Una empresa se infecta de ransomware que se propaga al conectar dispositivos

¿Qué ha ocurrido?
Se puso en contacto, a través del teléfono gratuito y confidencia 017 del servicio Tu Ayuda en Ciberseguridad, el empleado de una empresa que acababa de ser víctima de un ataque ransomware.
Nos comentó que, tras el ataque, se había cifrado toda la información del servidor de la empresa, además de la que había en el NAS (Network Attached Storage). Asimismo, el malware había afectado a varios equipos de escritorio, por ejemplo, los ordenadores que estaban adyacentes al servidor que se vieron afectados.
Sin embargo, no todos los equipos se habían visto comprometidos por el ataque, ya que la empresa contaba con otros ordenadores que se encontraban aislados en otra red.
Además, en el NAS se encontraban las copias de seguridad, así como datos y otra información considerada de carácter personal o sensible por la empresa, ya que contenían datos de clientes, como, por ejemplo, sus DNI.
Hasta el momento de la llamada, habían intentado conectar alguna memoria USB a los dispositivos infectados, pero el ransomware se propagaba a los mismos, resultando inaccesibles.
Decidió ponerse en contacto con nosotros para solicitar asesoramiento.
¿Qué pautas le hemos dado?
Le facilitamos las siguientes pautas de actuación:
- No pagar el rescate ni ceder ante ningún tipo de chantaje que pudieran sufrir, puesto que esto no asegurará que puedan recuperar sus archivos.
- Aislar los equipos afectados de la red y no conectar ningún dispositivo para evitar que la infección se propague.
- Clonar los discos duros para intentar recuperar los datos desde el clonado.
- Desinfectar los discos clonados con una herramienta antimalware.
- Intentar recuperar los datos perdidos accediendo a la página www.nomoreransom.org:
- Usar la herramienta Crypto Sheriff.
- Seguir las herramientas y pasos que se indiquen.
- Si no hay una solución, conservar los discos cifrados por si existiese en el futuro.
- Al haberse visto comprometidos datos de carácter personal o sensible, contactar con la Agencia Española de Protección de Datos para notificar el incidente antes de que pasen 72 horas.
- Recopilar todas las evidencias posibles.
- Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Además, de forma preventiva para evitar este tipo de infección a futuro:
- Mantener todas las herramientas y sistemas actualizados.
- Hacer copias de seguridad de forma periódica.
- Utilizar el criterio de mínimos privilegios en el control de acceso.
- Diseñar la red bajo los principios de mínima exposición.
- Cifrar las comunicaciones.
- Desactivas las opciones de AutoRun y AutoPlay en unidades externas.
- Proteger el router y la wifi.
- Configurar medidas de seguridad sobre el correo electrónico.
- Auditar periódicamente los logs.
- Establecer un plan de contingencia y de respuesta ante incidentes.
Por último, le indicamos que ante cualquier duda que les pudiera surgir, podían volver a contactar con el servicio Tu Ayuda en Ciberseguridad de INCIBE, todos los días del año de 8:00 a 23:00.