A pesar de la reciente disminución de los ataques, el ransomware sigue planteando importantes amenazas para las empresas, como demostraron los ataques contra organizaciones del segmento salud ocurridos en los últimos meses. Unos ataques que también están registrando un notable incremento en virulencia.
Los ciberdelincuentes son conscientes de que las copias de seguridad son una defensa efectiva y, por ello, están modificando su malware para localizar y eliminar las copias de seguridad.
Objetivo: las copias de seguridad
Un ataque ransomware es capaz, en estos momentos, de borrar cualquier copia de seguridad que se encuentre en el camino, dice Adam Kujawa, jefe de inteligencia de malware en Malwarebytes. Por ejemplo, una táctica común es eliminar las copias automáticas de los archivos que Windows crea. “Por lo tanto, si vas a la restauración del sistema, no puedes volver atrás”. “También los hemos visto llegar a unidades de red compartidas”.
Dos ejemplos bien conocidos de este tipo de ataques ransomware a copias de seguridad son SamSam y Ryuk. En noviembre, el Departamento de Justicia de los Estados Unidos acusó a dos iraníes de utilizar el malware de SamSam para extorsionar más de 30 millones de dólares a más de 200 víctimas, incluidos hospitales. Los atacantes maximizaron los daños, lanzando ataques fuera del horario regular de trabajo y “cifrando las copias de seguridad de los ordenadores de las víctimas”, según la acusación.
Ryuk alcanzó varios objetivos de alto perfil, entre ellos Los Angeles Times y el proveedor de alojamiento en la nube Data Resolution. Según los investigadores de seguridad de Check Point, Ryuk incluye un guión que elimina los archivos de copia de seguridad. “Si bien esta variante particular de malware no apunta específicamente a las copias de seguridad, sí pone en riesgo las soluciones de copia de seguridad más simples, es decir, aquellas cuyos datos residan en archivos compartidos”.
La forma más común de hacerlo es a través de una función de Microsoft Windows, conocida como Versiones Previas, dice Mounir Hahad, jefe de investigación de amenazas de Juniper Networks. De esta forma se permite a los usuarios restaurar versiones anteriores de los archivos. “La mayoría de las variantes del ransomware borran las instantáneas de las copias de sombra”, dice, añadiendo que la mayoría de ransomware también ataca las copias de seguridad de los controladores de red mapeados.
Ataques oportunistas
Cuando el objetivo del ransomware son las copias de seguridad, “estamos ante un ataque oportunista, no deliberado”, dice David Lavinder, jefe de tecnología de Booz Allen Hamilton. Normalmente funciona rastreando un sistema en busca de determinados tipos de archivos. “Si encuentra una extensión de archivo de respaldo, lo más seguro es que lo encripte”.
El ransomware también intenta propagarse para infectar tantos sistemas como sea posible, dice. Esta modalidad, similar a Wannacrytipo, como con WannaCry, es donde espera ver más actividad en el futuro. “No esperamos ver ningún objetivo deliberado de las copias de seguridad, pero sí esperamos ver un esfuerzo más centrado en el movimiento lateral”.
Cómo proteger las copias de seguridad
Complementar las copias de seguridad de Windows con copias adicionales y herramientas de terceros. Para defenderse contra el ransomware que borra o cifra las copias de seguridad locales de los archivos., Kujawa sugiere utilizar copias de seguridad adicionales o utilidades de terceros u otras herramientas que no forman parte de la configuración predeterminada de Windows. “Si no hace las coas de la misma manera, el malware no sabrá dónde eliminar las copias de seguridad”.
Aislar las copias de seguridad. Cuando más barreras haya entre un sistema infectado y sus copias de seguridad, más difícil será para el ransomware llegar a él. Un error común es cuando los usuarios tienen el mismo método de autenticación para sus copias de seguridad, más difícil será para el ransomware llegar a él. Un error común es cuando los usuarios tienen el mismo método de autenticación para sus copias de seguridad que utilizan en otros lugares, dice Landon Lewis, director general de Pondurance, una empresa de servicios de seguridad cibernética con sede en Indianápolis. “Si la cuenta de su usuario está comprometida, lo primero que quiere hacer el atacante es aumentar sus privilegios”.
“Si el sistema de respaldo usa la misma autenticación, pueden apoderarse de todo”. Por lo tanto, disponer de un sistema de autenticación separado, con diferentes contraseñas, hace este paso mucho más difícil.
Mantener múltiples copias de seguridad en múltiples lugares. Lewis recomienda que las empresas mantengan tres copias diferentes de sus archivos importantes, utilizando al menos dos métodos de copia de seguridad diferentes y al menos una de ellas debe estar en un lugar diferente. Las copias de seguridad basadas en la nube proporcionan una opción de copia de seguridad fácil de usar. “El almacenamiento en bloque en Internet es muy barato. Es difícil discutir por qué alguien no lo usaría como un método de respaldo adicional. Si usas un sistema de autenticación diferente, es aún mejor”.
Muchos vendedores de copias de seguridad también ofrecen la opción de rollbacks, o múltiples versiones del mismo archivo. Si un ransomware ataca y cifra los archivos, entonces la utilidad de copia de seguridad hace automáticamente copias de seguridad de las versiones cifradas y sobrescribe las buenas, entonces el ransomware ni siquiera tiene que esforzarse para llegar a las copias de seguridad. Como resultado, los rollbacks se están convirtiendo en una característica estándar, y las empresas deben comprobar esta opción antes de establecer una estrategia de copia de seguridad.
Realizar pruebas continuas de sus copias de seguridad. Muchas empresas sólo se enteran de que sus copias de seguridad no han sido robadas, o son demasiado complejas para recuperarlas, después de haber sido víctimas de un ataque. “Si no hay prácticas y no están documentadas y nadie está familiarizado con ellas, todavía vemos que muchos clientes consideran la posibilidad de pagar, y en algunos casos realmente lo hacen, porque pagar al atacante es en realidad operativamente más barato”.
Bob Antia, CSO de Kaseya, recomienda comprobar si los proveedores de copias de seguridad pueden detectar un ransomware, especialmente las variedades más nuevas y sofisticadas. Algunos programas de rescate se mueven lentamente a propósito, o permanecen inactivos antes de ser cifrados. “Estas técnicas hacen que sea difícil saber en qué momento hay que recuperar las copias de seguridad”.
“No hemos visto muchos ataques globales importantes como WannaCry y Petya recientemente”, dice Antia. Pero cuando ocurren, pueden ser extremadamente perjudiciales, añade. “Hemos visto organizaciones individuales afectadas con millones de dólares en pérdidas como resultado de los recientes ataques”.
