Ransomware mitigación

Medidas para mitigar

Después de identificar y aislar los equipos comprometidos se pueden tomar las siguientes medidas para mitigar este tipo de ataque: 

  • Determinar qué sistemas se vieron afectados y aislarlos inmediatamente. 

  • Detectar cuál fue la causa inicial del ataque para que al momento de realizar la recuperación no se vuelva a comprometer los sistemas. 

  • Con su equipo puede desarrollar y documentar una comprensión inicial de lo ocurrido basado en el análisis inicial. 

  • Si varios sistemas o subredes aparecen afectados, desconectar de la red a nivel de switch. Puede que no sea factible desconectar sistemas individuales durante un incidente. 

  • Priorizar el aislamiento de sistemas críticos que son esenciales para las operaciones diarias. 

  • Si no es posible desconectar la red temporalmente, se debe localizar el cable de red (por ejemplo, ethernet) y desconectar los dispositivos afectados de la red. 

  • Para los recursos en la nube, deberá tomar una instantánea de los volúmenes para obtener una copia puntual que podrá revisar más tarde para la investigación forense. 

  • Aislar las copias de seguridad o respaldos que estén en línea para que no sean cifrados. 

  • Aislar los sistemas de Active Directory o LDAP para evitar una elevación de privilegios o que otras cuentas sean comprometidas. 

  • Modificar las contraseñas de los usuarios de los equipos comprometidos y de administradores de sistemas. 

  • Después de un compromiso inicial, los actores pueden monitorear la actividad o las comunicaciones de su organización para comprender si se detectaron sus acciones. 

  • Aislar los sistemas de manera coordinada y utilice métodos de comunicación como llamadas telefónicas para evitar avisar a los actores de que han sido descubiertos y que se están llevando a cabo acciones de mitigación. No hacerlo podría hacer que los actores se muevan lateralmente para preservar su acceso o implementar ransomware antes de que las redes se desconecten. 

  • Apagar los dispositivos si no pueden descontectarse de la red para evitar una mayor propagación de la infección. Este paso evitará que su organización mantenga artefactos de infección y evidencia potencial almacenado en la memoria volátil. Debe llevarse a cabo solo si no es posible apagar temporalmente la red o desconectar los hosts afectados de la red utilizando otros medios. 

  • Durante los casos de respuesta a incidentes se pueden encontrar eventos donde los medios de almacenamiento son extremadamente grandes y su recolección completa se hace ineficiente. El Triage se refiere a la recolección específica de elementos del sistema, este proceso ahorra tiempo en el procedimiento de recolección, traslado y análisis, obteniendo resultados más eficientes enfocados en el análisis forense. Por esto es necesario realizar un triage de los sistemas afectados para la restauración y recuperación. 

  • Esta actividad puede resaltar la evidencia de sistemas adicionales o malware involucrados en etapas anteriores del ataque. 

  • Buscar evidencia de malware precursor, un evento de ransomware puede ser evidencia de un compromiso de red anterior no resuelto. 

  • Estas variantes avanzadas de malware a menudo venden acceso a una red. Con este acceso se busca filtrar datos y amenazar con divulgarlos públicamente antes de rescatar la red para extorsionar aún más a la víctima y presionarla para que pague. 

  • Realizar una copia de los equipos infectados, a pesar de estar encriptados es posible que dentro de un tiempo se desarrolle una herramienta que lo pueda desencriptar. Luego formatear los equipos infectados y reinstalar los sistemas operativos. 

  • Implementar una recuperación por etapas, dando prioridad a los sistemas críticos necesarios para mantener la operativa que puedan afectar a la organización para luego continuar con otros sistemas de menor criticidad. 

  • Luego de restaurar los respaldos realizar un escaneo con antivirus en los equipos, para realizar un chequeo de que los respaldos no estén infectados. 

  • Revisar la actividad de antivirus en equipos que no fueron comprometidos y si es posible el escaneo con otro software de antivirus para mitigar un posible movimiento lateral. 

Etiquetas