Autores del ransomware, los ladrones actuales
Durante las vacaciones de Semana Santa de 2015, una "banda de abuelos" delincuentes, de más de 60 y 70 años de edad, se hizo con un botín estimado en 25 millones de libras esterlinas, en oro, joyas y dinero en metálico, tras robar la caja de seguridad de la empresa Hatton Garden Safe Deposit, en Londres. La banda eligió el fin de semana de Pascua porque las fiestas proporcionaban un periodo de cuatro días para acceder, perforar las paredes y abrir las cajas de seguridad.
Sé lo que está pensando: ¿qué tiene que ver eso con el ransomware?
Los ladrones pudieron acceder al edificio en el que se encontraba la cámara acorazada con las cajas de seguridad durante cuatro días, por lo que tuvieron tiempo de sobra para llevar a cabo su trabajo. En un ataque de ransomware, este periodo de tiempo se conoce como "tiempo de permanencia" y es fundamental entender lo que es para ser capaces de recuperarse de este tipo de incidente.
El tiempo de permanencia va desde el momento en que el atacante atraviesa por primera vez el cortafuegos hasta el instante en que revela su presencia y exige un rescate a la víctima.
Los ataques de ransomware se ajustan a un patrón muy conocido
Al principio se vive la fase de campaña. En ella, los atacantes se dirigen a los empleados con correos electrónicos de phishing que contienen enlaces a software malicioso o examinan los sistemas accesibles desde Internet en busca de vulnerabilidades. Sea cual sea el medio empleado, el objetivo de esta fase es encontrar a una víctima y establecer la vía de acceso.
El fin último es lograr la intrusión. Para los responsables del ataque de ransomware, el hecho de atravesar el cortafuegos es lo que desencadena el resto del proceso y es en este momento cuando empieza el tiempo de permanencia.
Una vez sorteado el cortafuegos, los atacantes obtienen las credenciales necesarias para penetrar más profundamente en los sistemas de la víctima y empezar a moverse lateralmente por ellos, muchas veces usando herramientas que se basan en protocolos legítimos, como el RDP (protocolo de escritorio remoto), con el fin de trabajar a distancia y lograr el control total de dichos sistemas. En esta fase, identifican los datos confidenciales y empiezan a desplegar las cargas útiles de software para poner en marcha la fase de ejecución, en la que se produce el cifrado y la exfiltración de datos.
Si partimos de la base de que es casi imposible mantener fuera a los atacantes decididos a entrar en los sistemas, la clave para resistir un ataque de ransomware está en la capacidad de restaurar dichos sistemas, devolviéndolos a un momento anterior al inicio del tiempo de permanencia, y en hacerlo rápidamente. Eso significa que hay que usar copias instantáneas y copias de seguridad para poder restaurar rápidamente los sistemas partiendo de ellas.
Las copias instantáneas proporcionan un registro del estado del sistema y los datos realizado a intervalos frecuentes durante la jornada laboral y permiten que la víctima vuelva a una configuración previa con un alto nivel de granularidad. Las copias instantáneas están concebidas para realizarse con el mínimo impacto posible en los sistemas de producción, así que con frecuencia se almacenan en o cerca del almacenamiento principal. Eso significa que los datos suelen poder restaurarse rápidamente desde ellas. Una organización puede tener unas copias instantáneas de un mes o dos de antigüedad.
Las copias de seguridad se suelen conservar durante unos periodos de tiempo mucho más largos y se realizan con menos frecuencia, normalmente en momentos regulares de copia de seguridad, fuera del horario de trabajo. Casi siempre se efectúan y se guardan en un almacenamiento secundario y el proceso de restauración basado en ellas suele ser más largo.
Si las circunstancias lo permiten – y, en particular, los efectos del tiempo de permanencia –, las copias instantáneas son el medio más efectivo para recuperarse del ransomware, porque permiten una restauración rápida. Pero eso siempre que no hayan sido saboteadas por los atacantes.
Las copias instantáneas tienen que ser inmutables
Con su implementación tradicional, las copias instantáneas solo permiten la lectura, por lo que siempre son inmutables en cierto sentido. Sin embargo, los responsables del ransomware lo saben y tratan de borrarlas o de moverlas. Por lo tanto, los clientes tienen que buscar a proveedores que ofrezcan copias de seguridad que no puedan borrarse y que los intrusos no puedan impedir que se muevan a otro lugar para su recuperación, por ejemplo.
Otros elementos de protección que los clientes pueden exigir son las copias de seguridad que utilizan la autenticación multifactor basada en PIN de los distintos miembros de un equipo informático y la capacidad de fijar una directiva de retención y unos destinos permitidos para las copias instantáneas.
Las copias instantáneas son el método preferible de restauración si los tiempos de permanencia del ransomware son relativamente cortos. Pero quizá no lo sean. Es posible que los responsables del ataque de ransomware haga meses que han atravesado el cortafuegos y estén husmeando por los sistemas, instalando software malicioso y dañando archivos. En este caso, es más probable que tenga que restaurar utilizando las copias de seguridad.
Independientemente del medio que deba utilizar para la restauración – copias instantáneas o copias de seguridad –, un requisito clave será restaurar los datos rápidamente para poder reanudar los procesos productivos. En este caso, la clave está en el almacenamiento utilizado para conservar las copias de protección de los datos. En otras palabras, este almacenamiento tiene que poder manejar unas velocidades de restauración rápidas.
Entonces, ¿qué tipo de productos de almacenamiento son los más adecuados para conservar las copias instantáneas y las copias de seguridad y, lo que es crucial, para ofrecer un rendimiento que permita una restauración rápida? En primer lugar, los clientes tienen que fijarse en aquellos que ofrecen un almacenamiento de estado sólido y que puede manejar datos – archivos y objetos – no estructurados. Eso significa que no basta con cualquier almacenamiento de estado sólido.
Las generaciones más nuevas de flash NAND han favorecido la aparición de unas cabinas de almacenamiento que proporcionan una capacidad y una velocidad de acceso extremadamente altas. Es decir, unas cabinas de almacenamiento con una memoria flash
TLC o QLC que ofrecen una gran capacidad con un coste por terabyte que se acerca al de las unidades de disco duro giratorio.
En segundo lugar, los clientes tienen que comprobar la capacidad de transferencia de datos. Las cabinas de almacenamiento de estado sólido actualmente disponibles que ofrecen un mayor rendimiento en este sentido proporcionan más de 270 TB por hora de caudal de datos. Esto es suficiente para que la mayoría de las organizaciones vuelvan a estar conectadas rápidamente, pero no hay muchos proveedores de almacenamiento que proporcionen este nivel de caudal de datos, así que merece la pena comprobar muy bien lo que pone en la ficha de especificaciones del producto.
Combinar las copias instantáneas inmutables y las copias de seguridad regulares con una restauración rápida para lograr la defensa definitiva frente al ransomware
La mejor defensa contra al ransomware consiste en poder volver atrás hasta un momento anterior al inicio del tiempo de permanencia. Y la mejor manera de hacerlo es con un almacenamiento de gran capacidad que ofrezca un caudal de datos de vértigo que le permita restaurar rápidamente sus sistemas.
***Adela de Toledo es country manager de Pure Storage Iberia