Una arquitectura de datos inmutable significa que los datos, una vez escritos, no pueden cambiarse. Y, si no pueden modificarse, no pueden ser cifrados por el ransomware.
In Abril 2021, Security Boulevard published details on just a few of the notable ransomware attacks that had taken place in just the first quarter of 2021. They include CNA Financial – one of the largest cyber insurance firms in the USA, London-based education facility Harris Federation, IoT device manufacturer Sierra Wireless and Canadian plane manufacturer Bombardier.
El gigante de la informática Acer fue golpeado con lo que se cree que es la mayor demanda de rescate hasta la fecha, con los atacantes exigiendo la increíble cantidad de 50 millones de dólares para la devolución de sus datos no cifrados.
El pago de 5 millones de dólares de Colonial Pipeline a los hackers no ayudó mucho a su recuperación, después de que un ataque de ransomware a sus sistemas provocara interrupciones en el suministro de combustible a lo largo de la costa este. Suponiendo que la empresa siguiera utilizando las copias de seguridad para restaurar los datos, como se informó, porque el descifrador suministrado era muy lento, la experiencia de Colonial pone de manifiesto uno de los principales inconvenientes de pagar un rescate.
El aumento de la frecuencia de los ataques, la demanda de ransomware y las tácticas que incluyen la exposición pública de datos sensibles si las empresas no pagan el rescate, nos indican que estos ataques son más que lucrativos para los delincuentes que están detrás de ellos. Dado que el riesgo de ser descubierto sigue siendo bajo, y se reduce aún más con el auge del crimeware como servicio, hay pocas posibilidades de que cualquier empresa evite un ataque en algún momento. De hecho, un número cada vez mayor de organizaciones han sido atacadas más de una vez.
¿Qué es el ransomware y qué hace?
El ransomware es un tipo de malware o código de software que está diseñado para bloquear el acceso a sus datos, normalmente encriptando esos datos para que sus archivos no puedan ser abiertos o accedidos de ninguna manera. Algunas variantes cambian las extensiones de los archivos, mientras que otras simplemente los cifran.
Los hackers exigen entonces un rescate (a menudo en bitcoin) a cambio de las claves de descifrado, o de un descifrador para restaurar el acceso a sus datos.
Es la versión digital del secuestro: tus datos son rehenes a menos que pagues por su devolución.
Los sofisticados ataques de ransomware -financiados con el pago de rescates anteriores- están específicamente diseñados para ser difíciles de proteger y difíciles de detectar a tiempo. También son extremadamente difíciles de detener, a menudo cifrando una red hasta el punto de que las víctimas de los ataques de ransomware están confundidas sobre sus opciones y a veces creen que no tienen otra opción que pagar el rescate.
Desde el punto de vista del atacante, el éxito o el fracaso de cualquier ataque depende de su capacidad para restaurar el acceso a sus datos, a menos que se pague el rescate.
Como resultado, los atacantes suelen apuntar a las copias de seguridad, y a las instantáneas en primer lugar, para limitar sus opciones de recuperación. Esto deja a las empresas con nada más que copias de seguridad fuera del sitio, tal vez incluso en cinta, para restaurar. Tener que depender de las copias de seguridad puede suponer una enorme pérdida de datos, y es un proceso tan lento que la restauración puede llevar semanas o incluso meses.
Cuando se produce un ataque, los equipos de TI tienen que intentar identificarlo, encontrar su origen, ralentizarlo y, con suerte, detenerlo antes de que cifre redes enteras. Si pueden localizar un portátil o servidor infectado, por ejemplo, desconectarlo de la red puede ayudar a contener y minimizar los daños.
Con frecuencia, los ataques hacen que la CPU llegue al máximo, lo que dificulta enormemente el acceso de los administradores de sistemas a infraestructuras críticas como los servidores.
Una vez finalizado el ataque, comienza la ingente tarea de identificar los archivos, carpetas y directorios cifrados y averiguar si pueden ser descifrados.
Mientras todo esto ocurre, los usuarios se quedan sin acceso a las redes y las empresas incurren en los costes del tiempo de inactividad, la pérdida de datos y los esfuerzos fallidos de restauración. En realidad, el enfoque de bat365hacia el almacenamiento inmutable, y la capacidad de nuestra solución de nube híbrida para cifrar los datos y hacerlos inútiles para los atacantes, significa que los clientes de bat365 pueden evitar el pago de rescates por completo.
¿Cómo penetra el ransomware en una red?
El ransomware puede distribuirse a través de métodos de ingeniería social, como correos electrónicos falsos, spam, páginas web, descargas de software gratuitas, actualizaciones de software falsas e incluso a través de mensajes instantáneos basados en la web.
Están diseñados específicamente para tener éxito, haciendo que sea lo más probable que un usuario sea engañado.
Por ejemplo, una mañana recibes un correo electrónico urgente de tu director general (el correo tiene su nombre y dirección de correo electrónico en el campo "De:") en el que te pide que expliques la factura adjunta en forma de archivo PDF.
Parece auténtico, así que abres el adjunto. El PDF tiene un documento de Word incrustado, y usted evita el escaneo del archivo diciendo que está "bien" para abrirlo. El documento de Word tiene una macro de Visual Basic que descarga el ransomware y lo ejecuta.
Eso es todo lo que se necesita. Ahora está infectado con el ransomware, e inmediatamente comienza a cifrar los datos, no sólo en su portátil, sino también en la unidad de red.
Más recientemente, se sabe que los atacantes modifican los extremos de los cables de carga USB y los dejan en zonas muy transitadas. Estos se recogen rápidamente y, en algún momento, es probable que se conecten a un ordenador portátil o de sobremesa para cargar un teléfono.
En ese momento, el malware está dentro. Está diseñado para hacer el máximo daño, por lo que permanecerá latente hasta que ese mismo dispositivo se conecte a una red corporativa, momento en el que se ejecutará a toda velocidad a través de la red de archivos.
¿Es posible una defensa completa contra el ransomware?
Dado el volumen y el éxito de los ataques a nivel mundial, parece razonable concluir que no existe una defensa impenetrable contra el ransomware.
Las herramientas disponibles contra el ransomware pueden rechazar numerosos intentos y, si se mantienen actualizadas, ayudarán sin duda a mantener la seguridad de su infraestructura y a defenderse de los ciberataques.
Son especialmente buenos para reconocer y rechazar los archivos adjuntos de los correos electrónicos, lo cual es una de las razones por las que los ataques se han desplazado hacia métodos que ofrecen una inyección directa en una red.
Un software defensivo como el que ofrece Varonis es extremadamente eficaz en la detección temprana y puede detener automáticamente los ataques, por lo que si el ransomware viola su primera línea de defensa, minimizará los daños.
Sin embargo, estas soluciones son reactivas por su propia naturaleza. Sólo pueden defenderse contra una variante de ransomware que reconozcan, por lo que debe producirse un ataque antes de que el software pueda actualizarse. Y, por muy rápido que reaccionen estas soluciones ante una variante conocida, la naturaleza insidiosa del ransomware significa que todavía se pueden producir daños considerables antes de que se pueda controlar un ataque.
Una respuesta más completa es la protección contra el ransomware
El secuestro para obtener un rescate sólo es efectivo cuando la persona o el objeto tomado como rehén es tan valioso para el propietario que éste pagará por un retorno seguro. En nuestra era digital, los datos han adquirido un valor inmenso porque sin ellos, una organización simplemente no puede funcionar.
Las estadísticas son muy claras: si una organización pierde el acceso a los datos críticos de la empresa durante 10 días o más, sólo tiene un 7% de posibilidades de sobrevivir los siguientes 12 meses. Esto hace que los datos sean lo más valioso que posee una organización y lo más importante que hay que proteger.
Asumiendo que no es completamente posible mantener el ransomware fuera, detener un ataque de ransomware depende de la protección de los datos.
En términos de secuestro, ya no estás tratando de evitar que alguien sea secuestrado. En su lugar, estás haciendo imposible que otra cosa que no sea un holograma de esa persona sea tomada como rehén. Mientras tanto, la persona real nunca corre peligro.
Introducción del almacenamiento de datos inmutables
Al almacenar datos que deben ser editables, los sistemas de archivos heredados son intrínsecamente vulnerables al ransomware. Cuando son atacados, hacen exactamente lo que están diseñados para hacer, y permiten que sus archivos sean modificados.
La arquitectura de datos inmutable cambia su postura contra el ransomware y el malware porque es fundamentalmente resistente a los ataques. En lugar de ser una solución para ayudar a defender o proteger, reduce el impacto y la propagación de un ataque al no verse afectada por él.
El almacenamiento inmutable es posible gracias a una tecnología inteligente de sistemas de archivos en la nube híbrida, como bat365 CloudFS, que adopta un enfoque elegante y moderno de los datos no estructurados (archivos) y permite utilizar el almacenamiento de objetos, ya sea en una nube pública, en una nube privada o en una nube completamente oscura.
Para un usuario, CloudFS se ve y se siente como cualquier otro sistema de archivos. Los archivos pueden ser abiertos, editados y guardados, copiados o eliminados - por cualquier usuario autorizado, en cualquier ubicación que tenga una organización - en tiempo real.
Entre bastidores hay una estructura de almacenamiento radicalmente diferente, mucho más sencilla e infinitamente más robusta.
CloudFS es un sistema global de archivos en la nube que almacena los datos de los archivos como bloques en el almacenamiento de objetos en la nube, como un único conjunto de datos autorizado con el que trabajan todos los usuarios de la organización. La ubicación de los usuarios y el número de sedes de la organización no suponen ninguna diferencia para este sistema escalable; cada usuario tiene la sensación de estar trabajando en un archivo local, aunque los datos en sí estén almacenados a cientos, si no miles, de kilómetros de distancia.
Estos bloques de datos son inmutables: se almacenan en forma de escritura única y lectura múltiple, de modo que una vez almacenados no pueden ser modificados, editados o sobrescritos. Por lo tanto, son impermeables a todas las formas de malware.
Los punteros de metadatos se utilizan para registrar qué bloques componen un archivo en un momento dado. A medida que los usuarios crean o editan archivos, los trozos de datos modificados se trasladan al almacenamiento de objetos cada 60 segundos, y se almacenan como nuevos bloques de datos. Al mismo tiempo, los punteros de metadatos se actualizan para reflejar los nuevos bloques que forman el archivo.
Por ejemplo, si un documento guardado de 4 páginas llamado fileone.docx está compuesto por los bloques A, B, C y D, y el documento se edita hoy, podría estar ahora compuesto por los bloques A, B, C y E. El nuevo bloque E se mueve al almacén de objetos, y los punteros registran que A, B, C y E son necesarios para abrir la versión actual de ese archivo.
Estos bloques de datos inmutables están además protegidos por instantáneas de sólo lectura a nivel del sistema de archivos que se toman a intervalos configurables, siendo el valor predeterminado 60 minutos. Además, se toman instantáneas de sólo lectura a nivel del archivador local cada 60 segundos, y éstas se utilizan para transferir los datos modificados al almacén de objetos.
Al ser de sólo lectura, estas instantáneas también son inmunes al ransomware, y proporcionan efectivamente una forma granular de restaurar los datos a cualquier versión anterior.
Supongamos que, tras editar archivouno.docx, te das cuenta de que has borrado accidentalmente un texto que era crucial.
Normalmente, esos datos se perderían a menos que fueran capturados por una copia de seguridad del sistema, que suele ejecutarse sólo una vez al día. Con bat365 CloudFS, basta con hacer clic con el botón derecho del ratón en el documento desde el Explorador de Archivos de Windows, y restaurarlo a la instantánea que se tomó antes de realizar las ediciones.
Los datos inmutables se libran de los ataques de ransomware
En el caso de un ataque de ransomware, se inserta un código malicioso en sus archivos, modificándolos. bat365 reconoce los datos de los archivos alterados, y los archivos cifrados resultantes se escriben en el almacén de objetos como datos nuevos.
Un sistema de almacenamiento heredado permite editar un archivo mientras se inserta este código, modificando el propio archivo. Por el contrario, cuando fileone.docx es infectado por el ransomware en CloudFS, ahora está compuesto por bloques de datos completamente nuevos: F, G, H e I, por ejemplo.
Dado que CloudFS conserva los datos existentes como objetos originales en el almacén de objetos, cualquier archivo cifrado por el código del ransomware puede revertirse inmediatamente a su estado anterior a la infección, utilizando instantáneas. Esto puede hacerse fácilmente para un solo archivo, directorios enteros o incluso todo el sistema de archivos global.
Con los datos inmutables de bat365, tus archivos no están encriptados en absoluto. En su lugar, los punteros de los archivos apuntan ahora a bloques de datos que contienen cifrado. Volver a la instantánea anterior al ataque apunta de nuevo a bloques de datos limpios... y tus archivos limpios están de vuelta. Usando nuestro ejemplo de fileone.docx, simplemente restauras una instantánea donde los punteros de archivo registran los bloques A, B, C y E, y fileone.docx vuelve a estar operativo.
Esto hace que los ataques de ransomware sean inofensivos para su negocio, e inútiles para el atacante, ya que dependen de venderle la clave para descifrar sus datos, para que pueda acceder a sus archivos de nuevo. Cuando acceder a tus datos es tan fácil como restaurarlos desde una instantánea, no necesitas una clave de descifrado.
Protección contra la exposición de datos
Los secuestradores son conscientes desde hace tiempo de que sus posibilidades de cobrar rápidamente aumentan si pueden demostrar que están dispuestos a perjudicar a sus rehenes. El equivalente digital es la publicación de los datos de sus víctimas en Internet: registros confidenciales de pacientes o clientes, por ejemplo.
Esta amenaza aumenta exponencialmente el riesgo de no pagar, ya que ahora las organizaciones también pueden ser responsables de las violaciones de la privacidad, por no hablar de la consiguiente falta de confianza de aquellos a los que sirven.
Los mejores sistemas de archivos modernos, incluyendo bat365 CloudFS, utilizarán un cifrado de grado militar para los datos en el borde, dentro del almacén de objetos, y en vuelo, ya que los datos se mueven dentro y fuera del almacén. Así, en caso de que se vea comprometido, esos datos no podrán ser descifrados.
Como resultado de ser capaz de encogerse de hombros ante el propio ransomware, y de poder cifrar los datos para hacerlos ilegibles a ojos no autorizados, los clientes de bat365 no pagan rescates.
Existen innumerables razones para sustituir el almacenamiento NAS heredado en la empresa o en la organización del sector público. La protección de los datos y el ransomware no suelen ser las principales preocupaciones. La mayoría de las veces, el empuje proviene de un mandato de transformación digital, o de tener los datos no estructurados bajo control para evitar la compra de otro NetApp o Isilon.
Sin embargo, la protección de los datos inherente a la infraestructura de datos inmutable que ofrecen las soluciones de nube híbrida como bat365 se ha convertido en algo tan valioso que los responsables de la toma de decisiones inteligentes las sitúan junto a otras consideraciones de coste total de propiedad.
Reconozcámoslo, incluso cuando hay un cometido de transformación digital, el coste es un factor enorme. El coste de un ataque de ransomware es tan grande que mitigar ese riesgo con una solución que pueda repeler los ataques -todo ello mientras se consolidan los datos y se reducen los costes, y se ofrece un enfoque moderno y elegante de los datos no estructurados- tiene sentido lo mires por donde lo mires.