Combate el Ransomware con el Esquema de Respaldo 3-2-1-1-0

TOPICS:

Posted By: CSIRT Panamá October 26, 2022

Combate el Ransomware con el Esquema de Respaldo 3-2-1-1-0

El ransomware o secuestro de información sigue siendo una de las amenazas de mayor impacto durante el 2022, desde CSIRT Panamá reiteramos estar alerta y compartimos una de las medidas más efectiva para combatirlo.

Si un código de ransomware ya ha sido ejecutado es sumamente improbable que se logre revertir el cifrado, ya que ocupan algoritmos muy fuertes. Para ello la mejor forma de volver a operaciones es mediante la restauración de una copia de seguridad.

En ocasiones anteriores hemos recomendado la implementación del esquema de respaldos 3-2-1. Que consiste en 3 copias de seguridad,en 2 ubicaciones distintas y 1 de ellas en una ubicación geográfica distinta a la original.

Ahora que tenemos en mente el esquema de respaldo 3-2-1, explicaremos brevemente en que consiste su versión mejorada 3-2-1-1-0. El esquema de respaldo 3-2-1-1-0 añade 2 nuevos elementos.

El primer elemento (3-2-1-1-0) consiste en que una de las copias de seguridad este fuera de línea o con espacio de aire (air-gap), o en la nube con características de un respaldo inmutable.  

¿A qué se refiere un respaldo inmutable?

Un respaldo inmutable se refiere a que no puede modificarse de ninguna manera ni eliminarse a lo largo de su ciclo de vida mientras viva almacenado en las instalaciones on-premise y en la nube.

La inmutabilidad se produce cuando los datos se convierten en un formato de una sola escritura y muchas lecturas, que no puede ser modificado ni eliminado.

El segundo elemento (3-2-1-1-0), significa cero copias de seguridad sin verificar o con errores. Un detalle que no tenemos en cuenta cuando hacemos copias de seguridad es que la copia de archivos puede no ser del todo fiable. Es decir, que pueden haberse saltado archivos, o algunos no se han copiado correctamente. Para esto es recomendable hacer un proceso de verificación de la integridad de los datos previamente respaldados.

Aplicando la regla 3-2-1-1-0, si un día sufres una afectación por ransomware, tendrás más posibilidades de volver a operar en menos tiempo.

Hacer copias de seguridad siguiendo la regla 3-2-1-1-0 requiere tiempo, pero el proceso se puede automatizar.

¿Qué hacer si soy víctima de un ataque de Ransomware?

Las recomendaciones de los pasos a seguir son los siguientes:

  1. Recomendamos nunca pagar el rescate solicitado por los ciberdelincuentes, esta acción promueve el cibercrimen y muchas veces resulta ser un engaño por parte de los ciberdelincuentes que utilizan el activo robado para continuar con la manipulación y sacar más provecho económico.  Los ransomware actuales no solo cifran los activos, sino que copian en equipos externo la información para volver hacer la extorsión en el futuro.
  2. Reportar la incidencia al CERT correspondiente y a las partes interesadas. El CSIRT Panamá es el CERT Nacional correspondiente para reportar estas incidencias en Panamá, mediante el correo info@cert.pa
  3. Identificar la causa raíz del ataque, para el momento de restaurar los respaldos puedan asegurar esas posibles brechas de seguridad en los equipos.
  4. Limpiar los equipos infectados y restaurar las copias de seguridad, ya sean snapshot, backup de bases de datos o system restore de equipos.