Cómo proteger las copias de seguridad de los ataques ‘ransomware’

El ‘ransomware’ se está volviendo cada vez más más inteligente, atacando las copias de seguridad para evitar la recuperación. Algo que, según se puede evitar siempre que se tomen unas simples medidas.

A pesar de la reciente disminución de los ataques, el ransomware sigue planteando importantes amenazas para las empresas, como demostraron los ataques contra organizaciones del segmento salud ocurridos en los últimos meses. Unos ataques que también están registrando un notable incremento en virulencia. Los ciberdelincuentes son conscientes de que las copias de seguridad son una defensa efectiva y, por ello, están modificando su malware para localizar y eliminar las copias de seguridad.

Objetivo: las copias de seguridad 

Un ataque ransomware es capaz, en estos momentos, de borrar cualquier copia de seguridad que se encuentre en el camino, dice Adam Kujawa, jefe de inteligencia de malware en Malwarebytes. Por ejemplo, una táctica común es eliminar las copias automáticas de los archivos que Windows crea. “Por lo tanto, si vas a la restauración del sistema, no puedes volver atrás”. “También los hemos visto llegar a unidades de red compartidas”.

Dos ejemplos bien conocidos de este tipo de ataques ransomware a copias de seguridad son SamSam y Ryuk. En noviembre, el Departamento de Justicia de los Estados Unidos acusó a dos iraníes de utilizar el malware de SamSam para extorsionar más de 30 millones de dólares a más de 200 víctimas, incluidos hospitales. Los atacantes maximizaron los daños, lanzando ataques fuera del horario regular de trabajo y “cifrando las copias de seguridad de los ordenadores de las víctimas”, según la acusación.

Ryuk alcanzó varios objetivos de alto perfil, entre ellos Los Angeles Times y el proveedor de alojamiento en la nube Data Resolution. Según los investigadores de seguridad de Check Point, Ryuk incluye un guión que elimina los archivos de copia de seguridad. “Si bien esta variante particular de malware no apunta específicamente a las copias de seguridad, sí pone en riesgo las soluciones de copia de seguridad más simples, es decir, aquellas cuyos datos residan en archivos compartidos”.

La forma más común de hacerlo es a través de una función de Microsoft Windows, conocida como Versiones Previas, dice Mounir Hahad, jefe de investigación de amenazas de Juniper Networks. De esta forma se permite a los usuarios restaurar versiones anteriores de los archivos. “La mayoría de las variantes del ransomware borran las instantáneas de las copias de sombra”, dice, añadiendo que la mayoría de ransomware también ataca las copias de seguridad de los controladores de red mapeados.

Ataques oportunistas

Cuando el objetivo del ransomware son las copias de seguridad, “estamos ante un ataque oportunista, no deliberado”, dice David Lavinder, jefe de tecnología de Booz Allen Hamilton. Normalmente funciona rastreando un sistema en busca de determinados tipos de archivos. “Si encuentra una extensión de archivo de respaldo, lo más seguro es que lo encripte”.

El ransomware también intenta propagarse para infectar tantos sistemas como sea posible, dice. Esta modalidad, similar a Wannacrytipo, como con WannaCry, es donde espera ver más actividad en el futuro. “No esperamos ver ningún objetivo deliberado de las copias de seguridad, pero sí esperamos ver un esfuerzo más centrado en el movimiento lateral”.

Fuente: cso.computerworld.es

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.