Ciberseguretat i Protecció de Dades: Atacs Ransomware


Com indicàvem en el nostre últim post són moltes les ciberamenaces i fraus que estan afectant a pimes i autònoms posant en risc el nostre negoci, les dades personals que gestionem, la reputació de l’empresa i la confiança dels nostres clients.

Un dels atacs més freqüents és l’anomenat ransomware, que afecta des de grans corporacions a petites pymes que, sense les mesures adequades, poden arribar a veure afectada la seva operativa diària, inclús a detenir-la.

Què és un atac ransomware?

El ransomware és un tipus de malware o software maliciós que afecta a la informació continguda en els diferents dispositius impedint el seu accés, generalment xifrant-la i sol·licitant un rescat econòmic (habitualment en bitcoins) als afectats a canvi de poder recuperar el seu accés.

Les infeccions de ransomware es produeixen principalment per dues vies:

  1. Campanyes de malware a través del correu electrònic: Els ciberdelinqüents envien correus electrònics fraudulents on es distribueix el software maliciós que pot estar adjunt en el propi correu. Solen utilitzar tècniques d’enginyeria social amb les que forçar als usuaris a descarregar i executar els fitxers.
  2. Vulnerabilitats o configuracions de seguretat deficients: Els ciberdelinqüents també poden infectar els dispositius sense interacció dels usuaris aprofitant vulnerabilitats no pegades o configuracions de seguretat deficients, com, per exemple, els escriptoris remots.
phishing - ataque ransomware
Exemple de correu electrònic maliciós que distribueix malware, com un ransomware. Font: INCIBE

Com evitar un atac de ransomware?

És important seguir aquests consells per evitar un atac de ransomware:

  • Precaució amb adjunts en correus electrònics i enllaços a pàgines externes: S’han de seguir les mateixes recomanacions que en les campanyes de phishing i en cas de dubte, no descarregar fitxers adjunts ni accedir als enllaços del correu. Sempre s’haurà d’analitzar amb l’antivirus de l’equip o amb alguna eina en línia els arxius adjunts o que provinguin d’un web extern. Algunes d’aquestes extensions de fitxers mai han d’executar-se a menys que es conegui el seu origen: .exe, .msi, .vbs, arxius ofimàtics amb macros (.docm, .xlsm, .pptm, .doc, .xls, .ppt, .docx, .xlsx, .pptx), i qualsevol arxiu comprimit que contingui alguna d’aquestes extensions.
  • Software actualitzat i configuracions de seguretat robustes: Tot el software de l’empresa, tant en els dispositius com en serveis a través d’internet, han d’estar sempre actualitzats a l’última versió.  Entre els errors de configuració que destaquen com a origen d’un ransomware és l‘ús de credencials dèbils d’accés. S’han d’utilitzar contrasenyes robustes i evitar noms d’usuari genèrics com ‘administrador’, nom de l’empresa, etc.
  • Eines antiransomware: Existeixen eines específiques que redueixen o eviten les conseqüències d’un atac d’aquest tipus ja que monitoritzen la xarxa i els dispositius detenint i bloquejant els processos de xifrat.

A més, d’aquestes recomanacions és clau conscienciar als treballadors sobre l’existència d’aquestes amenaces mitjançant formacions i realitzar de manera periòdica còpies de seguretat.

Què fer si patim un atac de ransomware?

Hem de seguir una sèrie de passos per a minimitzar les conseqüències:

  • Aïllar l’equip o equips infectats de la xarxa principal de l’organització per a què no es propagui la infecció.
  • Clonar els discos dels dispositius infectats per a mantenir el disc en el seu estat original; en un futur pot que existeixi mètode de recuperació.
  • Desinfectar els dispositius afectats i el disc clonat per intentar recuperar els arxius xifrats. Analitzar tots els equips de l’empresa amb un antimalware.
  • Intentar recuperar els arxius xifrats en el disc clonat prèviament desinfectat. El projecte de l’EUROPOL No More Ransom compta amb diferents eines de desxifrat.
  • En cas de disposar d’una còpia de seguretat s’ha de restaurar utilitzant la més recent i lliure de modificacions malicioses.
  • Utilitzar un disc nou o formatat, així com una instal·lació en net del sistema operatiu, i restaurar la còpia de seguretat més recent a la infecció.
  • No accedir al pagament del ‘rescat’; pagar-lo no garanteix que la informació se’ns retorni i ens deixa davant una posició de debilitat davant nous atacs o la petició de més pagaments. 

A més, és recomanable interposar una denúncia davant les Forces i Cossos de Seguretat de l’Estat aportant tota la informació disponible i posar en coneixement de l’INCIBE-CERT l’incident. I si s’han vist afectades dades personals és necessari comunicar-ho a l’AEPD.

Com comunico a l’AEPD una bretxa de seguretat d’aquest tipus?

Si l’atac ha afectat a les dades personals de la nostra empresa (clients, proveïdors, treballadors, potencials, etc.) hem de comunicar aquesta bretxa de seguretat a l’Agència Espanyola de Protecció de Dades a través de la seva seu electrònica (Eina Comunica-Bretxa).

L’AEPD facilita aquest tipus de comunicacions a través d’una sèrie de formularis per a determinar la gravetat de la bretxa i per aportar la documentació necessària sobre el cas. A més, depenent del volum de dades, exposició i tipologia d’aquestes, pot ser necessari comunicar l’incident als afectats.

T’ajudem amb la teva bretxa de seguretat

Si sou víctimes d’algun atac d’aquest tipus, poseu-vos en contacte amb nosaltres, i valorarem la millor manera de gestionar el cas per a recuperar com més aviat millor un dels majors actius de la vostra empresa, les vostres dades.

L’equip de PymeLegal.