Las organizaciones que han realizado copias de seguridad de sus datos confidenciales pueden creer que están relativamente a salvo de ataques de ransomware; sin embargo, según los resultados de un nuevo estudio de la empresa de seguridad informática Sophos, este no es el caso. El informe mostró que los ciberdelincuentes intentaron comprometer las copias de seguridad del 94% de las empresas afectadas por ransomware el año pasado. Los atacantes son conscientes de que quienes son víctimas del ransomware deben optar por pagar el rescate o recuperar sus sistemas ahora cifrados a partir de una copia de seguridad. Para ejercer más presión sobre los responsables de la toma de decisiones para que paguen, cada vez es más común que se centren en los datos duplicados además de en los datos de producción. De hecho, el informe mostró que la víctima tiene casi el doble de probabilidades de pagar si su copia de seguridad se ve comprometida, y la recuperación del ataque es ocho veces más costosa. La investigación de Sophos reveló el alcance de la popularidad y eficacia de los grupos de ransomware dirigidos a copias de seguridad corporativas (Figura A). Figura A Porcentaje de víctimas de ransomware que pagaron el rescate para recuperar sus datos de los ciberdelincuentes. Imagen: Sophos VER: ¿Qué es el ransomware? Lea esta hoja de trucos de TechRepublic ¿Cuánto cuesta recuperarse de un ataque de ransomware en la copia de seguridad? La investigación de Sophos encontró que la demanda media de rescate para las organizaciones cuyas copias de seguridad están comprometidas es de 2,3 millones de dólares (£1,8 millones) (Figura B). Cuando la copia de seguridad no está comprometida, la demanda media de rescate es de 1 millón de dólares (790.000 libras esterlinas), ya que el atacante tiene menos influencia. Figura B El rescate medio exigido por los ciberdelincuentes cuando tienen acceso o no a las copias de seguridad de sus víctimas. Imagen: Sophos «Las interrupciones provocadas por ransomware suelen tener un impacto considerable en las transacciones comerciales diarias, mientras que la tarea de restaurar los sistemas de TI suele ser compleja y costosa», escribió en el informe Sally Adam, directora senior de marketing de Sophos. . Las empresas sin copias de seguridad comprometidas también tienen más probabilidades de poder negociar el pago del rescate, pagando un promedio del 82% de la demanda inicial. Aquellos cuyas copias de seguridad se vean comprometidas pagarán, en promedio, el 98% de la suma exigida. El costo total de un ataque de ransomware suele ser más que solo el rescate, ya que incorpora la recuperación de cualquier sistema afectado y las pérdidas sufridas por cualquier tiempo de inactividad. Las empresas con copias de seguridad comprometidas pagaron ocho veces más por el esfuerzo total de recuperación que aquellas cuyas copias de seguridad permanecieron intactas. Además, solo el 26 % de las empresas con copias de seguridad comprometidas se recuperaron por completo en una semana, en comparación con el 46 % de las que no tenían copias de seguridad comprometidas. Los analistas de Sophos predijeron que esto se debe al trabajo adicional necesario para restaurar los sistemas a partir de datos de respaldo descifrados, y es menos probable que las organizaciones con respaldos vulnerables cuenten con un plan de recuperación sólido. ¿Qué industrias corren mayor riesgo de que sus copias de seguridad sean atacadas durante ataques de ransomware? Los gobiernos estatales y locales y los sectores de medios, ocio y entretenimiento son los que corren mayor riesgo de que sus copias de seguridad se vean comprometidas durante un ataque de ransomware; El estudio encontró que el 99% de las organizaciones de estas industrias que fueron afectadas por ransomware en los últimos 12 meses tuvieron sus copias de seguridad atacadas por ciberdelincuentes (Figura C). Figura C El porcentaje de ataques de ransomware en los que los adversarios intentaron comprometer las copias de seguridad en diferentes industrias. Imagen: Sophos A pesar de que el sector de distribución y transporte experimentó la tasa más baja de intentos de copia de seguridad comprometida durante un ataque de ransomware, el 82% de las organizaciones aún se vieron afectadas. Un informe de septiembre de 2023 del Centro Nacional de Seguridad Cibernética y la Agencia Nacional contra el Crimen del Reino Unido destacó que el sector logístico es un objetivo particular del ransomware porque depende en gran medida de los datos. ¿Cuáles son las tasas de éxito de los intentos de comprometer la copia de seguridad? La tasa de éxito promedio de los intentos de comprometer la copia de seguridad fue del 57 %, aunque esto varió significativamente según el sector (Figura D). El sector de energía, petróleo/gas y servicios públicos y el sector educativo fueron los objetivos más fáciles, con tasas de éxito del 79% y 71%, respectivamente. Figura D La tasa de éxito del compromiso de copia de seguridad intentado en diferentes industrias. Fuente: Sophos Los analistas de Sophos sospecharon que el primero podría haber experimentado una mayor proporción de ciberataques sofisticados, dado que comprometer la infraestructura nacional crítica puede provocar una interrupción generalizada, lo que lo convierte en un objetivo principal para el ransomware. El NCSC declaró que es “muy probable” que la amenaza cibernética al CNI del Reino Unido aumente en 2023, en parte debido a su dependencia de tecnología heredada. Las instalaciones educativas tienden a albergar una gran cantidad de datos confidenciales sobre el personal y los estudiantes, que pueden ser valiosos para los atacantes, aunque tienen un presupuesto limitado para medidas preventivas de ciberseguridad. Sus redes suelen ser accesibles para una gran cantidad de personas y dispositivos, y esta apertura hace que sea más difícil protegerlas. Según el gobierno del Reino Unido, el 85% de las universidades del país identificaron violaciones o ataques de seguridad en 2023. La tasa más baja de compromiso exitoso de las copias de seguridad la reportó el sector de TI, tecnología y telecomunicaciones, con una tasa de éxito del 30%. Sophos afirmó que esto probablemente se deba a una protección de respaldo más sólida gracias a su experiencia y recursos. Además, el informe de Sophos encontró que las organizaciones cuyas copias de seguridad se vieron comprometidas durante el ataque de ransomware tenían un 63% más de probabilidades de que los ciberdelincuentes cifraran sus datos (Figura E). Los analistas de Sophos especularon que tener copias de seguridad vulnerables es indicativo de una postura de seguridad general más débil, por lo que las organizaciones que las tienen comprometidas tienen más probabilidades de ser víctimas en otras etapas del ataque de ransomware. Figura E La tasa de ciberataques cifraron los datos de sus víctimas durante un ataque de ransomware. Si los atacantes pueden acceder a la copia de seguridad, es más probable que también apliquen cifrado. Imagen: Sophos La creciente amenaza del ransomware El ransomware es una amenaza creciente en todo el mundo: el número de empresas atacadas aumentó un 27 % el año pasado y los pagos superaron los mil millones de dólares (790 millones de libras esterlinas). En enero de 2024, el Centro Nacional de Seguridad Cibernética del Reino Unido advirtió que se esperaba que esta amenaza aumentara aún más debido a la nueva disponibilidad de tecnologías de inteligencia artificial, lo que reduciría la barrera de entrada. El ransomware como servicio también se está generalizando, ya que permite a los ciberdelincuentes aficionados utilizar malware desarrollado por otro grupo. Los efectos de los ataques de ransomware pueden ir más allá de lo financiero y afectar la salud física y mental del personal. Cobertura de seguridad de lectura obligada Cómo las empresas pueden defender sus copias de seguridad contra ataques de ransomware La realidad es que la mayoría de las empresas del Reino Unido son vulnerables a los ciberataques. Sin embargo, existen medidas que se pueden tomar para proteger los datos de producción y de respaldo del ransomware, especialmente porque este último generalmente no se beneficia del mismo nivel de protección que el primero. Estrategia 3-2-1 y copias de seguridad fuera de línea «La estrategia 3-2-1 implica mantener tres copias de los datos (de producción) en dos tipos de medios diferentes, con una copia almacenada fuera del sitio», explicó Shawn Loveland, director de operaciones de seguridad cibernética. empresa Resecurity, en un correo electrónico a TechRepublic. El almacenamiento externo puede realizarse a través de servicios en la nube o en una cinta o disco. También es importante considerar una copia de seguridad fuera de línea, según Sam Kirkman, director para EMEA de la firma de servicios de seguridad de TI NetSPI. Le dijo a TechRepublic en un correo electrónico: “Aunque son más difíciles de administrar e integrar dentro de las operaciones comerciales, las copias de seguridad fuera de línea son inmunes a la piratería ya que están desconectadas de los sistemas activos. Esto hace que las copias de seguridad fuera de línea, cuando se implementan correctamente, sean la defensa más sólida contra los ataques de ransomware. “El NCSC recomienda prácticas específicas para realizar copias de seguridad fuera de línea efectivas, como limitar las conexiones a sistemas activos solo a períodos esenciales y garantizar que no todas las copias de seguridad estén en línea simultáneamente. Sin embargo, también es fundamental validar cada copia de seguridad fuera de línea antes de volver a conectarla para actualizar los datos y evitar posibles daños por parte de los atacantes”. Almacenamiento inmutable e instantáneas El almacenamiento inmutable se refiere a un método de almacenamiento de datos en el que, una vez que se escriben los datos, no se pueden modificar ni eliminar, lo que los protege contra manipulaciones o ransomware. «Lo ideal es que cada copia de seguridad sea inmutable para evitar modificaciones y simplemente caduque cuando ya no sea relevante», dijo Kirkman. Se pueden tomar instantáneas inmutables (una copia de solo lectura de los datos tomadas en un momento específico) desde un almacenamiento inmutable. Don Foster, director de atención al cliente del proveedor de plataformas de gestión de datos en la nube Panzura, dijo a TechRepublic en un correo electrónico: «Con la capacidad de restaurar un conjunto de datos impecable en caso de un ataque de ransomware, puede realizar una recuperación completa en un punto específico en tiempo sin perder datos. “Volver a una instantánea anterior toma una fracción del tiempo que se tarda en restaurar desde una copia de seguridad y le permite ser preciso sobre qué archivos y carpetas revertir. El tiempo promedio que tardan las organizaciones en recuperarse de un ataque de ransomware y volver a funcionar como de costumbre es de 21 días, pero a menudo puede llevar mucho más tiempo”. Pruebas periódicas de respaldo «Las pruebas periódicas (de respaldo) garantizan respaldos funcionales y completos y varios tipos de restauraciones», dijo Loveland a TechRepublic. Practicar la recuperación a partir de copias de seguridad también facilitará el proceso si alguna vez es necesario hacerlo después de un incidente de ransomware. Kirkman añadió: “Las pruebas de respaldo son esenciales para garantizar la eficacia en la restauración de los sistemas después del ataque. Probar cada copia de seguridad confirma su capacidad para facilitar la recuperación de un incidente de ransomware. “Sin embargo, es imperativo realizar estas pruebas de forma segura, garantizando que los entornos de respaldo permanezcan protegidos de ataques directos durante los intentos de recuperación. De lo contrario, sus intentos iniciales de recuperarse de un ataque pueden permitir que un atacante imposibilite una mayor recuperación”. Controles de acceso y políticas de uso de respaldo Loveland dijo a TechRepublic: «Los controles de acceso limitan el acceso a los datos de respaldo y reducen el riesgo de que el ransomware se propague a los sistemas de respaldo». Incluyen la configuración de permisos de usuario y mecanismos de autenticación para garantizar que solo las personas y los sistemas autorizados puedan acceder a los archivos de respaldo. Kirkman añadió: “La gestión de acceso privilegiado (PAM) es vital para evitar el acceso no autorizado a copias de seguridad en línea, un objetivo inicial común para los grupos de ransomware. PAM eficaz implica otorgar acceso por tiempo limitado y autorizado de forma independiente, donde las solicitudes deben ser verificadas por otra persona dentro de la organización a través de un canal de comunicación confiable. Este enfoque eleva significativamente el nivel para los atacantes que intentan violar los entornos de respaldo”. VER: Las 6 mejores herramientas de IAM de código abierto en 2024 Pero no basta con tener controles de acceso implementados, ya que las credenciales que los desbloquean aún podrían caer fácilmente en las manos equivocadas. Foster dijo: “Guarde de cerca las claves del almacenamiento backend, especialmente cuando se encuentra en la nube. Si bien los ataques a sistemas de archivos y archivos de respaldo son comunes, los ataques de ransomware pueden incluir el acceso al almacenamiento en la nube utilizando credenciales de administrador robadas”. Las políticas sólidas que rigen el uso de copias de seguridad también son esenciales para garantizar la solidez de los controles de acceso contra los atacantes de ransomware. Kirkman dijo: “No se puede lograr una buena implementación de respaldo solo con tecnología. Las prácticas que rodean el uso de copias de seguridad influyen tanto en su eficacia como en su seguridad, y se les debe prestar tanta, si no mayor, atención que a la tecnología misma”. Cifrado de respaldo y monitoreo en tiempo real El cifrado avanzado de los datos de respaldo y garantizar que el software de respaldo esté actualizado y parcheado son los pasos más fundamentales que las empresas pueden tomar para protegerlos de los atacantes. Los expertos con los que habló TechRepublic también destacaron el monitoreo de actividades sospechosas que podrían indicar un intento de compromiso. Foster dijo a TechRepublic: «Implemente un producto con detección de ransomware casi en tiempo real para minimizar el impacto de los datos y acelerar la recuperación identificando los primeros signos de actividad de archivos sospechosos, que a menudo ocurre mucho antes del ataque principal». Metodología del estudio Sophos encargó a la agencia de investigación independiente Vanson Bourne que encuestara a 2.974 profesionales de TI/seguridad cibernética cuyas organizaciones habían sido afectadas por ransomware en el último año. Los participantes fueron encuestados a principios de 2024 y sus respuestas reflejan sus experiencias de los 12 meses anteriores.