A pesar de que en los últimos meses el número de ataques vía ransomware ha descendido ligeramente, ésta sigue siendo una de las principales amenazas cibernéticas contra las que tienen que luchar las organizaciones, y muy especialmente, en plena pandemia de coronaviurs, las sanitarias.
Además, los ciberdelincuentes se han dado cuenta de que las copias de seguridad o backups son una defensa eficaz, por lo que están sofisticando sus herramientas para eliminarlas.
Según el Jefe de Inteligencia de Malwarebytes, Adam Kujawa, las nuevas familias de ransomware son ahora capaces de eliminar cualquier copia de seguridad que se encuentren en el camino. Ejemplos de esto son los grupos SamSam y Ryuk. De hecho, recientemente, el Departamento de Justicia de Estados Unidos ha acusado a dos ciudadanos iraníes de utilizar SamSam para lograr más de 30 millones de dólares de unas 200 víctimas. Estos también lograron cifrar los sistemas de backup de los dispositivos atacados.
El grupo Ryuk también es capaz de comprometer las copias de seguridad más simples, aunque no se dirige específicamente a ellas. “Cuando un ransomware ataca una copia de seguridad suele ser de manera oportunista y no deliberada”, explica David Línder, Director de Booz Allen Hamilton. Por ello, los investigadores creen que se pueden poner en práctica varios consejos básicos para evitar que se rompan estos sistemas. Kujawa sugiere utilizar copias de seguridad adicionales o herramientas de terceros que no formen parte de la configuración predeterminada de Windows.
Además, dice, “cuantas más barreras haya entre el sistema infectado y la copia de seguridad, más difícil será que los ciberatacantes puedan acceder a ella”. Un error común es que muchos usuarios tienen la misma contraseña para el backup que para el acceso a otros lugares.
Asimismo, es muy recomendable que las empresas mantengan tres copias diferentes de sus archivos importantes, utilizando al menos dos métodos de respaldo diferentes, de los cuáles uno debe estar también en una ubicación distinta. La nube es, en este caso, una de las mejores opciones.
Por último, hay que identificar si los proveedores de backup son capaces de detectar un ataque de ransomware, especialmente los más novedosos, que son más sigilosos y se mueven lateralmente dentro de las compañías.
María Kolorov, CSO.es
