1- Còpies de seguretat
La primera mesura bàsica per atenuar els efectes d’un atac de ransomware pot semblar òbvia, però sovint no es compleix. És tenir còpies de seguretat de tot. “I sobretot, cal mantenir una còpia de seguretat separada de la xarxa i en bones condicions”, explica el director de l’Agència de Ciberseguretat de Catalunya, Oriol Torruella. Cal com a mínim una còpia desconnectada perquè els pirates informàtics sovint el primer que fan és buscar i xifrar també aquests bots salvavides. “Un bon sistema de còpies de seguretat facilita tornar a la normalitat”, afegeix el consultor en seguretat informàtica José Nicolás Castellano. Per al cap de la unitat central de delictes informàtics dels Mossos, el sotsinspector Albert Álvarez, les còpies de seguretat “formen part de la higiene en ciberseguretat que ha de tenir qualsevol empresa”.
2- Programari actualitzat
L’analista sènior de Kasperski Marc Rivero explica que els pirates analitzen la “superfície d’atac” de l’objectiu, les màquines i serveis exposats a internet, “i això és el que t’has de centrar a protegir”. Però també aprofitaran qualsevol vulnerabilitat que trobin en qualsevol ordinador, i la manera de minimitzar-les és tenir-los al dia. “Interessa tenir tots els sistemes actualitzats, des del sistema operatiu als programes, els navegadors d’internet i la protecció antivirus i antimalware”, insisteix el sotsinspector Albert Álvarez. Encara que Castellano recorda que ja hi ha grups de ransomware capaços de generar els seus propis 0 day –vulnerabilitats que el fabricant d’un programa no coneix i no ha pogut apedaçar amb una actualització–, són els més sofisticats. La majoria fan servir vulnerabilitats conegudes i que ja estan solucionades. Estar al dia pot ser una barrera eficaç.
3- Sistemes de protecció
“Els antivirus són gairebé una obligació per a tots els PC, i cal que siguin de pagament i al dia, no còpies pirates sense actualitzar”, alerta Castellano. “També cal tenir cura de la seguretat dels accessos remots”, avisa. Amb la pandèmia s’ha fet més habitual que mai que un treballador accedeixi a l’ordinador de la feina des de casa, “però cal vigilar amb les contrasenyes per defecte o que són massa fàcils d’endevinar”, insisteix el consultor. També calen tallafocs que puguin aturar les intrusions i que un antivirus comprovi els correus electrònics, una via d’entrada habitual per als intrusos a través de correus fraudulents de phishing. A més, evidentment, cal tenir cura de les contrasenyes dels diferents espais de treball, que han de ser sòlides, úniques i s’han de canviar periòdicament.
4- Protocols de resposta
Una qüestió clau és la formació bàsica dels treballadors “en tècniques bàsiques d’higiene i seguretat informàtica”, assegura el sotsinspector Álvarez. Sobretot perquè sàpiguen identificar un correu fraudulent, però també quan han de fer saltar l’alarma i a qui avisar. Evidentment, les empreses grans que tenen un servei informàtic amb prou capacitat han de planificar una situació d’amenaça. “Les empreses mitjanes o petites amb menys marge de maniobra han de tenir sobretot un protocol de resposta”, segons Castellano, “el telèfon d’un especialista a mà”, sentencia. En tot cas, tota entitat exposada a internet i amb dependència dels sistemes informàtics –o sigui, gairebé totes les empreses i institucions, avui en dia–, s’ha de preparar per a una situació d’emergència, com a mínim sabent a qui avisar. Perquè pot succeir.
5- Desconnectar les màquines
Un ciberatac de ransomware xifra tants arxius com pot d’un sistema informàtic. No és un procés automàtic i, a vegades, interrompent el procés es pot salvar informació que després un especialista pot recuperar. Castellano recomana “apagar tots els ordinadors immediatament” per aturar el procés. Álvarez, en canvi, avisa que “apagar els equips és el que no s’ha de fer”. Recomana desconnectar-los tots de la xarxa, perquè els infectats no puguin contagiar els altres. “Si els apagues perdràs algunes evidències forenses que s’allotgen a la memòria RAM i s’esborren quan s’atura l’ordinador. En alguns casos hi podria haver fins i tot la clau per desencriptar els ordinadors”, avisa el sotsinspector. Castellano admet que pot ser útil, però recorda que si no s’aturen continuen xifrant.
6- Analitzar la situació
Quan s’ha patit un atac de ransomware una de les mesures que cal prendre és avaluar l’abast de la destrossa. Quina mena de dades s’han xifrat? N’hi ha de personals o d’especialment sensibles? Els atacants les poden haver copiat, a més de xifrar-les? L’activitat es pot reprendre sense tota aquesta informació? “Cal trucar a un especialista per fer una avaluació de danys i de la naturalesa de les dades compromeses”, explica Castellano. A més, cal veure i estudiar què hi ha a les còpies de seguretat. Tota aquesta informació, analitzada més enllà del pànic inicial, pot ajudar a prendre decisions més adequades. A vegades pot ser que el més important s’hagi salvat. A més, l’incident també pot ser una oportunitat per descobrir errors i situacions que es poden millorar per evitar futurs ensurts.
7- Avisar autoritats i afectats
“S’ha de denunciar sempre”, alerta el cap de la unitat central de delictes informàtics dels Mossos, Albert Álvarez. Recorda que és obligatori per llei, sempre que es coneix un delicte –i un ciberatac ho és–. A més, sempre que “es produeix una violació de seguretat de les dades” cal avisar l’Autoritat de Protecció de Dades, segons afirma l’ens a la seva web, i en un termini màxim de 72 hores. A banda, “si és probable que la violació de seguretat comporti un alt risc per als drets i llibertats de les persones”, també cal avisar els afectats “sense dilacions indegudes i en un llenguatge clar i senzill”. Si fer-ho és massa complicat –perquè hi ha massa afectats per exemple– “es pot optar per una comunicació pública o una mesura equivalent”.
8- Recuperar l'activitat
Els atacs de ransomware inhabiliten els sistemes informàtics de l’entitat objectiu, com a mínim temporalment, perquè o bé queden xifrats o bé s’han d’analitzar per assegurar que no estan infectats. Per això una de les primeres mesures que cal posar en marxa és buscar maneres alternatives de mantenir o reprendre l’activitat. Sovint, doncs, cal muntar un altre sistema informàtic, ni que sigui provisional. Per aconseguir-ho és més que probable que calgui l’ajuda d’un especialista. Davant d’un atac informàtic d’aquestes característiques, i no només per a aquesta etapa del procés, cal el suport d’un o més experts i si no formen part de l’entitat s’han de buscar a fora. Sense ajuda especialitzada és molt fàcil que l’entitat afectada corri perill de quedar molt perjudicada, o de desaparèixer.
9- Pagar o no pagar?
El director de l’Agència de Ciberseguretat, Oriol Torruella, avisa que pagar el rescat “afavoreix el model de negoci d’aquests grups criminals” i, per tant, “fomenta la continuïtat d’aquesta activitat i incrementa el risc de nous atacs”. Per això, insisteix, no s’ha de fer mai. El sotsinspector Albert Álvarez és més directe: “Pagant estàs finançant el cibercrim i, per tant, col·laborant amb els futurs atacs que et podrien tornar a afectar”. Tant Rivero com Castellano també recomanen que no es pagui el rescat, però reconeixen que sovint moltes empreses afectades decideixen fer-ho perquè perilla la seva supervivència. En aquest cas tots dos recomanen que el pagament es faci de la mà d’un expert, que s’asseguri que el codi que enviïn per desxifrar els arxius no sigui res més que això, i que no hi ha més conseqüències indesitjades. “Moltes empreses de ciberseguretat ofereixen aquest servei a la seva cartera de productes”, explica l’analista Marc Rivero.
10- Reforçar la seguretat
Quan es recupera l’activitat després d’un atac de ransomware cal analitzar què ha passat i prendre mesures per intentar evitar que torni a passar. O sigui: cal invertir en ciberseguretat, i probablement fer una auditoria per reforçar els sistemes. Però la seguretat no és una qüestió d’un dia, cal revisar-la periòdicament perquè les tècniques dels ciberdelinqüents també evolucionen. Amb tot, tampoc cal fer alarmisme: “En l’entorn digital hi ha amenaces com en qualsevol altre”, diu Torruella, “com passa quan conduïm o en el trànsit aeri”.
![Entrada d'una oficina de canvi de criptomonedes a Istanbul](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 16 9"%3E%3C/svg%3E)
