¿Qué hacer si eres víctima de un ciberataque?
Prácticas recomendadas por Sophos de respuesta a incidentes de ciberamenazas, tanto en el aspecto técnico como en el organizativo.
El estudio anual de Sophos sobre las experiencias reales con el ransomware de los responsables de TI/ciberseguridad deja clara la realidad a la que se enfrentan las organizaciones.
Revela las causas raíz más comunes de los ataques y arroja nueva luz sobre cómo las experiencias con el ransomware difieren en función de los ingresos de la organización.
El índice de ataques de ransomware se ha mantenido en el mismo nivel, los ciberdelincuentes han ido desarrollando y puliendo el modelo de ransomware como servicio durante varios años.
Este modelo operativo reduce la barrera de entrada para los operadores de ransomware en potencia, al tiempo que aumenta la sofisticación de los ataques al permitir la especialización de los adversarios en las diferentes fases de un ataque.
El sector educativo fue el más propenso a sufrir un ataque de ransomware en el último año: el 80% de las escuelas primarias y secundarias y el 79% de las instituciones de educación superior afirmaron haberse visto afectadas.
La causa raíz más común de los ataques de ransomware fue la explotación de una vulnerabilidad (36 %), seguida del compromiso de credenciales (29 %).
Estos hallazgos coinciden casi exactamente con las conclusiones del último análisis retrospectivo de Sophos de 152 ataques en los que los equipos de respuesta a incidentes y detección y respuesta gestionadas (MDR) tuvieron que intervenir.
El 56 % de las organizaciones con ingresos de entre 10 y 50 millones USD sufrió un ataque de ransomware en el último año, llegando al 72 % en aquellas empresas con ingresos de más de 5000 millones USD.
El análisis de las causas raíz en función de los ingresos anuales revela que la explotación de vulnerabilidades y el compromiso de credenciales siguen curvas de tendencia opuestas.
Casi todos los sectores luchan por detener los ataques antes de que se produzca el cifrado de datos: con solo una excepción, en cada sector, más de dos tercios de los ataques comportaron el cifrado de datos.
En el 30 % de los ataques en que se cifraron datos, también se produjo el robo de los datos. Este enfoque «double dip» de los adversarios cada vez es más común, ya que buscan la manera de incrementar su capacidad de monetizar los ataques.
El 97 % de las organizaciones cuyos datos fueron cifrados los recuperaron. Las copias de seguridad fueron el enfoque más común, y se utilizaron en el 70 % de los incidentes.
El 46 % pagó el rescate y recuperó los datos, mientras que el 2 % empleó otros medios.
En general, uno de cada cinco (21 %) utilizó varios métodos para restaurar sus datos.
El 1 % de las organizaciones cuyos datos fueron cifrados pagaron el rescate pero no pudieron recuperar los datos.
El pago de rescates es solo un elemento de los costes de recuperación en la gestión de los eventos de ransomware.
Si excluimos cualquier rescate pagado, las organizaciones notificaron un coste medio estimado para recuperarse de los ataques de ransomware de 1,82 millones USD.
Independientemente de los ingresos, la geografía o el sector, el ransomware continúa siendo una amenaza importante para las organizaciones.
A medida que los adversarios continúan mejorando sus tácticas, técnicas y procedimientos de ataque (TTP), los responsables de la seguridad luchan por seguir el ritmo de los delincuentes, lo que resulta en mayores índices de cifrado.
La caída en el uso de copias de seguridad para recuperar datos cifrados es un motivo de preocupación importante.