¿Por qué casi todos los ataques de ransomware intentan destruir los repositorios de backup?
- Seguridad
El último informe de tendencias de ransomware de Veeam confirma que el 94% de los atacantes de ransomware intentan destruir los repositorios de backups, que son decisivos a la hora de que una empresa pueda recuperarse de un ataque de este tipo. Por tanto, hay que protegerlos, ya que del total de intentos de dañar las copias de seguridad, el 72% tuvo éxito, al menos parcialmente.
Las empresas están perdiendo la batalla cuando se trata de defenderse de los ataques de ransomware. Y es que, según el Informe de Tendencias de Ransomware Veeam 2022, siete de cada diez organizaciones tuvieron ataques parciales o completos en sus repositorios de backup, impactando dramáticamente en su capacidad de recuperar los datos sin pagar el rescate. El 80% de los ataques exitosos tenían como objetivo vulnerabilidades conocidas, lo que refuerza la importancia de parchear y actualizar el software.
De las organizaciones encuestadas, el 76% pagaron el rescate para poner fin a un ataque y recuperar los datos. Lamentablemente, mientras que el 52% pagó el rescate y pudo recuperar los datos, el 24% pagó el rescate, pero no pudo recuperar los datos. Cabe destacar que el 19% de las organizaciones no pagaron el rescate porque pudieron recuperar sus propios datos. Esto es a lo que debe aspirar el 81% restante de las cibervíctimas: recuperarlos sin pagar el rescate.
"El ransomware ha democratizado el robo de datos y requiere una colaboración doble por parte de las organizaciones de todos los sectores para maximizar su capacidad de reparación y recuperación sin pagar el rescate", señala Danny Allan, CTO de Veeam. "Pagar a los ciberdelincuentes para restaurar los datos no es una estrategia de protección de datos. No hay garantía de recuperar los datos, los riesgos de daño a la reputación y la pérdida de confianza de los clientes es alta, y lo más importante, esto alimenta una profecía autocumplida que premia la actividad criminal."
Los encuestados confirmaron que el 94% de los atacantes intentaron destruir los repositorios de copias de seguridad y en el 72% de los casos esta estrategia tuvo un éxito al menos parcial. Esta imposibilidad de recuperación de una organización es una estrategia de ataque muy popular, ya que aumenta la probabilidad de que las víctimas no tengan otra opción que pagar el rescate. La única forma de protegerse ante este panorama es contar con al menos un nivel inmutable o de protección aérea dentro del marco de protección de datos, que el 95% de los encuestados declaró tener actualmente. De hecho, muchas organizaciones declararon tener algún nivel de inmutabilidad o medios con air-gap en más de un nivel de su estrategia de disco, nube y cinta.
Para garantizar de forma proactiva la recuperabilidad de sus sistemas, el 16% de los equipos de TI automatiza la validación y la recuperabilidad de sus copias de seguridad para asegurarse de que sus servidores son restaurables. Además, durante la reparación de un ataque de ransomware, el 46% utiliza una "caja de arena" o “sandbox” aislada, o un área de prueba para garantizar que los datos restaurados están limpios antes de reintroducir los sistemas en la producción.
Casi todas las organizaciones (95%) tienen al menos un nivel de protección de datos inmutable o con bloqueo aéreo; el 74% utiliza repositorios en la nube que ofrecen inmutabilidad; el 67% utiliza repositorios de disco en las instalaciones con inmutabilidad o bloqueo; y el 22% utiliza cinta con bloqueo aéreo. Inmutables o no, las organizaciones observaron que, además de los repositorios de disco, el 45% de los datos de producción se sigue almacenando en cinta y el 62% en la nube en algún momento del ciclo de vida de los datos.
En cuanto a la alineación de la organización, el 81% cree que las estrategias de ciberseguridad y de continuidad del negocio/recuperación de desastres de sus organizaciones están alineadas. Sin embargo, el 52% cree que las interacciones entre estos equipos deben mejorar.