La arquitectura de datos inmutables y la resiliencia de los datos significan que los datos, una vez escritos, no pueden cambiarse. Y, si no pueden modificarse, tampoco pueden ser cifrados por el ransomware.
El aumento de la frecuencia, las exigencias y las tácticas del ransomware -incluida laexposición pública de datos confidenciales si las empresas no pagan el rescate- nos indican que el ransomware es más que suficientemente lucrativo para sus autores. Además, dado que el riesgo insignificante de que se descubra al autor es cada vez más remoto con el auge del software delictivo como servicio, las empresas conocidas tienen pocas posibilidades de evitar un ataque. De hecho, cada vez más organizaciones han sido atacadas más de una vez.
Qué hace el ransomware
El ransomware es un tipo de malware diseñado para bloquear el acceso a sus datos, normalmente cifrándolos para que no se pueda abrir ni acceder a sus archivos. Algunas variantes cambian las extensiones de los archivos, otras simplemente los cifran.
Los hackers piden un rescate (normalmente en bitcoin) a cambio de las claves de descifrado o de un descodificador para restaurar el acceso a tus datos. Es la versión digital del secuestro, con tus datos como rehenes hasta que pagues.
Los sofisticados ataques de ransomware están diseñados para ser difíciles de proteger y de detectar a tiempo. También son difíciles de detener, ya que a menudo cifran una red hasta el punto de que las víctimas se sienten confusas sobre sus opciones y a veces creen que no tienen más remedio que pagar el rescate.
Desde el punto de vista del atacante, a menos que se pague el rescate, el éxito de cualquier ataque depende de su incapacidad para restaurar el acceso a sus datos. Para limitar sus opciones de recuperación, los atacantes suelen atacar primero las copias de seguridad y las instantáneas. Esto puede dejar a las organizaciones afectadas sin nada que restaurar, excepto copias de seguridad externas, posiblemente en cinta. Confiar en las copias de seguridad es un proceso de restauración lento que puede llevar semanas o meses y provocar una enorme pérdida de datos.
Cuando se produce un ataque, los equipos de TI tienen que detectarlo, averiguar de dónde procede, ralentizarlo y, con suerte, detenerlo antes de que cifre redes enteras. Si los equipos pueden localizar un portátil o servidor infectado, desconectarlo de la red puede ayudar a contener y minimizar los daños. Pero a menudo los ataques provocan una sobrecarga de la CPU que dificulta enormemente el acceso de los administradores de sistemas a infraestructuras críticas como los servidores.Una vez finalizado el ataque, comienza la tarea de identificar los archivos, carpetas y directorios cifrados y averiguar si pueden descifrarse.
Mientras todo esto ocurre, los usuarios se quedan fuera de las redes. Los afectados incurren en los costes del tiempo de inactividad, la pérdida de datos y los esfuerzos fallidos de restauración. El enfoque de Panzura de almacenamiento inmutable y resiliencia de los datos -y la capacidad de nuestra solución multi-nube para cifrar los datos y hacerlos inútiles para los atacantes- significa que los clientes de Panzura pueden evitar por completo el pago de rescates.
Cómo penetra el ransomware en una red
El ransomware puede distribuirse a través de métodos de ingeniería social, como correos electrónicos falsos, spam, páginas web, descargas gratuitas de software, falsas actualizaciones de software y mensajes instantáneos.
Por ejemplo, una mañana recibes un correo electrónico urgente de tu director general (el correo electrónico tiene su nombre y dirección de correo electrónico en el campo "De:") pidiéndote que expliques la factura adjunta, un archivo PDF. Parece auténtico, así que abres el archivo adjunto. El PDF contiene una macro de Visual Basic que descarga y ejecuta un ransomware.
Ahora estás infectado, y el ransomware empieza a cifrar datos, no sólo en tu portátil, sino también en la unidad de red. Está diseñado para causar el máximo daño, por lo que permanecerá inactivo hasta que se conecte a una red corporativa, momento en el que se ejecutará a toda velocidad.
La defensa completa contra el ransomware no es posible
Dado el volumen y el éxito de los ataques a escala mundial, parece razonable concluir que no existe una defensa completa contra el ransomware. Las herramientas antiransomware pueden repeler los intentos y ayudar a mantener segura su infraestructura. Algunas son especialmente buenas a la hora de reconocer y rechazar adjuntos de correo electrónico y de detener automáticamente los ataques para minimizar los daños.
Sin embargo, estas soluciones son reactivas, no preventivas. Y no importa lo rápido que reaccionen ante una variante conocida, la naturaleza insidiosa del ransomware significa que todavía se pueden producir daños sustanciales antes de que un ataque pueda ser controlado.
Una respuesta más completa: Resistencia de los datos
En nuestra era digital, los datos tienen un valor inmenso porque, sin ellos, su organización sencillamente no puede funcionar.
Las estadísticas son claras: si una organización pierde el acceso a datos empresariales críticos durante 10 días o más, sólo tieneun 7% de posibilidades de sobrevivir los 12 meses siguientes. Esto convierte a los datos en el bien más valioso que posee.
Si no es completamente posible mantener el ransomware fuera, detener un ataque de ransomware depende de la protección de los datos. Eso significa, en términos de secuestro, que ya no estás intentando evitar que secuestren a alguien; estás haciendo que sea imposible que otra cosa que no sea un holograma de esa persona sea tomada como rehén. Mientras tanto, la persona real nunca corre peligro.
Presentación del almacenamiento de datos resistente
Al almacenar datos en formato editable, los sistemas de archivos heredados son intrínsecamente vulnerables al ransomware. Cuando son atacados, permiten modificar sus archivos. Pero la arquitectura de datos resiliente es fundamentalmente resistente a los ataques. En lugar de defender o proteger, reduce el impacto y la propagación de un ataque al no verse afectada por él.
El almacenamiento resiliente de datos es posible gracias a latecnología inteligentede sistemas de archivos multi-nube, como el sistema de archivos global Panzura CloudFS. Adopta un enfoque elegante y moderno de los datos no estructurados almacenados como objetos en una nube pública, privada o completamente oscura.
Para un usuario, CloudFS se ve y se siente como cualquier otro sistema de archivos. Los archivos pueden ser abiertos, editados, guardados, copiados o eliminados por cualquier usuario autorizado, en cualquier lugar y en tiempo real. Sin embargo, entre bastidores se esconde una infraestructura de almacenamiento radicalmente distinta, más sencilla e infinitamente más robusta.
CloudFS almacena los datos como bloques en un almacenamiento de objetos en la nube que proporciona un conjunto de datos único y autorizado a partir del cual trabajan todos los usuarios. Los bloques de datos, almacenados en forma de escritura única y lectura múltiple, son inmutables. No pueden modificarse, editarse ni sobrescribirse, por lo que son inmunes a la mayoría de las formas de malware.
Los punteros de metadatos del sistema registran qué bloques componen un archivo en un momento dado. A medida que los usuarios crean o modifican archivos, los trozos de datos modificados se trasladan al almacenamiento de objetos cada 60 segundos. Al mismo tiempo, los metadatos que describen todos los cambios se almacenan en cada nodo y en el almacén de objetos.
Por ejemplo, si un documento de 4 páginas llamado fileone.docx está formado por los bloques A, B, C y D, y el documento se edita hoy, puede que ahora esté formado por los bloques A, B, C y E. El nuevo bloque E se mueve al almacén de objetos, y los punteros registran que A, B, C y E son necesarios para abrir la versión actual de ese archivo.
Estos bloques de datos inmutables y el contenido de cada nodo están protegidos además por instantáneas de sólo lectura de todo el sistema que se toman a intervalos configurables, siendo el predeterminado de 60 segundos. Al ser de solo lectura, estas instantáneas también son inmunes al ransomware y ofrecen una forma granular de restaurar los datos a cualquier versión anterior.
Supongamos que, tras editar archivouno.docx, te das cuenta de que has eliminado accidentalmente un texto que era crucial. Normalmente, esos datos se perderían a menos que fueran capturados por una copia de seguridad del sistema, que suele ejecutarse una vez al día. Con Panzura CloudFS, basta con hacer clic con el botón derecho en el documento desde el Explorador de archivos de Windows y restaurarlo.
Cómo los datos resistentes hacen frente al ransomware
Durante un ataque de ransomware, se inserta código malicioso en sus archivos, que los modifica. Panzura reconoce los datos de archivo alterados, y los archivos cifrados se escriben en el almacén de objetos como datos nuevos.
Un sistema de almacenamiento heredado permitiría editar el archivo, pero CloudFS crea bloques de datos completamente nuevos: F, G, H e I, por ejemplo. Dado que CloudFS conserva los datos como objetos originales, el estado de cualquier archivo puede establecerse como "cifrado", y las instantáneas y el puntero de metadatos pueden configurarse para indicar que una versión limpia del archivo escrita antes de la infección es ahora la actual. Esto se puede hacer fácilmente para un solo archivo, directorios enteros, o incluso todo el sistema de archivos global.
CloudFS hace inofensivos los ataques de ransomware. Cuando acceder a tus datos es tan fácil como restaurarlos a partir de una instantánea, no necesitas una clave de descifrado.Ni bitcoin.
Publicado originalmente el 9 de mayo de 2021, actualizado el 25 de marzo de 2024