Lidiar con un ataque de ransomware durante la pandemia de COVID-19 podría ser un escenario de pesadilla. Si bien los conceptos básicos de la protección de su organización no cambiarán durante esta pandemia; hay algunos desafíos adicionales que deben considerarse.
El ransomware no va a ninguna parte
Los grupos criminales están cambiando cada vez más a señuelos temáticos de COVID-19 para el phishing que explotan las preocupaciones de sus consumidores y empleados sobre la pandemia y la seguridad de sus seres queridos.
También hay evidencia de que el trabajo remoto aumenta significativamente el riesgo de un ataque de ransomware exitoso. Este aumento se debe a una combinación de controles más débiles en la TI doméstica y una mayor probabilidad de que los usuarios hagan clic en los correos electrónicos de señuelo de ransomware con temática covid-19 dados los niveles de ansiedad.
Algunos señuelos de ransomware actuales incluyen:
- Información sobre vacunas, máscaras y productos escasos como desinfectante de manos.
- Estafas financieras que ofrecen el pago de asistencia del gobierno durante el cierre económico.
- Descargas gratuitas para soluciones tecnológicas de alta demanda, como plataformas de videoconferencia y audioconferencia.
- Actualizaciones críticas para soluciones de colaboración empresarial y aplicaciones de redes sociales para consumidores.
También hemos visto un movimiento hacia formas más creativas de extorsionar rescates. Estos incluyen la «doble extorsión», donde el ransomware cifra sus datos y lo obliga a pagar un rescate para recuperarlos y luego envía sus datos al actor de la amenaza, que amenaza con liberar sus datos confidenciales a menos que se pague un rescate adicional.
Tres retos
Durante esta pandemia, su organización se enfrenta a tres desafíos simultáneos:
- El panorama de amenazas está evolucionando para usar COVID-19 como un atractivo para depositar ransomware con más éxito en su red.
- Es posible que los controles preventivos y de detección hayan tenido que adaptarse para permitir prácticas de trabajo más flexibles.
- El equipo de seguridad tiene que gestionar incidentes en condiciones desconocidas, incluido el confinamiento, con libros de jugadas que no se adaptan a estos modos de funcionamiento. Entonces, ¿a dónde vamos desde aquí?
Educar al personal sobre la amenaza
La función de seguridad, el equipo de cumplimiento y el equipo de auditoría interna pueden describirse como la primera, segunda y tercera línea de defensa. Aun así, los usuarios siempre estarán en la primera línea: la educación y la concientización importan.
Ayude al personal a detectar archivos adjuntos de correo electrónico COVID-19 y enlaces a sitios web que podrían contener ransomware, mostrando ejemplos típicos de ataques y proporcionando consejos para reconocer señuelos.
- Brinde al personal una guía práctica sobre qué hacer si su dispositivo se ve comprometido. Tranquilícelos sobre cualquier amenaza personal recibida, proporcione detalles sobre a quién llamar y qué hacer con el dispositivo infectado, incluida la desconexión de Internet.
- Reforzar una cultura de no culpa. Es más importante que el personal se sienta seguro para reportar incidentes y permitir que la organización se ocupe de las consecuencias.
Adaptación al nuevo entorno
Algunos pasos prácticos a considerar al defender su sistema contra el ransomware durante estos tiempos inusuales:
- El ransomware puede sobrescribir copias de seguridad incrementales y otras copias de seguridad en línea. Realice copias de seguridad periódicas y completas del sistema de sus servidores, bases de datos y servidores de archivos, y asegúrese de confirmar la validez de esas copias de seguridad.
- Considere una copia de archivo adicional de servidores clave y conjuntos de datos que se almacenan fuera de línea o en una forma que no pueda ser manipulada por un delincuente que adquiera derechos de administrador de dominio.
- La aplicación de parches a vulnerabilidades críticas, incluso durante la congelación de cambios, sigue siendo tan importante como siempre, incluidos los dispositivos de punto final, con un enfoque particular en las vulnerabilidades del navegador y las aplicaciones de productividad. Compruebe si los dispositivos aceptan actualizaciones por VPN.
- Sea más cauteloso en la configuración de los controles de phishing de correo electrónico. Marque los correos electrónicos que son externos a la organización, facilite a los empleados la notificación de correos electrónicos sospechosos (por ejemplo, el complemento de mensaje de informe en Outlook) y use una lista de bloqueo de la comunidad COVID-19.
- Considere la posibilidad de realizar una comprobación más exhaustiva de los vínculos de correo electrónico incrustados, incluido el bloqueo de sitios web sin categorizar, el uso de la funcionalidad de vínculos seguros de Microsoft Advanced Threat Protection (ATP) o el uso de un servicio de filtrado de DNS como el Quad 9 de la Global Cyber Alliance.
- Muchos ataques actuales explotan las infecciones de scripting. Limitar el uso de lenguajes de scripting y macros a los usuarios que necesitan la funcionalidad puede reducir el riesgo. Considere una «lista segura» más estricta de los programas para limitar el uso de aplicaciones a la productividad y las herramientas de audio / videoconferencias necesarias para la mayoría de los trabajadores remotos.
- Fomente una separación más estricta entre los dispositivos personales y corporativos, los empleados pueden usar sus propios dispositivos para el correo electrónico personal y la actividad de navegación.
Reconsidera tu respuesta
Piense en cómo su organización lidiaría con un incidente de ransomware durante COVID-19 antes de que suceda.
- Revise los libros de jugadas de incidentes de ransomware y pregunte si las restricciones de bloqueo físico pueden cambiar la forma en que se gestiona el incidente.
- Asegúrese de que los equipos de respuesta a incidentes puedan viajar, que tengan cartas que confirmen su estado como trabajadores críticos si se les desafía, y que puedan obtener acceso a sitios / locales clave que pueden no estar completamente tripulados.
- Considere la necesidad de aumentar su equipo de respuesta a incidentes si los miembros clave del equipo están incapacitados o en autoaislamiento.
- Evalúe si se requiere un mecanismo alternativo de coordinación y colaboración de respuesta a incidentes si su TI corporativa y los sistemas de conferencia estándar se ven interrumpidos por el ransomware.
- Si los dispositivos de trabajo remoto están encriptados, ¿existe un medio para proporcionar dispositivos de reemplazo a los usuarios prioritarios o habilitar el acceso BYOD para esos usuarios?
- Si existe la necesidad de reconstruir los dispositivos corporativos utilizados para el trabajo remoto, ¿cómo se devolverán esos dispositivos, hay alguna precaución de higiene necesaria y cuál es el proceso para reconstruir esos dispositivos?
- Planifique una secuencia de recuperación para los servidores a fin de garantizar que los procesos empresariales clave puedan volver a ponerse en marcha, y pregunte si esas prioridades han cambiado dados los nuevos modelos de trabajo y los patrones de demanda.
- Sea realista con respecto a los plazos para la restauración completa de los servicios comerciales, que pueden ser semanas en lugar de días. Trabaje con los equipos de continuidad del negocio para analizar las mitigaciones y soluciones alternativas, que pueden limitar el impacto en el cliente o en la empresa.
- Comprenda qué apoyo puede proporcionar cualquier empresa de respuesta a incidentes cibernéticos retenida y la póliza de seguro cibernético existente. Una vez más, puede haber limitaciones en el apoyo que esas empresas ahora pueden ofrecer, principalmente si se trata de viajes internacionales.
- Actualizar la política sobre pagos de rescate, tomando asesoramiento legal si es apropiado.
- Practique un simulacro de incidentes mientras trabaja de forma remota.
Conclusiones clave
La ciberseguridad es más importante que nunca durante COVID-19, y el riesgo de ransomware ha aumentado como resultado del cambio al trabajo remoto.
Sea claro sobre las acciones prioritarias que necesitan atención durante las primeras 72 horas si ocurre un incidente de ransomware. ¿Dónde obtendrá su organización el apoyo que necesita? ¿El confinamiento limita la capacidad de respuesta? ¿Y el nuevo modelo de trabajo cambia las prioridades para la restauración empresarial?
Si tiene alguna pregunta o desea asesoramiento adicional, póngase en contacto con nosotros.