Respuesta ante incidentes de ransomware: 7 pasos para el éxito

Las infecciones de ransomware se están volviendo cada vez más comunes y las empresas que elaboran un plan antes de un incidente son mucho más efectivas para combatir este malware generalizado.

La respuesta al ransomware se puede dividir en siete pasos. Aquí hay una hoja de trucos:

<×Validate

El primer paso es confirmar si una infección de ransomware notificada es una infección real. Hay casos en los que un usuario informa lo que cree que es ransomware, pero resulta ser adware, phishing o algún otro virus. La validación es importante porque mantiene los esfuerzos enfocados en temas importantes. Pero si ve una nota de ransomware exigiendo el pago para desbloquear archivos y su sistema o archivos están bloqueados o congelados, entonces ha sido atacado.

<×Monte

Ahora es el momento de que se reúna el equipo de respuesta a incidentes. Los equipos de respuesta a incidentes a menudo incluyen miembros de su personal de TI, administración, relaciones públicas y legal. El plan de respuesta a incidentes describe cómo se debe capacitar a cada miembro sobre cómo responder a un incidente de ransomware. En algunos casos, la persona principal puede no estar disponible y será necesario llamar a un recurso secundario para manejar esa función.

<×Analyze

El siguiente paso es determinar el alcance del incidente, incluidas las redes, las aplicaciones y los sistemas afectados y si el ransomware continúa propagándose. Este suele ser el papel de las personas de TI y puntos de seguridad.

<×Contain

Las acciones de contención pueden tener lugar al mismo tiempo que las actividades de análisis. En esta fase, las máquinas infectadas se aíslan para detener la propagación del ransomware desconectando las computadoras de la red o apagándolas. El alcance a menudo cambia cuando la contención está en marcha y el ransomware aún se está propagando. Esta fase finaliza cuando todas las máquinas infectadas se han aislado de las máquinas limpias.

<×Investigar

La investigación comienza preservando pruebas. Algunas máquinas deberán volver a ponerse en servicio lo antes posible, mientras que otras podrían ser menos críticas. Se toman pruebas, como archivos de registro o imágenes del sistema, de las máquinas afectadas junto con la documentación de los números de serie y los identificadores de activos.

<×Eradicate

La fase de erradicación elimina el ransomware de las máquinas y las devuelve a un estado funcional. Las máquinas aisladas se borran y luego se restauran los datos desde la copia de seguridad en cada una de las máquinas después de que se haya conservado la evidencia en las computadoras. En algunos casos, las organizaciones pueden decidir eliminar el ransomware y luego restaurar los archivos que fueron cifrados por el ransomware sin borrar primero el dispositivo.

Una restauración completa de la máquina evita que otro ransomware o malware cause problemas en la computadora, y también evita que las puertas traseras u otro software que el ransomware pueda haber instalado se use para infectar la máquina más adelante. Por esta razón, generalmente se recomienda que borre el dispositivo y restaure el sistema operativo y los datos desde la copia de seguridad.

<×Remediate

El último paso es solucionar el problema que explotó el ransomware en primer lugar. Esto suele ser un problema de formación de usuarios, por lo que las empresas implementan más formación de concienciación o coaching de personas. En otros casos, es necesario implementar nueva tecnología. Si se determinara que las copias de seguridad son inadecuadas, la empresa realizaría copias de seguridad de más datos o con más frecuencia. El incidente de ransomware debería resultar en algunas acciones de mejora que la organización puede realizar para estar mejor preparada para incidentes futuros.

Para obtener más noticias e información sobre la batalla contra el ransomware, visite la página de inicio de FightRansomware.com hoy mismo .