Una empresa es víctima del mismo ransomware en dos ocasiones

Toby L., jefe técnico en la gestión de incidentes del National Cyber Security Centre (NCSC), explica, en un nuevo post, la evolución del ransomware y la importancia de que las empresas que han sufrido este tipo de ciberataque investiguen cómo fueron infectadas para no volver a encontrarse la misma situación.

En el post destaca el caso de una empresa anónima que pagó un rescate, por valor de unos 6.5 millones de dólares, para recuperar sus archivos y restaurar sus sistemas cifrados tras haber sido víctima de un ransomware. Pese a ello, dos semanas más tarde, la empresa volvió a ser atacada por los mismos ciberdelincuentes, empleando el mismo ransomware, con lo que esta volvió a pagar nuevamente el rescate.

La empresa no se preocupó de implementar medidas tras el ciberataque inicial ni de investigar su causa. Es aquí donde Toby L. insiste en el error que cometió la empresa, al no examinar la red después del incidente ransomware y averiguar cómo los ciberdelincuentes lograron acceder a ella sin ser detectados.

El problema real, apunta, no es el ransomware, sino el alcance y la duración del acceso a la red por parte de los ciberatacantes, que además podrían haber instalado puertas traseras (backdoors) en la misma o adquirido derechos de administrador (root).