Cómo un sistema de backup te ayudará a evitar el ransomware y sus consecuencias

Tiempo de lectura: 4 minutos

Si eres el responsable de IT de una empresa con una alta dependencia de su sistema de información, quizá te sientes incómodo ante la posibilidad de que no esté correctamente protegido ante posibles ataques de ransomware.

Y esta incomodidad crecerá al sumar algunas de estas circunstancias

  • Cuanto más expuesta esté tu marca al público, más probabilidad de ser atacada.
  • Los antecedentes de cesión al chantaje aumentan las probabilidades de volver a ser atacado de nuevo.
  • En la medida que tus proveedores de seguridad hacen gala de tu fidelidad, están dando pistas a quienes organizan los ataques maliciosos para aprovechar vulnerabilidades conocidas

Como ya sabrás, el ransomware es un tipo de malware cuya infección tiene como consecuencia el ‘secuestro’ de tu infraestructura o de tus datos hasta que se produce el pago del rescate exigido pro los ciberdelincuentes.

El secuestro se puede producir de dos formas: la primera de ellas es el bloqueo de todo dispositivo de entrada al sistema, por lo que desaparece cualquier posibilidad de interaccionar con el sistema, quedando este bloqueado.

En la segunda modalidad, toda la información del sistema queda encriptada e inaccesible para su propietario.

¿Cómo suele ser la infección de un software ransomware?

Usualmente utiliza tres canales de entrada. El más común es el envío de un anexo a un email pero también puede esconderse en descargas de software ilegal o gratuito, videos, etc…

Consecuencias derivadas de una infección imprevista de ransomware

  • Bloqueo operativo de la organización.
  • Creación de un sistema paralelo de gestion, basado en copias de seguridad, totales o parciales, y equipos no conectados a la red principal.
  • Estudio y decisión sobre la solución a tomar
    • Pago del rescate, aunque nunca podamos estar seguros de que realmente desbloquearán el Sistema, como prometen.
    • Formateado y borrado de equipos, con la pérdida de información correspondiente.
    • Disponer de técnicos de primer nivel que trabajen en la eliminación del Código malicioso.
  • Revisión de protocolos de seguridad.
  • Cálculo del impacto económico y de reputación derivado de la infección.
  • Determinación de responsables y asunción de responsabilidades.

¿Deseas contactar con un especialista en productos Veeam?

¿Qué medidas preventivas pueden tomarse ante el ransomware?

Vistas las consecuencias que tiene una infección imprevista de ransomware y sabiendo que cualquier organización que utilice medios digitales para conectarse al mundo exterior (o sea todas) está expuesta, lo conveniente es trazar un plan de contingencia.

  1. Formar a todo nuestro personal en las amenazas existentes y cómo son parte fundamental en la estrategia de protección.
  2. Dotar a todos los equipos de un software de protección ante virus y malware. Aunque esta medida no nos asegura al 100% el bloqueo de las amenazas, es un paso muy importante ya que detectará y bloqueará muchas de ellas.
  3. Disponer de un sistema UTM/XTM correctamente configurado y actualizado o incorporar esta tecnología a nuestra arquitectura de seguridad. Esta tecnología, junto a la protección derivada en el punto 1, será decisiva para detener cualquier intento de infección desde el exterior.
  4. Revisar nuestros protocolos de seguridad.
  5. Disponer de un sistema de copias de seguridad a prueba de ransomware.

Cómo un sistema de copias de seguridad a prueba de ransomware puede ser decisivo en caso de infección

Detectando ransomware en estados iniciales

Veeam One es capaz de detectar posibles infecciones de ransomware en estados iniciales mediante el análisis del uso de la CPU, la velocidad de escritura en el almacén de datos y la cantidad de transmisión en la red (suele ser actividad ligada a la encriptación  de información). En caso de que la alarma salte, puede desencadenar la ejecución de un script predeterminado y, al mismo tiempo, generando un aviso para el responsable de seguridad, quien deberá revisar la máquina y determinar la posible infección.

Protegiendo las copias de seguridad de la infección

Un sistema como Veeam puede generar una copia denominada ‘Copia inmutable’ de forma que, cualquier modificación sobre la copia, debe ser aprobada explícitamente, mediante controles estrictos de varios niveles.

Esta característica funciona sobre Microsoft Azure, Amazon Web Services (AWS), IBM nube y el resto de plataformas que admitan almacenamiento de objetos.

Pantalla de Ransomware
Pantalla de Ransomware

Garantizando copias de seguridad libres de ransomware

Determinar que las copias de seguridad del sistema contienen el ransomware atacante es una de las peores noticias que podemos tener en el momento de su restauración.

Por ello, VEEAM escanea las copias en el momento de su generación a fin de asegurarse de que estén libres de cadenas sospechosas de malware, convirtiéndolas en copias confiables para su restauración en el futuro.

Garantizando que las copias de seguridad libres están libres en su restauración

Es posible que no hayamos detectado aún la amenaza al estar ‘durmiente’, esperando a algún evento para destapar su poder destructivo. Veeam dispone de un sistema que analiza la copia en el momento de ser respaldada, al igual que lo hace en el momento de su creación, escaneando el contenido en busca de posibles cadenas de virus.

Disponiendo de un espacio aislado para la restauración de sus copias, análisis y limpieza de ficheros

El entorno de VEEAM nos ofrece SureBackup y DataLabs, que nos ayudarán a realizar la restauración en una máquina virtual aislada en la que podremos iniciar los análisis mediante nuestro antivirus de preferencia.