Los ataques de ransomware están comenzando a presentar a los entornos de TI dos opciones muy poco atractivas: realizar una única recuperación completa que en realidad pierde una gran cantidad de datos, o realizar cientos o miles de restauraciones individuales para devolver su entorno a algo parecido a la normalidad. La razón de estas dos opciones desafortunadas es que el ransomware ahora cambia su comportamiento una vez que infecta su entorno. Esto presenta un desafío particular al intentar restaurar sus datos.
Un ataque de ransomware típico consta de cuatro fases: infección, expansión, cifrado y detección. La fase de infección es bastante fácil de entender; es el momento en que la primera computadora de su entorno se infecta con ransomware. Esto suele ocurrir porque alguien hizo clic en un correo electrónico que no debería haber abierto o fue a un sitio web que no debería haber utilizado. La pieza inicial de malware se implementa en la computadora en cuestión y se comunica con sus servidores de comando y control (C & C / C2) para que le digan qué hacer.
Históricamente, estos servidores dirigían al malware para que comenzara inmediatamente la fase de cifrado. El malware comenzaría a cifrar tantos archivos como fuera posible, especialmente archivos modificados recientemente y archivos importantes del sistema. El objetivo era dañar el sistema lo más rápido posible y luego enviar un mensaje de rescate mientras el malware continuaba encriptando otros datos.
Sin embargo, muchas variantes modernas de ransomware han cambiado de táctica para priorizar expansión sobre cifrado. Una vez que una computadora en su entorno ha sido infectada, lo más probable es que se le diga que priorice la infección de otros sistemas antes de cifrar los archivos que harían que se descubriera el malware. Utilizará una variedad de técnicas para intentar infectar otros sistemas, como el uso de herramientas comunes como el Protocolo de escritorio remoto (RDP), el sistema de archivos de red (NFS) o el bloque de mensajes del servidor (SMB). Incluso podría comenzar a apuntar a sistemas específicos, como servidores de respaldo. Si puede infectar el servidor de respaldo y paralizarlo, las posibilidades de pagar el rescate aumentan exponencialmente.
Si bien el ransomware continúa intentando infectar el resto del centro de datos, también puede comenzar a cifrar archivos que nadie notará. Puede cifrar archivos más antiguos, porque las posibilidades de que alguien acceda a ellos son relativamente bajas. Al igual que la fase de expansión, la fase de cifrado ahora quiere priorizar el cifrado de tantos archivos como sea posible antes de que alguien se dé cuenta de que han sido infectados.
Lo que es importante comprender acerca de cómo se comporta el ransomware es que las dos fases de expansión y cifrado ocurren simultáneamente y pueden tardar varias semanas en suceder. Si el ransomware no se detecta, podría estar realizando estas actividades durante meses. Un estudio reciente de FireEye Mandiant mostró que el tiempo medio de permanencia de un ataque de ransomware típico es ahora de 24 días. Durante todo ese tiempo, la cepa de malware podría cifrar archivos en varias computadoras durante muchos días.
Un comportamiento común en casi todos los productos de copia de seguridad y recuperación es que las restauraciones se realizan desde un único punto en el tiempo. Si solo puede restaurar un directorio en un solo punto en el tiempo, ¿cómo puede restaurar cientos de archivos que se modificaron en muchos directorios durante muchas semanas? Además, recuerde que necesita restaurar el servidor a un punto en el tiempo antes de estaba infectado para despedirse del ransomware.
Después de asegurarse de eliminar el malware de la computadora, una restauración típica de un ataque de ransomware implicaría eliminar todos los archivos cifrados, potencialmente todos los archivos en un directorio o sistema de archivos determinado. Luego, restaura todo a antes del ataque. No desea restaurar archivos cifrados (o el malware), por lo que debe restaurar el directorio o el sistema de archivos al momento justo antes de que comenzara el ataque de ransomware.
Aquí es donde se le presenta el dilema. ¿Dejas el directorio en cuestión con el aspecto que tenía antes de la infección (desechando cualquier trabajo desde entonces), o intentas identificar todos los archivos que se cifraron después de la infección y restaurar cada uno de ellos al punto en tiempo justo antes de que fueran cifrados? Piense en lo difícil que sería hacerlo en cientos de directorios y subdirectorios y durante muchos días o semanas.
Este será un momento de ajuste de cuentas para muchos productos de protección de datos mientras descubren cómo resolver este desafío. Pedirle a un cliente que realice cientos de restauraciones para que su directorio vuelva a la normalidad solo aumentará su incentivo para pagar el rescate. Todos están de acuerdo en que pagar el rescate solo valida la actividad delictiva y alimenta un ciclo continuo, por lo que este problema debe abordarse.
Durante el Mes de la Concientización sobre la Ciberseguridad, no hay mejor momento para comunicarse con su proveedor de productos de respaldo favorito y preguntarle cómo abordarían este problema. Incluso si su respuesta es, “no tenemos idea”, es mejor saber ahora que descubrir este problema en medio de un ataque.
W Curtis Preston es el evangelista técnico jefe de Druva
