Archivos bloqueados, caos en la red y una amenaza invisible: Cómo frenar un ataque de ransomware
Detectar a tiempo un ataque de ransomware puede salvar tu información y tu operación. Te mostramos las señales clave y cómo actuar.
Un día todo funciona normal. Al siguiente, los archivos no abren, el sistema se arrastra y aparece un mensaje pidiendo plata para recuperar el acceso. Así empieza un ataque de ransomware, una amenaza cada vez más común en empresas de la región. La buena noticia: estos ataques no llegan de un momento al otro. Suelen dar señales —pequeñas, raras, fáciles de ignorar— que, si las sabés leer, te pueden dar tiempo para frenar la catástrofe.
¿Cómo detectar un ataque de ransomware?
Es importante identificar una serie de síntomas que nos pueden advertir sobre un posible ataque de ransomware. No obstante, también es vital aprender a evitar esta amenaza y reconocer su presencia en campañas de phishing, por ejemplo.
Estos son algunos de los aspectos por los que puedes identificar un posible ataque de ransomware:
– Extensiones: Si registras archivos con extensiones extrañas como .locked o .encrypted en archivos que antes eran .doc o .mp4, tienes una primera señal.
– Archivos que no se pueden abrir: Encontrar documentos defectuosos, que ya no se pueden abrir en el software correspondiente o distribuidos en ubicaciones distintas a las originales, pueden darnos alguna pista sobre un posible ataque.
– Rendimiento anormal del sistema: ¿El equipo trabaja más lento que de costumbre? ¿hay reinicios inesperados de forma recurrente? Esto puede suceder porque hay procesos consumiendo recursos.
Podes comprobarlo revisando el Administrador de Tareas de Windows (pero no te confíes, muchos procesos maliciosos se camuflan bajo nombres de procesos legítimos y asi pasan desapercibidos).
– Comportamiento sospechoso en la red: Un ataque de ransomware puede estar dirigido a un equipo, pero terminará afectando a toda la red (infecta a todos los dispositivos de la misma red). Un aumento repentino en el tráfico de red y la aparición de IPs inusuales, pueden ser algunas alertas adicionales.
– Deshabilitación de las configuraciones de seguridad: Si el antivirus no está funcionando y herramientas como Windows Defender Firewall están inactivos, tienes un indicio inequivoco de un ataque.
Todos estos tips pueden ser útiles para identificar un posible ataque mientras se va gestando. Una vez el ransomware haya encriptado todos los archivos, mostrará un mensaje en el que exige el pago de un rescate (generalmente en criptomonedas) para recuperar la información.
Sobra decir que el pago de este rescate no es garantía de obtener la información de vuelta. Lo más importante es prevenir con actividades como copias de seguridad en la nube.
¿Cómo detener un ataque de ransomware?
Si has visto suficientes indicios de un ataque de ransomware en tu equipo hay algunas medidas que puedes implementar de inmediato y otras que se pueden realizar de manera preventiva.
Medidas de respuesta inmediata
– Aislamiento y notificación: Desconecta tu dispositivo de la red para evitar la propagación del malware y notifica tan pronto sea posible al equipo de seguridad para que tome las medidas correspondientes.
– Intentá identificar la puerta de entrada: ¿Recordas algún archivo que recibiste con algún descuento inusual en alguna tienda online, una descarga de un sitio poco confiable o una notificación falsa? Si lo recordas puedes ayudar a evitar que otras personas en la organización descarguen el malware.
– Evitá copiar archivos por cualquier medio: Los archivos deteriorados no se van a restaurar “mágicamente” al copiarlos a una memoria USB o un disco duro por ejemplo. Solo moverás los archivos ya encriptados de ubicación, pero esto no resuelve el problema y si podrías estar propagando el malware a otra computadora.
Medidas preventivas
– Actualizaciones: Mantené el sistema operativo y los programas al día. Reduce el riesgo de ataques y muchas veces alerta sobre amenazas activas.
– Accesos: Restringí el acceso a recursos sensibles. Que no cualquiera vea lo importante. La gestión de accesos privilegiados (PAM) es fundamental.
– Seguridad en endpoints: Usá soluciones como Ransomware Protection Plus o Endpoint Central. Muchos ataques actuales no los detecta el antivirus porque se ejecutan desde la RAM, sin instalarse.
– Copias de seguridad: Hacé backups todas las semanas o programá recordatorios. No evita el ataque, pero te salva la información.
– Buenas prácticas ITSEC: Mostrale al equipo cómo detectar phishing, vishing, whaling y otras técnicas comunes. La prevención sigue siendo clave.
Ransomware Protection Plus: detecta y neutraliza ataques
La nueva solución multicapa de ManageEngine (Ransomware Protection Plus), identifica las amenazas en tiempo real, aísla los sistemas infectados y restaura la información en los endpoints en cuestión de minutos.
– Detección del comportamiento: esta solución utiliza machine learning para analizar los procesos y el comportamiento de los archivos, y detectar patrones inusuales de alteración, eliminación o modificación.
– Protección contra malware sin archivos: recuerda que hay malware que se ejecuta desde la memoria RAM sin siquiera instalarse. Ransomware Protection Plusdetecta el ransomware que es invisible a los antivirus convencionales y se ejecuta directamente en la memoria o a través de scripts.
– Ciclo de vida del ataque: Esta nueva herramienta permite ver todo el ciclo de vida del ataque de ransomware, desde el punto de entrada del dispositivo hasta la información del proceso y más detalles en caso de una investigación forense.
¿Cómo funciona Ransomware Protection Plus?
Cuenta con poderosas funciones como las que describimos anteriormente y que se pueden catalogar como características de un software EDR (Endpoint Detection and Response) capaz de detectar amenazas y responder adecuadamente.
Pero además, puede restaurar la información rápidamente. ¿Cómo lo logra?
Aprovechá la tecnología de Microsoft VSS (Volume Shadow Copy Service), una herramienta que crea copias de seguridad ocultas de los endpoints cada tres horas. En caso de un ataque se producirá una restauración automática.
Podés leer el artículo completo en el siguiente enlace:
¿Cómo detectar y detener un ataque de ransomware?