Prueba gratuita
Buscar en
Cerrar este cuadro de búsqueda.

Detección de ransomware y recuperación mejorada ahora incluidas en la cartera de recuperación y replicación de Cristie Software

Detección temprana de ransomware incorporada al proceso de recuperación del sistema.

Cuando los ciberdelincuentes orquestan un ciberataque dirigido por humanos, pueden haber pasado meses identificando y superando defensas para maximizar el impacto de su ataque. Independientemente de si han entrado a través de malware o de la explotación de un servidor web obsoleto o mal configurado, el objetivo final será el cifrado de archivos para pedir un rescate por datos operativos vitales. Los hackers suelen utilizar el cifrado asimétrico. Se trata de una criptografía que utiliza un par de claves para cifrar y descifrar un archivo. El atacante genera de forma exclusiva el par de claves pública-privada para la víctima, y la clave privada para descifrar los archivos se almacena en el servidor del atacante. Los ataques dirigidos por humanos intentan propagarse lateralmente dentro de la infraestructura de una organización, y cuando se ejecuta la carga útil de cifrado, los archivos pueden cifrarse a un ritmo alarmantemente rápido. La detección rápida de anomalías en la estructura y el nombre de los archivos puede proporcionar la alerta más temprana de un ciberataque activo, y esta capacidad se ha introducido ahora en la cartera de soluciones de recuperación y replicación de sistemas de Cristie Software.

Aplicación de técnicas patentadas de análisis de archivos para combatir el ransomware.

Recientemente hemos anunciado la concesión de una patente en el Reino Unido para la autocuración automática de errores o fallos durante la restauración o replicación de un sistema. Esta tecnología se basa en algoritmos que analizan los archivos de registro en tiempo de ejecución para proporcionar la resolución automática de fallos de restauración del sistema a través del aprendizaje automático. El equipo de desarrollo de Cristie Software ha aplicado estas tecnologías para proporcionar una detección avanzada de anomalías en los archivos que puede tener lugar dentro del proceso de recuperación y replicación del sistema. Las copias de seguridad del sistema son una defensa vital contra el ransomware y el proceso de copia de seguridad ofrece una oportunidad ideal para comparar la estructura de archivos entre las imágenes de trabajo de copia de seguridad posteriores. Algunos archivos cambian regularmente durante las operaciones normales de la empresa debido a las acciones que se llevan a cabo en sus aplicaciones asociadas; sin embargo, el proceso de cifrado de archivos maliciosos seguirá uno de varios patrones detectables. Son estos patrones los que la tecnología de detección de anomalías de Cristie Software tratará de identificar y avisar lo antes posible de que se está produciendo un ataque.

Detección de patrones de cifrado de ransomware.

Para ser eficaz, el ransomware debe cifrar los archivos, lo que significa que debe leer el contenido del archivo desde el disco y luego escribir el contenido del archivo cifrado en el disco. La forma de hacerlo varía: algunas cargas útiles de ransomware escriben en un archivo diferente y, a continuación, eliminan el archivo original. Otros escriben en el archivo original y posiblemente le cambian el nombre después de cifrarlo. Por lo tanto, vigilar los borrados masivos y los cambios de nombre es parte del proceso, pero esto es sólo la punta del iceberg. El proceso de cifrado en sí también varía: algunas cargas útiles cifran fragmentos de archivos, mientras que otras pueden cifrar el archivo completo. El cifrado de archivos se detecta calculando la entropía de un archivo. La entropía de un archivo mide la aleatoriedad de los datos en un archivo y se utiliza para determinar si un archivo contiene datos ocultos o scripts sospechosos. La escala de aleatoriedad va de 0, nada aleatorio, a 8, totalmente aleatorio, como un archivo cifrado. Por supuesto, cualquier proceso de copia de seguridad que utilice cifrado y/o compresión de datos también mostrará estas propiedades, incluido el cambio de nombre de los archivos con una extensión como '.bak', además del consiguiente aumento de la entropía del archivo. Por lo tanto, cualquier algoritmo de detección de anomalías de archivos debe ser capaz de determinar entre comportamientos sospechosos y esperados para evitar presentar falsas alertas positivas. Los ataques típicos de ransomware mostrarán características que pueden ser detectadas por los algoritmos de detección de anomalías de Cristie mediante la comparación con patrones conocidos. El proceso de detección puede ejecutarse después de cada copia de seguridad del sistema. Los informes de actividad de los archivos y las alertas clasificadas se presentan a través de un panel de seguridad dentro de la interfaz de usuario de Cristie Virtual Appliance (VA). Las alertas también pueden enviarse por correo electrónico y registrarse en los registros de eventos.

¿Con qué rapidez puede el ransomware cifrar tus datos?

Un reciente artículo publicado por la plataforma de noticias tecnológicas ZDNET informaba de que los investigadores habían comprobado la rapidez con la que 10 de las principales cepas de ransomware podían cifrar redes. En el momento de redactar este artículo, descubrieron que la forma más rápida de ransomware era una cepa de malware llamada LockBit, que tardó una media de sólo 5 minutos y 50 segundos en cifrar 100.000 archivos. En una prueba posterior, LockBit sólo tardó 4 minutos y 9 segundos en cifrar 53,83 GB de archivos en diferentes sistemas operativos Windows y especificaciones de hardware. Estas cifras demuestran lo rápido que el ransomware puede convertirse en una grave crisis de ciberseguridad para la víctima de un ataque. La capacidad de detectar y alertar sobre la actividad de archivos que pueda resultar sospechosa permite identificar posibles ataques de ransomware en movimiento y tomar medidas inmediatas.

Determinar el punto de recuperación seguro tras un ataque de ransomware.

Dada la velocidad a la que el ransomware puede propagarse por una red infectada, es muy probable que las copias de seguridad del sistema contengan archivos cifrados por el malware. Este escenario normalmente requeriría una cantidad de investigación ciberforense para determinar la "última copia limpia conocida" de los datos de copia de seguridad que podría proporcionar un punto de restauración seguro. Esto puede ser un ejercicio oportuno que resulta en un tiempo de inactividad prolongado y la pérdida potencial de ingresos. La capacidad de detección de anomalías de Cristie Software puede ayudar a reducir este tiempo, ya que los archivos de copia de seguridad también se pueden escanear en busca de anomalías mediante la comparación con múltiples instantáneas de copias de seguridad anteriores que la VA puede consultar como parte de las operaciones normales.

Ampliación de un enfoque holístico de la ciberseguridad.

Cyber threats come in many forms so for that reason a holistic approach is required to tackle them. Cybersecurity can seem a daunting task with so many loopholes to plug, but with a systematic approach you can achieve a great level of protection for your backup environment. Traditional antivirus software still plays a vital role although by its nature it is always on the back foot since it can only detect malware codes that are already known and present within virus definition files which require constant updates. Advanced techniques that employ machine learning, such as the file anomaly detection included within Cristie Software’s recovery and replication solutions, offer a powerful additional layer of protection which is much harder to circumvent since file encryption is harder to disguise than a new segment of malware code. Combining our recovery and replication solutions with existing cybersecurity measures and complimentary technologies such as immutable or air-gapped storage will significantly reduce your vulnerability and likelihood of a full recovery following a cyberattack, without paying any ransom.

En resumen.

La automatización de la recuperación, replicación y migración de sistemas ha sido el eje central de la suite Cristie Software desde su creación, impulsada por técnicas innovadoras y los últimos avances en informática. Añadir la detección de ransomware es una extensión natural de nuestra funcionalidad de recuperación de desastres y algo para lo que nuestras herramientas de software están en una posición única. Todas las principales plataformas de nube y virtualización pueden admitirse como objetivos de replicación o recuperación, y hay disponibles extensiones específicas para mejorar la recuperación de sistemas desde soluciones de copia de seguridad como Dell Technologies Avamar, Dell Technologies Networker, IBM Spectrum Protect, Cohesity DataProtect y Rubrik Security Cloud. Visite las páginas de productos CloneManager® y System Recovery o póngase en contacto con el equipo de Cristie Software para obtener más información sobre el conjunto de soluciones de Cristie Software para recuperación de sistemas, replicación, migración y protección contra ransomware.

Cristie Software Ltd

New Mill, Chestnut Lane
Stroud, GL5 3EW
Reino Unido

©2024 Cristie Software Ltd. Registered in England & Wales Number: 06395450
Youtube Linkedin Facebook Twitter Github
cristie software_logo-02

Póngase en contacto con nosotros

Gracias por ponerse en contacto con nosotros. Hemos recibido su solicitud.