Los ataques de ransomware se dieron a conocer a gran escala y para el conocimiento del gran público con el secuestro masivo de datos de importantes empresas en 2017, cuando una variante de este malware conocida como WannaCry puso en jaque a compañías de envergadura como Telefónica, por ejemplo. Sin embargo, el día a día de este tipo de ciberdelincuencia discurre a una escala mucho menor, entre pymes y autónomos, donde la ciberseguridad y la repercusión son menores y las posibilidades de extorsión, por lo tanto, mayores.
Una vez se ha producido la infección del equipo se pueden dar dos situaciones: que la empresa tenga una copia de seguridad actualizada y pueda recuperar sus archivos comprometidos o, por el contrario, que el cifrado haya secuestrado datos claves de los que no se tienen copias.
Este último es “el escenario más apocalíptico que se puede dar” según Marco Antonio Lozano, responsable de Servicios de Ciberseguridad de Empresas y Profesionales en el Instituto Nacional de Ciberseguridad de España (Incibe), puesto que es muy difícil descifrar este tipo de malware y muy pocas compañías a nivel mundial ofrecen garantías para recuperar los archivos.
Lo que os detallamos en este post narra la historia real de un servicio que desde Satinel System ofrecimos recientemente a una empresa que nos pidió ayuda después de que todos sus sistemas quedaran infectados por un malware.
En diciembre del pasado año, durante la campaña de cierre de año para todas las empresas, contacta con nosotros el CEO de una de estas empresas para comentarnos que desde 5 días atrás, al llegar a la oficina, los empleados se habían dado cuenta de que todos los archivos de la empresa se habían quedado «corruptos», y que después de investigar por su cuenta que había pasado con sus archivos notaron que en el escritorio había aparecido una nota explicando que sus documentos habían sido encriptados por un malware y que para recuperarlos debían de pagar un rescate.
Tras ello, se pusieron en contacto con un cliente de la empresa dedicado a montar ordenadores, y en su visita para «arreglar» el problema, formateó los discos de datos del servidor principal de la empresa para que la infección no se propagase más a los demás equipos de la red.
Después de formatear los equipos realizó una recuperación de los archivos con una herramienta de pago «crackeada», todo con el objetivo de intentar, por alguna vía, o ‘por arte de magia’ más bien, si los datos se habían desencriptado. Al comprobar que los datos continuaban de igual forma que antes del formateo, el informático recomendó a la empresa que realizaran el pago para el rescate y de esta forma obtener y recuperar la totalidad de los archivos.
Llegados a este punto, desde la empresa se paga el rescate con la ayuda del informático y ahí es cuando deciden llamarnos y cuando desde Satinel System entramos en acción. Es decir, se ponen en contacto con nosotros una vez disponen del ‘archivo de recuperación’ que el ciberdelincuente les había hecho para que comenzáramos a tomar medidas de actuación.
Después de ver la actuación realizada por el anterior técnico decidimos realizar varias copias de seguridad, tanto de los archivos encriptados, como de los pocos archivos que no se habían encriptado.
Y tras ello, decidimos en un entorno controlado y sin conexión con los demás equipos de la red ejecutar el «archivo de recuperación» facilitado. Y para sorpresa de todos, ya que no suele ser lo habitual… ¡¡FUNCIONÓ!!
Tras tres días completos de intenso trabajo, desde Satinel System pudimos recuperar todos los archivos encriptados y la empresa pudo recuperar por completo todos sus documentos, sin merma alguna para la gestión diaria de sus tareas ni de los datos y archivos de sus propios clientes. Algo que como decimos, no suele ser lo habitual. En estos entornos de ataque y tras proceder al pago de rescates, no es norma común que se permita la recuperación total, incluso parcial, de los datos de la empresa. Pero afortunadamente, lo logramos.
Conclusiones de todo, a tener en cuenta: por un lado la importancia de recurrir desde un primer momento a profesionales y expertos en ciberseguridad, antes que intentar por cuenta propia, por un amigo, un conocido que sabe de ordenadores… arreglar la situación. La segunda, igualmente importante: la importancia de invertir en ciberseguridad. Siempre lo decimos. Hoy más que nunca, con la transformación del entorno digital, la seguridad es vital, clave, para el buen funcionamiento de cualquier empresa. La ciberseguridad no es un coste, es una inversión necesaria, útil e indispensable que ayuda a que no pasemos por situaciones de auténtico riesgo y que comprometen nuestro futuro, como el caso que os acabamos de compartir.
Apuesta por la ciberseguridad para tu proyecto y negocio. Y cuenta con profesionales como los de Satinel System.