¿Has oído hablar del CryptoLocker?
El CryptoLocker es un virus de tipo ransomware que se sirve de técnicas de ingeniería social para conseguir que sea el propio usuario el que lo explote y le de acceso a su sistema o dispositivo. En este caso, el usuario recibe un correo electrónico con un enlace o archivo adjunto infectado. Estos correos están diseñados de manera que simulen los de una empresa legítima, por lo que el usuario puede confundirlos y creer que son reales y confiables. Cuando éste descarga el archivo y proporciona la clave que se le solicita, el virus se ejecuta y comienza a rastrear todos los archivos y carpetas dentro de ese equipo, los dispositivos conectados y cualquier dispositivo en su red para después cifrar su contenido. Cuando ha terminado, muestra una nota de rescate, con el precio a pagar por recuperar los archivos y el tiempo límite para hacerlo.
El original apareció en 2013 y para cuando fue eliminado, casi un año después, los ciberdelicuentes ya habían conseguido extorsionar cerca de 27 millones de dólares a miles de empresas. En la actualidad siguen existiendo derivaciones y clones que ponen en peligro la actividad de miles de empresas.
Este es el caso de una de ellas.
La gravedad de este caso reside en que el virus consiguió encriptar los ficheros que contenían las copias de los servidores y copias en discos duros. Un total de 60 servidores quedaron cifrados, resultando en la inactividad por completo de la empresa. ¡Ya os podéis imaginar lo que supuso!
¿Cómo se resolvió?
Tras una llamada de pánico, nos personamos en sus instalaciones, dispuestos a solventar el problema, costara lo que costara. Realizamos una evaluación de la situación y optamos por instalar un servidor físico nuevo que pudiera alojar la información perdida y así poder retomar la actividad. En él se instaló una herramienta de backups y se configuró una librería de cintas.
La empresa realizaba copias de seguridad en cintas, alojadas en bancos de cintas externos. Las solicitamos y escaneamos, pero la última copia de seguridad se había realizado hacía ¡DOS MESES! Por suerte, sí existían copias de los servidores (que eran virtuales) y las aplicaciones. Nuestro trabajo culminó a los dos días, pero su equipo IT estuvo meses restaurando toda la información.
Medidas de prevención ante estos ataques
Muchos de los consejos que vamos a darte a continuación (sino todos) son también válidos para prevenir otros virus de tipo ransomware.
Establece una Política de Backups adecuada
En este caso, la pérdida de información fue sustancial e irreparable. De no haber tenido copias en las cintas, la empresa se habría visto abocada al cierre. Pero, aunque gran parte de los datos pudieron recuperarse, de haber tenido una Política de Backups correctamente establecida e implantada, la pérdida habría sido menor o nula. Se podrían haber restaurado todos los archivos dañados y las consecuencias habrían sido menores.
En artículos anteriores te hablamos de la que para nosotros es la estrategia de backups más adecuada: la regla 3-2-1. Se basa en la realización de tres copias de seguridad de los datos más importantes de la empresa, en dos tipos de dispositivos de almacenamiento distinto y que al menos una de estas copias esté fuera de tus instalaciones (offsite).
Desconfía de los enlaces
Debes entender que una entidad legítima no te enviará un correo electrónico solicitando información que es probable que ya tenga (como claves o datos personales). Si te solicitan entrar en un enlace para introducir algún tipo de datos personal, ¡no lo hagas! Antes haz unas simples comprobaciones.
Empieza por ponerte en contacto con la persona o entidad real y confirma que lo han enviado ellos (hazlo saliendo de ese email). Si quieres saber si un enlace es fiable y real, utiliza técnicas de hovering (pasar el cursor por encima del enlace para comprobar el redireccionamiento), páginas de verificación (URLVoid o TrustScam) o que te permiten ver la URL completa cuando ha sido acotada, como CheckShortURL.
No descargues los archivos adjuntos
Al igual que con los enlaces, los archivos adjuntos son vectores de intrusión muy peligrosos, que pueden contener un ransomware. De nuevo, comprueba quién los envía y confirma que su veracidad. Procura SIEMPRE descargar solo aquellos archivos que provengan De Fuentes oficiales.
Si ya los has descargado, utiliza herramientas como Virus Total, que lo escanea antes de ejecutarlo para detectar si contiene archivos maliciosos.
Mantén las actualizaciones al día
Instala las últimas actualizaciones y parches, tanto de tu sistema operativo, tu antivirus y el resto de software. Además de instalar soluciones perimetrales con filtrado anti-spam y tener una buena configuración de red.
Si quieres saber sobre cómo los delincuentes se sirven de la ingeniería social para engañar a los usuarios y qué otras medidas de prevención puedes tomar, no puedes dejar de leer nuestro anterior artículo.
En Click-IT podemos ayudarte a proteger tu empresa y tus datos críticos de dos maneras: realizando una consultoría de ciberseguridad para detectar vulnerabilidades y proponer un plan de mejora; ayudándote a establecer una buena Política de Backups y un Disaster Recovery Plan (Plan de recuperación ante desastres), adaptados a las necesidades de tu empresa. ¡Contáctanos!