Ransomware es una de las amenazas digitales más comunes en las grandes empresas. Un grupo de ciberdelincuentes puede bloquear un ordenador y pedir dinero para liberarlo de nuevo, y eso es algo que ya hemos visto en hospitales, donde cada minuto de un sistema informático «secuestrado» puede costar vidas.
La recomendación de los expertos es sencilla: nunca pagar a los secuestradores y denunciar rápidamente a la policía. El problema es que eso no garantiza la liberación de los ordenadores, mientras que se supone que un pago sí lo haría… así lo hizo una empresa en el Reino Unido, pero no sospechaba (o sí) que los criminales lo volverían a hacer poco después.
Han publicado el tema en el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, donde no dicen el nombre de la empresa, pero sí que pagó millones en bitcoins para restaurar la red y recuperar los archivos.
La empresa víctima simplemente lo dejó así, sin analizar cómo los ciberdelincuentes se infiltraron en la red, motivo por el cual el mismo ransomware los infectó de nuevo menos de dos semanas después. La empresa terminó pagando un rescate por segunda vez.
En el artículo lo cuentan de la siguiente forma:
Hemos oído hablar de una organización que pagó un rescate (un poco menos de 6,5 millones de libras esterlinas con los tipos de cambio actuales) y recuperó sus archivos (utilizando el descifrador suministrado), sin ningún esfuerzo por identificar la causa raíz y proteger su red. Menos de dos semanas después, el mismo atacante atacó la red de la víctima nuevamente, usando el mismo mecanismo que antes, y volvió a implementar su ransomware. La víctima sintió que no tenía otra opción que pagar el rescate nuevamente.
Quieren que eso sirva como ejemplo para otras organizaciones.
PAra evitar este tipo de problemas, recomendamos:
– Tener siempre copias de seguridad de cada ordenador, para recuperarlos en poco tiempo en caso de haber sido bloqueados.
– Cuando hay una infección o ataque ransomware, apagar los ordenadores conectados que no sean fundamentales para evitar la propagación, y buscar rápidamente los agujeros de seguridad por dónde el ataque se haya podido realizar. Para instalar ransomware, es posible que los ciberdelincuentes hayan podido obtener acceso por la puerta trasera a la red, posiblemente a través de una intrusión de malware anterior, además de tener privilegios de administrador u otras credenciales de inicio de sesión.
– Nunca realizar el pago del rescate, ya que no garantiza que se realice de nuevo.
Es lógico que la primera reacción de cualquier empresa es recuperar sus datos y garantizar que pueda volver a funcionar. Sin embargo, el problema real es que el ransomware suele ser solo un síntoma visible de una intrusión de red más grave que puede haber persistido durante días, y posiblemente más.