La mayoría de las organizaciones creen estar preparadas para ataques de ransomware, pero fallan en la recuperación real debido a copias de seguridad no fiables o lentas. Los atacantes comprometen los respaldos al acceder a redes compartidas, credenciales y privilegios, cifrando o eliminando datos críticos. El costo de la inactividad (hasta U$S5.600 por minuto) agrava el problema. La solución exige copias inmutables, aislamiento y pruebas bajo condiciones reales, ya que la ciberresiliencia va más allá de las copias de seguridad.

La mayoría de las organizaciones creen estar preparadas para el ransomware, pero probablemente no lo estén. Es cierto que todo parece estar en orden: copias de seguridad, un plan de recuperación ante desastres y el seguimiento del objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO).

Pero cuando se produce un ataque real, muchas no logran recuperarse en plazos aceptables, o directamente no lo logran. No porque falten copias de seguridad, sino porque no son fiables o no se pueden recuperar con la suficiente rapidez.

Ahí radica la diferencia entre las copias de seguridad y la verdadera ciberresiliencia. Las copias de seguridad no sirven de mucho sin una recuperación rápida y fiable.

Según Gartner, el costo promedio de una interrupción del servicio de TI es de U$S5.600 por minuto. Las operaciones comerciales varían según el tipo de empresa; en el extremo inferior, el costo de una interrupción puede llegar a ser de hasta U$S140.000 por hora.

¿Qué sucede realmente cuando ataca el ransomware y comienza la recuperación?

Un incidente de ransomware real rara vez se manifiesta como una interrupción repentina. Se desarrolla gradualmente.

Día 0: Compromiso inicial.

• Los ciberdelincuentes roban credenciales mediante phishing o servicios expuestos.

Día 3: Movimiento lateral.

• Los atacantes se mueven entre endpoints y servidores utilizando herramientas legítimas.

Día 7: Escalamiento de privilegios.

• Los ciberatacantes obtienen acceso de administrador de dominio. Los sistemas de respaldo se vuelven visibles.

Día 10: Comienza el ataque a los respaldos. Los atacantes:

• Deshabilitan los agentes de respaldo.
• Modifican las políticas de retención.
• Eliminan o corrompen los archivos.

Día 14: Se activa el cifrado.

• Los sistemas de producción se cifran en todo el entorno.
• Comienza el intento de recuperación.
• Aquí es donde las expectativas se alejan de la realidad.
• Existen respaldos, pero están incompletos.
• Faltan puntos de restauración recientes.
• Los repositorios de respaldo están parcialmente cifrados.

La organización se enfrenta ahora a un problema mucho más complejo que la simple recuperación del sistema. Los profesionales de TI deben determinar si la recuperación es siquiera posible. Es en este punto donde muchos planes de recuperación ante ransomware fracasan.

¿Por qué fallan o se cifran los sistemas de copia de seguridad durante un ataque de ransomware?

• Los operadores de ransomware atacan las copias de seguridad, que a menudo:
• Están conectadas a la misma red que los sistemas de producción.
• Se gestionan con las mismas credenciales.
• Se puede acceder a ellas mediante privilegios de dominio.
• Todo esto hace que las copias de seguridad sean vulnerables. El fallo tiene un alto coste, pero es demasiado común. Algunos patrones de fallo comunes incluyen:
• Repositorios de copia de seguridad cifrados junto con las cargas de trabajo de producción.
• Archivos eliminados antes de que se lance el ataque.
• Procesos de copia de seguridad que fallan silenciosamente después de que se deshabilitan los agentes.

Por eso, muchas organizaciones experimentan fallos en las copias de seguridad durante incidentes de ransomware, incluso cuando su estrategia de copias de seguridad parece sólida. Proteger las copias de seguridad del ransomware requiere aislamiento, inmutabilidad y acceso controlado, no solo almacenamiento.

¿Puede el ransomware propagarse a los sistemas de copia de seguridad? Sí, así es como sucede.

Sí, el ransomware puede propagarse a los sistemas de copia de seguridad, y a menudo lo hace. Una vez que los atacantes obtienen el control del dominio, tratan la infraestructura de copias de seguridad como un objetivo prioritario. Como parte del proceso, los atacantes generalmente:

• Descubren los servidores de copia de seguridad y las ubicaciones de almacenamiento. Acceder a las consolas de administración de copias de seguridad.
• Escalar privilegios dentro de los sistemas de copia de seguridad.
• Deshabilitar, eliminar o cifrar los datos de recuperación.

La infraestructura de copias de seguridad está especialmente expuesta porque necesita un amplio acceso a través de los sistemas. Sin visibilidad en los puntos finales, servidores y capas de copia de seguridad, las organizaciones no pueden rastrear cómo se propaga el ransomware ni dónde se está almacenando. Por esta razón, las herramientas de seguridad y copia de seguridad aisladas tienen dificultades y a menudo fallan durante los ataques activos.

¿Por qué fallan los planes de recuperación ante desastres durante los ataques de ransomware?

La mayoría de los planes de recuperación ante desastres están diseñados para interrupciones del servicio, no para ataques. Parten de la premisa de que:

• Los sistemas están limpios.
• Los servicios de identidad están intactos.
• Los entornos de recuperación son confiables.
• El ransomware rompe estas premisas. Los puntos de fallo incluyen:
• Active Directory comprometido que impide la autenticación.
• Dependencias de red que bloquean los flujos de trabajo de recuperación.
• Procedimientos de recuperación que nunca se probaron en condiciones de ataque.

Incluso cuando existen copias de seguridad, la recuperación ante desastres después de un ciberataque se vuelve impredecible. Por lo tanto, la diferencia entre copia de seguridad y recuperación ante desastres no es solo una distinción técnica. La copia de seguridad almacena datos. La recuperación ante desastres debe restablecer las operaciones bajo presión. Una copia de seguridad sin recuperación simplemente no es suficiente.

¿Por qué no se cumplen el RTO y el RPO en la recuperación tras un ataque de ransomware?

El RTO y el RPO rara vez se alcanzan durante incidentes reales de ransomware. Existen varias razones principales para ello:

Desafíos del RPO

• El tiempo de permanencia del ataque implica que las copias de seguridad pueden contener datos comprometidos.
• Los retrasos en la detección aumentan la pérdida de datos más allá de los umbrales previstos.

Desafíos del RTO

• La recuperación se ralentiza debido a la incertidumbre sobre los puntos de restauración limpios.
• Los procesos manuales reemplazan los flujos de trabajo automatizados.
• Los sistemas requieren validación antes de su puesta en línea.

El resultado son objetivos no alcanzados y tiempos de inactividad prolongados. Para comprender el impacto del ransomware en el RTO y el RPO, es necesario reconocer que los atacantes degradan activamente las condiciones de recuperación.

Cómo recuperarse de un ataque de ransomware cuando las copias de seguridad están comprometidas

Cuando tanto los sistemas de producción como las copias de seguridad se ven afectados, la recuperación se convierte en un proceso limitado. Los requisitos clave incluyen:

• Copias de seguridad inmutables que no se pueden alterar ni eliminar.
• Copias externas o en la nube aisladas del ataque.
• Identificación de copias de seguridad limpias y validadas para una recuperación más rápida a producción.
• Priorización de sistemas críticos para una recuperación por etapas.
• Coordinación entre la respuesta a incidentes y las operaciones de TI.

Aquí es donde los escenarios de recuperación ante desastres por ransomware se vuelven más complejos. Las organizaciones sin opciones de recuperación aisladas a menudo no pueden restaurar las operaciones comerciales rápidamente, o incluso no pueden hacerlo en absoluto.

Cómo debería ser un plan de recuperación ante ransomware hoy en día

Un plan moderno de recuperación ante ransomware debe contemplar la posibilidad de una vulneración de seguridad. Los principios fundamentales incluyen:

• Proteger las copias de seguridad del ransomware mediante la inmutabilidad y el aislamiento.
• Garantizar la visibilidad en todos los puntos finales, servidores y sistemas de copia de seguridad.
• Automatizar los flujos de trabajo de recuperación para reducir las demoras.
• Probar periódicamente la recuperación ante desastres en condiciones de ataque simuladas.

Esta es la base de la ciberresiliencia. Una estrategia de copias de seguridad contra ransomware debe garantizar la supervivencia, no solo la retención.

Cómo proteger las copias de seguridad de los ataques de ransomware

Proteger las copias de seguridad requiere cambios arquitectónicos, no correcciones incrementales. Los enfoques eficaces incluyen:

• Almacenamiento de copias de seguridad aislado e inaccesible desde los entornos de producción.
• Controles de acceso robustos y separación de credenciales.
• Almacenamiento inmutable que impide la modificación o eliminación.
• Análisis antimalware y validación de copias de seguridad.
• Monitorización de los sistemas de copia de seguridad como parte de la estrategia de seguridad.

Las organizaciones que no protegen sus copias de seguridad suelen descubrir demasiado tarde que la recuperación no es viable.

Repensando la continuidad del negocio tras un ataque de ransomware

La continuidad del negocio durante un ataque de ransomware depende de la integración. La seguridad, las copias de seguridad y la recuperación ante desastres deben funcionar conjuntamente durante un ataque, no como herramientas separadas. Tras comprender esto, muchas organizaciones están adoptando enfoques unificados que permiten la continuidad del negocio.

El objetivo no es solo almacenar datos, sino garantizar la recuperación en condiciones reales de ataque. Porque cuando se produce un ataque de ransomware, no basta con tener copias de seguridad. Lo que importa es poder recuperarse del ataque rápidamente y con datos fiables.

Fuente: THN