Caso real de un cliente
Martes por la mañana recibo la llamada de un cliente, una pequeña empresa con 1 servidor y 5 ordenadores más un NAS para almacenar archivos.
Este cliente me dice que no puede abrir ni el programa de gestión A3 que usan ni ningún archivo que tienen en el NAS. Le digo que me mande una foto por WhatsApp para echarle un vistazo y como suponía había entrado un ransomware(“virus encriptador”). Les digo a los trabajadores de la empresa que inmediatamente desconecten el router de Internet y que apaguen todos los ordenadores, el Servidor y el NAS.
En cuanto puedo me presento en la oficina del cliente, empiezo mirando el servidor y se había encriptado toda la información del programa A3 que es el programa de gestión que utilizan en la empresa. Sigo por el NAS y también esta toda la información encriptada, aquí ya se empieza a poner la cosa fea, porque tanto el programa de gestión como TODOS los datos de la empresa están inaccesibles y con un ransomware bastante nuevo que a día de hoy no se puede recuperar la información. Empezamos entonces a revisar el disco duro USB de las copias de seguridad, el cual tenía información encriptada del programa A3, pero de aquí se pudo rescatar una copia de seguridad de hace unos días del NAS la cual todavía no se había visto afectada por el “bicho”.
En esa empresa se montó un sistema de copias de seguridad el cual una semana ponían un disco duro y a la siguiente ponían otro, cual es mi sorpresa cuando en el disco duro USB2 la ultima copia es de HACE 3 MESES.
Así que restauramos la ultima copia de seguridad efectiva del programa A3 que tenían en este disco duro USB2 y recuperamos casi toda la información del NAS que se había hecho copia de seguridad reciente.
Por supuesto formateamos el servidor, el NAS, el disco duro USB de las copias de seguridad infectado, así como todos los equipos de la oficina.
La moraleja de todo esto es que no por tener un disco duro de copias de seguridad o dos, si no se aplican correctamente unas políticas correctas de copias de seguridad pueden ocurrir desgracias como estas. Seguiremos trabajando en la concienciación del cliente, pero mucha gente solo aprende a base de estas cosas.
P.D.
Después de hablar con un experto en ciberseguridad me explica el modus operandi de la gente que se dedica a hacer esto. Compran ransomware que se venden en la “Deep Web” pero además contratan a programadores para personalizar el virus.
Entre unas cosas y otras el coste para el “pirata” puede ser desde 5000 a 6000€ mínimo. Esto es un negocio en el que hay gente con muy pocos escrúpulos que buscan hacer negocio a costa de las empresas. Por lo que me cuenta no son ataques al azar, saben que atacan a empresas para intentar sacarles el máximo dinero posible.
La manera de entrar puede ser de múltiples formas, pueden entrar a través de la una vulnerabilidad del sistema operativo del servidor, a través de algún puerto abierto, a través del mismo router porque algunos router tienen un pequeño disco duro para almacenar ciertas cosas, pueden entrar hasta a través de una impresora multifunción laser que tenga disco duro.
En fin, la única manera de evitar es implementando por un lado un buen sistema de seguridad, antivirus, firewall y demás, y por otro con un sistema eficaz de copias de seguridad y un seguimiento de estas porque si no se revisan las copias de seguridad nos podemos llevar alguna sorpresa en caso de necesidad de tener que tirar de estas copias.
En fin, sin más un saludo
Comentarios recientes