SIS on line - Servicio de Información de SeguridadGrupo Estudios Técnicos OnLine

ii iii iiii iiiii

Portada

Contacto Búsqueda Productos Empresas Anúnciese Libros Formación

DOM 24 NOV 2024

Bienvenido a SISONLINE.COM, el portal de los Profesionales, Empresas, productos y servicios de seguridad

Directorio
Empresas
Productos
Servicios


Búsqueda
avanzada

Seguridad en:

Hoteles
Hospitales
Industrias
Banca
C.Comerciales
Org.Oficiales
Museos
Cen.de Datos
Portal
Convocatorias
Novedades
Noticias
Formación
Libros
Asociaciones
Concursos
Legislación
Latinoamérica
Empleo
Enlaces

Boletín
gratuito, todas las novedades de la web
Infoseguridad


¿No encuentra
su empresa en
el directorio?
PINCHE AQUI

Encabezado de servicios

BANNER PRINCIPAL

MANUAL PARA EL DIRECTOR DE SEGURIDAD

Actualidad - Temas

Buscar:

Página nueva 1

SISONLINE.COM News Web Server: Más sobre Ciberseguridad

Más en España

10 de Marzo de 2021

Qué hacer si somos víctimas de un ransomware

El SEPE ha sufrido un ciberataque devastador en las últimas 24 horas, específicamente ha sufrido un ataque de ransomware, un secuestro digital que tristemente se está convirtiendo en una de las herramientas favoritas de los cibercriminales.

Llegados a este punto, debemos admitir que resulta muy difícil deshacerse de un ransomware una vez que se cuela en los sistemas de una empresa. De hecho, muchas organizaciones no saben muy bien cómo reaccionar.

Sin embargo, eso no significa que estemos indefensos. Si desafortunadamente ese es nuestro caso, los pasos a dar deben ser metodológicos y cuidadosos, incluyendo la ayuda de profesionales especializados. En All4Sec ya explicamos consejos para prevenirlos, ahora queremos expresar un conjunto de recomendaciones básicas a seguir, dependiendo de la fase en la que nos encontremos.

Detección y análisis

Lo primero y más importante es identificar los sistemas que están afectados e inmediatamente aislarlos. Debemos pensar en términos de redes. Es fundamental, en la medida de lo posible, no apagar los equipos, aunque sí mantenerlos aislados para evitar las propagaciones laterales.

En caso de que los equipos no se puedan aislar de la red, podríamos apagarlos. No es la mejor opción porque con ello perderemos cualquier evidencia del ataque que resida en memoria. Por tanto, esta medida debe tomarse de forma muy reflexionada.

También debemos diagnosticar los sistemas que se han visto afectados para su posterior recuperación, dando prioridad a los equipos más críticos. Todo este proceso debe estar documentado junto con las concusiones del primer análisis.

Finalmente debemos informar del incidente a aquellos que puedan tener un interés legítimo en él y a aquellas compañías y organismos que puedan contribuir a su resolución.

Contención y eliminación

Una vez diagnosticado el ataque debemos capturar una imagen del sistema y del contenido de la memoria de algunos de los dispositivos afectados. Esta información, junto con los logs de los sistemas, nos permitirá identificar indicadores de compromiso.

Un paso recomendable es consultar a los organismos públicos y a las comunidades de expertos en ciberseguridad para ver si disponen de algoritmos para descifrar diferentes variantes del ransomware. Y, por supuesto, investigar el tipo de ransomware para determinar su posible comportamiento futuro.

Un elemento fundamental en esta etapa será la identificación de los sistemas y las cuentas de usuarios que originaron la brecha original. Basándonos en esta información se podrán implementar medidas de contención para evitar su propagación (i.e. deshabilitar VPNs, servidores de acceso remoto, recursos de SSO o servicios en la nube).

Si se detecta que un servidor está siendo infectado a través de un puesto de trabajo, debemos revisar las sesiones y los ficheros abiertos, analizar las conexiones RDP y comprobar las conexiones SMB y los intentos de acceso.

No menos importante resultará la información que proporcionan las herramientas de seguridad (EPP, IDS, IPS, FW…). Uno de los elementos críticos a localizar con ellas es el que actúa habitualmente de facilitador para la descarga del ransomware. Se trata de un componente clave en todo el proceso.

Deberemos, asimismo, analizar la posibilidad de persistencia del ransomware una vez que este sea eliminado a través de la localización de cuentas ocultas, puertas traseras o vulnerabilidades externas.

Finalmente, y una vez verificados y resueltos todos estos puntos, podremos recurrir a nuestros sistemas protegidos de backups y reconstruir el sistema empezando por los sistemas más críticos, utilizando imágenes software preconfiguradas, para inmediatamente cambiar las contraseñas y actualizar las versiones del software.

Recuperación

Llegados a esta etapa, volveremos a conectar los servicios en la red y monitorizaremos su comportamiento. Como punto final, será indispensable documentar todos los pasos dados durante el proceso, así como las lecciones aprendidas. De hecho, deberíamos considerar la posibilidad de compartir con la comunidad esas conclusiones en beneficio colectivo.

Corolario

El ransomware es una de las amenazas más dañinas que actualmente se presentan a las organizaciones. Estar preparados para evitarlo, y llegado el caso combatirlo, es una tarea fundamental dentro de cualquier compañía. Con una serie de medidas básicas de seguridad ciertamente podremos reducir su tasa de éxito. Resolverlo, sin embargo, a posteriori, resultará una tarea “algo más compleja”.

Fuente: ALL4SEC

Más información:

SISONLINE.COM le ofrece un servicio gratuito de contacto para ampliar la información a través de Internet sobre sus PRODUCTOS, TECNOLOGIAS y SERVICIOS.

Solicitud:

Indique sus datos de contacto:

Nombre y Apellidos *
Empresa *
Actividad de la empresa *
Cargo *
Provincia *
País *
Teléfono *
Correo Electrónico *
Si no tiene, indique un número de móvil y/o un fax

He leído y estoy de acuerdo con la política sobre Protección de Datos Personales de este servicio web.

-En cumplimiento de lo establecido en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, le informamos que los Datos que nos facilite mediante la cumplimentación del presente formulario pasarán a formar parte de un fichero propiedad de GE GRUPO ESTUDIOS TECNICOS SL con el fin de ofrecerle información sobre el sector y mercado de la Seguridad. No existe venta, comunicación ni cesión de sus datos a ninguna entidad u organización. Asimismo, le informamos que puede ejercer los derechos de acceso, rectificación, cancelación y oposición en la dirección get@getseguridad.com..

Borde inferior compartido