Backups seguros y snapshots frente a los ataques ransomware
El ransomware se ha convertido en el arma preferida por los ciberdelincuentes. Y las cuantías para recuperar los datos se están elevando peligrosamente. Ya hay empresas que han pagado 10 millones de dólares de rescate. Contar con snapshots y backups seguros es fundamental para garantizar la continuidad de negocio.
Todos los expertos coinciden en citar WannaCry como el comienzo de la era del ransomware. Este software malicioso se hizo famoso en mayo de 2017, cuando una oleada de ataques encriptó los datos de compañías de todo el mundo, exigiendo el pago de un rescate de 300 dólares en bitcoins para recuperar el control de los datos. En nuestro país, se vieron afectadas empresas muy relevantes.
Además, en los últimos meses, hemos visto algunos casos muy significativos, que demuestran lo dañino que puede ser un ataque de este tipo. Por ejemplo, Colonial Pipeline, operador del oleoducto que transporta casi la mitad del combustible de aviación y motores que se consume en el noreste de Estados Unidos y gran parte del sur del país, sufrió un ataque ransomware que provocó la interrupción del suministro. La compañía ha reconocido que pagó 4,4 millones de euros de rescate al grupo hacker DarkSide. Se estima que estos ciberdelincuentes, que ofrecen Ransomware-as-a-Service, pueden haber recaudado 90 millones de dólares en menos de un año.
Doble y triple extorsión
En los últimos meses estamos viendo también la aparición de una nueva modalidad de ataques ransomware de doble y triple extorsión. En este tipo de ataques, los ciberdelincuentes no sólo cifran la información y exigen un rescate para recuperarla, sino que también roban los datos y amenazan con filtrarla si no se satisface el pago reclamado. Además, en los últimos meses se han detectado ataques de triple extorsión, reclamando a los clientes de sus víctimas una cantidad menor para evitar la publicación de sus datos, como sucedió en el caso de la clínica de fisioterapia finlandesa Vastaamo.
Rescates cada vez más caros
Otro aspecto relevante es el vertiginoso incremento de las cantidades exigidas para el rescate. El informe ‘2021 Unit 42 Ransomware Threat Report’, elaborado por Palo Alto Networks, desvela que el pago medio solicitado por los ciberdelincuentes aumentó un 171% el pasado año, alcanzando los 312.493 dólares. Pero las cantidades que se solicitan en algunos casos son escalofriantes. El pasado mes de marzo, el grupo REvil demandó 50 millones de dólares para liberar los datos encriptados a una importante empresa del sector TI. Y hay algún caso en el que la víctima ha llegado a abonar hasta 10 millones de dólares para recuperar sus datos. No se trata sólo del perjuicio económico que comporta el pago del rescate, sino que la compañía que cede al chantaje se puede enfrentar a sanciones si se confirma que ha realizado una transacción ilegal con un grupo en búsqueda y captura.
Además, el aumento del coste del rescate es especialmente preocupante si tenemos en cuenta que buena parte de las empresas acaban pagando para recuperar el acceso a sus datos. Por ejemplo, un estudio de Kaspersky señala que un tercio de las empresas españolas termina cediendo al chantaje.
Doble línea de defensa
Los ataques ransomware son una realidad cotidiana desde hace tiempo. Ya antes de la pandemia, eran muchas las empresas que reconocían sufrirlos diariamente (13%), semanalmente (16%), mensualmente (12%) u ocasionalmente (19%), según un informe de ESG. Ante tal escenario, sólo cabe una opción: prepararse para recuperarnos cuanto antes cuando nos veamos afectados.
“Necesitamos un sitio de donde poder recuperar los datos en el menor tiempo posible. Si tardamos seis meses en recuperar los datos, el tiempo de parada es enorme y posiblemente la empresa no sobreviva. Si tarda un par de semanas, va a tener un impacto muy negativo, por lo que probablemente se planteará pagar el rescate. Si es capaz de recuperarse en horas o en minutos, se encontrará en una situación muy complicada, pero mucho más fácil de solventar”, afirma Miguel Pleite, director técnico de Pure Storage España.
Así pues, las organizaciones cuentan con dos “líneas de defensa” para hacer frente a este tipo de ataques. “La primera línea de defensa son los snapshots. No hay nada más rápido que recuperar los snapshots, porque lo que se reconstruye son los metadatos. Además, son inmutables, sólo de lectura, por lo que no se pueden encriptar previamente. Y la segunda línea de defensa, si no se dispone de snapshots, son las copias de backup. Hay que proteger estas copias de seguridad para tener un punto de recuperación, porque los atacantes las van a intentar eliminar”, detalla.
Snapshots en FlashArray
Pure Storage ofrece varias soluciones para protegerse ante los ataques ransomware. Por ejemplo, los clientes que tienen en FlashArray su infraestructura de bases de datos, virtualización, desktops, análisis de datos, etc., pueden protegerse con snapshots o copias instantáneas inmutables, que permiten recuperar los datos en segundos.
Los snapshots ofrecen una elevada eficiencia en capacidad, puesto que sólo se han de computar los cambios realizados y, además, están comprimidos y deduplicados. De esta forma, se pueden tener miles de snapshots y durante un periodo de tiempo muy amplio.
Asimismo, Pure Storage añade un ‘SafeMode’ que impide que estas copias instantáneas puedan ser eliminadas manualmente. Sólo podrán ser borradas cuando transcurra el tiempo estipulado en la política de rotación definida por sus clientes. Además, este modo impide vaciar manualmente la papelera de reciclaje.
‘Modo seguro’ en FlashBlade
Pure Storage también ofrece soluciones para proteger los backups mediante copias instantáneas ‘SafeMode’, función incluida en FlashBlade. Esta opción permite crear snapshots de los datos del backup y de los catálogos de metadatos asociados, una vez realizada una copia de seguridad completa.
De este modo, se generan unos snapshots invisibles, que el atacante no puede borrar, modificar o cifrar. Ni siquiera el propio administrador puede hacerlo, ya que se crean y expiran siguiendo las reglas definidas por el cliente y sólo pueden ser modificadas por personal autorizado designado de la compañía y con el soporte de Pure Storage.
Y si la organización sufre un ataque ransomware —o de un administrador deshonesto—, tan sólo ha de recuperar los datos desde la copia de respaldo del snapshot.
