógicos para poder aislarla en caso de sufrir un ataque de ransomware.
Aísle y desconecte inmediatamente los sistemas infectados de la red para evitar una mayor propagación y minimizar los daños.
Notifique sin demora sobre el incidente de ransomware a las partes internas apropiadas (equipo de respuesta a incidentes, asesor jurídico y accionistas) y a las partes externas (organismos policiales, agencias de cumplimiento, etc.).
Determine la cuenta de usuario con la que se inició el ataque y decida si es necesario revocar los permisos y privilegios del usuario para evitar futuros ataques.
Compruebe las extensiones de archivo, la nota de rescate y el estilo de codificación para identificar el tipo y la variante del ransomware.
Utilice copias de seguridad verificadas y limpias, preferiblemente de una ubicación externa, para restaurar los sistemas y datos afectados a su estado anterior al ataque.
Inicie un análisis de respuesta tras el incidente para averiguar cómo el ransomware penetró en el sistema, qué vulnerabilidades se explotaron y cómo prevenir futuros incidentes.
Desactive las tareas habituales de mantenimiento, como la eliminación de archivos temporales, el análisis del uso de disco, las actualizaciones, etc., hasta que finalice la investigación, ya que pueden interferir con el análisis forense.
Monitoree la actividad de la red y del sistema en busca de patrones inusuales, como un aumento repentino en las modificaciones de archivos o intentos de cifrado. Las herramientas avanzadas de detección de amenazas como DataSecurity Plus pueden identificar estas firmas y comportamientos de ransomware en una fase temprana, y ayudarle a configurar un sistema de alerta y respuesta para apagar los sistemas infectados desde el principio.
Vea cómo funciona el mecanismo automatizado de respuesta al ransomware de DataSecurity Plus.