Los actores de ransomware tienen como objetivo pasar la menor cantidad de tiempo posible dentro de sus sistemas, y eso significa que el cifrado que emplean es de mala calidad y, a menudo, corrompe sus datos.
Eso, a su vez, significa que la restauración después de pagar los rescates suele ser una tarea más costosa que simplemente decidir no pagar y trabajar con nuestras propias copias de seguridad.
Esa es la opinión de Richard Addiscott, analista senior de Gartner.
"Cifran a una velocidad excesiva", dijo el lunes en la IT Infrastructure, Operations & Cloud Strategies Conference 2023 en Sydney. "Cifran más rápido de lo que puede ejecutar una lista de directorios".
Los operadores de ransomware, por lo tanto, cifran mal y pierden algunos de los datos que luego intentan venderle.
La restauración de volcados de datos corruptos entregados por delincuentes no es fácil, aconsejó Addiscott, y eso es si los operadores de ransomware entregan todos los datos que prometen. Muchos no lo hacen; en su lugar, utilizan el pago de un rescate para abrir una nueva ronda de negociaciones sobre el precio de más lanzamientos.
Ese tipo de villanía miserable significa que sólo el cuatro por ciento de las víctimas de ransomware recuperan todos sus datos, dijo.
Solo el 61% recupera todos los datos. Y las víctimas suelen experimentar 25 días de interrupción de sus negocios.
Addiscott sugirió que el período puede reducirse si las organizaciones crean manuales de recuperación de ransomware y practican su uso.
"¿Tiene scripts listos para una reconstrucción de la nube?" preguntó. "No construyas el avión mientras intentas volarlo".
Una política general de pagar o no pagar rescates no es útil, opinó Addiscott. En cambio, debe considerarse una decisión comercial que tenga en cuenta los riesgos, incluidos los pagos a jugadores extraterritoriales que podrían violar las sanciones internacionales y dar lugar a multas.
Pagar rescates tampoco garantiza que se restaurarán los datos, agregó.
Las pandillas de ransomware también tienden a volver a atacar a quienes pagan una vez, haciendo que los pagos sean una táctica de último recurso en opinión de Gartner.
En cualquier caso, es posible que la decisión no sea suya: las aseguradoras de riesgo cibernético pueden decidir que un rescate es más barato que financiar una restauración y exigir el pago.
Addiscott dijo que incluso está al tanto de un operador de ransomware que envió a la víctima la sección correspondiente de su póliza de seguro para señalar que cualquier pago estaría cubierto.
Asegurar los fondos para prepararse para una rápida recuperación posterior al ransomware significa expresar el riesgo en el idioma del negocio, no en TI.
La protección de ingresos, la minimización de riesgos y el control de costos son los temas que probablemente aflojen los hilos de la cartera, según Addiscott.
Aunque también negó con la cabeza al recordar momentos en los que los líderes empresariales autorizaron grandes y rápidos pagos de rescate que eclipsaron las inversiones negadas que podrían haberlas hecho innecesarias.
Aconsejó una preparación adecuada, porque la escoria del ransomware ha descubierto una forma de acelerar las negociaciones estancadas sobre un pago: golpeando a sus víctimas con un ataque DDoS para que estén combatiendo dos incendios a la vez y, por lo tanto, estén dispuestos a pagar para crear al menos un problema. irse.
A los operadores de ransomware también les gusta buscar el pago de las organizaciones cuyos datos robaron y luego extraerlos para encontrar otros objetivos.
Addiscott mencionó un ataque a un proveedor de atención médica cuyos clientes recibieron una demanda de pagos o, de lo contrario, se divulgarían sus registros médicos.
Los clientes nombrados en un atraco de datos robados también pueden ser objeto de una sugerencia para que informen a los proveedores que desean que se realicen los pagos, para disminuir el riesgo de que sus datos queden expuestos.
Addiscott sugirió que las copias de seguridad (protección de la data) inmutables y un entorno de recuperación (disaster recovery) aislado son una excelente combinación de defensas.
Pero también señaló que las personas detrás del ransomware son inteligentes, despiadadas, creativas y persistentes, por lo que encontrarán formas nuevas e incluso más desagradables de atacar.
El analista tenía una buena noticia: una caída del 21% en los incidentes de ransomware en 2022, en comparación con 2021. Teorizó que la caída fue causada por las sanciones que dificultan que las pandillas de ransomware con sede en Rusia se dediquen a sus negocios.
Aviso legal: Este documento ha sido compartido desde la página de The Register con el único propósito de fomentar el discurso sobre el tema de la ciberseguridad y las buenas prácticas de ciberseguridad. Nuestra intención no es difamar a ninguna empresa, persona o entidad legal. Toda la información mencionada en este documento se basa en informes y datos disponibles gratuitamente en línea. Never Off Technology no se atribuye ningún crédito ni responsabilidad por la precisión de cualquier fuente o información compartida en este documento.