A la máxima brevedad contactaron un mail a nuestra área de soporte, informando la situación de un servidor encriptado. Uno de nuestros ingenieros, Johnattan Vallenilla, fue asignado al caso y se puso manos a la obra. Fue a consultar la lista de respaldo disponible en el software de protección de datos de NetApp, que había sido programado a medida de la compañía constructora y que tenía varias capas temporales de protección por tramos diarios, semanales y anuales, de acuerdo a la programación personalizada que le habían dado nuestros Gerentes de Seguridad al momento de configurar su política de backup. Cabe decir que, además, Bravo Izquierdo cuenta con una completa política de seguridad que cubre desde los antivirus hasta las políticas de correo electrónico para sus ususarios.
Gracias a la tecnología de NetApp aplicada a los servidores del cliente, para nuestro ingeniero de soporte fue muy fácil ofrecerles distintas snapshots que estaban disponibles, y en poco más de 10 minutos ya estaban avanzando en las fases de recuperación. Una de las claves del éxito de la operación fue la buena sincronización con los responsables informático de Bravo Izquierdo, quienes fueron validando cada una de las etapas del proceso.
Es un ejemplo empírico y exitoso del buen diseño de la solución que nuestra empresa contrató, y que a su vez nos permite investigar e ir afinando aún más la seguridad de los sistemas para contrarrestar mucho antes estas amenazas -Luis Calderón, Jefe Dpto. IT Bravo Izquierdo.
En ISC tenemos vasta experiencia en actuaciones de ransomware y recuperación de datos, por lo que la primera recomendación para saber cuándo había comenzado el ataque fue revisar las fechas de modificación de los archivos, para comprobar cuándo exactamente había comenzado la acción del malware.
Este dato se puede comprobar debido a que estos tipos de invasiones maliciosas actúan sustituyendo las extensiones de los archivos por las suyas de encriptación, lo que implica a su vez la modificación de la fecha de modificación de los mismos. De acuerdo a esta comprobación y a la ágil disponibilidad que permite el backup NetApp, se pudo recuperar la copia de respaldo sana más cercana al evento, con lo cual se pudo minimizar la pérdida de información y disponer de los archivos al completo.
Una de las mayores ventajas del backup del software de NetApp instalado en la máquina virtual que contenía los datos del servidor que fue infectado, es que ofrece la tecnología de Snapshots, lo cual significa que el software genera periódicamente una foto de los archivos, a través de una tecnología que realiza copias de datos instantáneas mientras las aplicaciones siguen funcionando. De esta manera, en caso de ser necesario, la recuperación se realiza llamando a estos sistemas de archivos o volúmenes de datos en cuestión de segundos.
El servicio contable de la firma que dependía del software instalado en el servidor encriptado estuvo fuera de servicio tan solo 3 horas, y al final del proceso la totalidad de los archivos fueron recuperados sin necesidad de inciar un trámite de pago a los ciber criminales, lo cual, además de ser engorroso, no siempre garantiza la desencriptación de los archivos, ya que a veces después de recibir el pago no siempre se consigue recuperar el 100% de los archivos. Para ejemplo, el de este director de IT de una empresa española que sufrió un ataque de este tipo:
En ISC nos encncagramos de diseñar soluciones a medida para reforzar las políticas de seguridad de nuestros clientes a partir de arquitecturas diseñadas desde la virtualización y almacenaminto de los datos en nuestros data centers, junto a sistemas de respaldo de nivel mundial como NetApp o Druva y Recuperación de Desastres con la firma Veeam, todos certificados por Gartner como líderes en tecnología. Si tú o tu empresa necesitan asesoría contacta con uno de nuestros asesores especializados en info@isc.cl y resolveremos todas tus dudas de prevención y actuación en caso de ataques. Si lo prefieres, puedes también llamarnos al +56 2 236 2306 o visitar nuestra web www.isc.cl