Revista Informática

¿Cuáles son las implicaciones legales de un ataque de ransomware?

Publicado el 10 abril 2023 por Ferranmunoz @ferran_munoz

¡Secuestro de datos! La palabra estremece a todos los CISO y CIO. El enemigo público número 1 de las empresas, el ransomware toma como rehenes su computadora, sus datos y, en ocasiones, todo el sistema de información paralizando por completo el funcionamiento de la empresa. Esto plantea las terribles preguntas de qué postura adoptar y las múltiples implicaciones legales…

Imagina la escena: eres el director legal de una gran multinacional y mientras intentas iniciar sesión en tu sistema el lunes por la mañana, notas que tu casilla de correo electrónico no se actualiza y no puedes iniciar sesión en tu computadora usando la VPN corporativa. Luego descubre que otras personas en la empresa tienen el mismo problema.

Poco después, recibe una llamada de pánico del oficial de seguridad de la empresa que explica que la empresa fue atacada por ransomware y los atacantes enviaron una nota de rescate exigiendo una gran suma dentro de los tres días, y que si no se recibe el pago, todos los datos privados de la empresa serán publicado en línea y disponible para todos.

Los ataques de ransomware se dirigen a todas las industrias a nivel mundial, incluidas las industrias altamente reguladas, como el gobierno y la atención médica. Incidentes de este tipo han ocurrido en una escala sin precedentes, y cuando una empresa sufre un ataque de ransomware exitoso, las implicaciones técnicas y legales son significativas.

Cuando una empresa cierra como resultado de un ransomware, debe hacerse las siguientes preguntas:

* ¿Tenemos el capacidades de respuesta tecnica internamente para tratar rápidamente el incidente?

* Deberíamos pagar o no el rescate? Si es así, ¿cómo se pagará el rescate? ¿Qué puntos debemos considerar antes de pagar una nota de rescate?

* ¿Había también un Filtración de datos ¿Dónde la información confidencial fue extraída por la banda de ransomware con fines de doble extorsión?

* Debería notificar a la policía y cualquier organismo regulador pertinente?

¿Cómo deben reaccionar las empresas?

Lo primero que debe hacer es contratar un equipo de respuesta a incidentes, después del evento o antes del ataque, para que lo guíe a través del proceso de remediación. Si alguna vez ha tenido un incidente de seguridad, ya sea ransomware o de otro tipo, es importante que se asegure de tener acceso a este equipo. Debe tener acceso a personas que tengan una experiencia única en la respuesta y el manejo de incidentes cibernéticos.

Si tiene una póliza de seguro cibernético, verifique los términos de la cobertura y si tiene acceso a un panel de empresas de respuesta y/o asesores legales a los que puede necesitar recurrir en caso de una violación de datos.

¿Deberían las empresas pagar el rescate?

Uno tiene que considerar varios factores y riesgos antes de decidir si pagar o no un rescate. Las empresas deberán establecer algún nivel de atribución para determinar si el actor de la amenaza está sujeto a sanciones impuestas a naciones específicas.

La empresa también debe determinar si las leyes aplicables permiten pagar el rescate; de ​​lo contrario, la empresa podría enfrentar otro incidente importante si, sin darse cuenta, viola las sanciones internacionales al pagar un rescate.

Actualmente no es ilegal pagar demandas de ransomware, pero hay una gran área gris cuando se trata de determinar si se debe pagar o no un rescate. En la UE, los grupos de ciberdelincuentes pueden enfrentarse a sanciones económicas…

En muchos casos, a menudo no es necesario pagar por la demanda de un ransomware. Las empresas aún pueden infectarse con ransomware, lo que generará costos adicionales para eliminar todo el malware antes de que ocurra un nuevo ataque.
Lo sabemos El 73% de las empresas experimentaron al menos un ataque de ransomware en 2022en comparación con solo el 55% en 2021.

et El 80% de las empresas que pagaron fueron nuevamente víctimas de ransomware. El 68 % dijo que el segundo ataque ocurrió menos de un mes después y que los atacantes exigieron un rescate mayor, y casi el 70 % de las empresas pagaron un rescate mayor la segunda vez.

¿Un ataque de ransomware significa que su red ha sido violada?

Las empresas infectadas con ransomware también se enfrentan a la alta probabilidad de que los atacantes también se hayan infiltrado en sus redes y hayan extraído datos confidenciales de propiedad o de clientes. Por lo tanto, se debe realizar un análisis legal adicional para evaluar el riesgo para el negocio en consecuencia.

Muchos grupos de actores de amenazas de ransomware utilizan la táctica de doble extorsión, en la que los datos extraídos se utilizan como palanca adicional para obligar a las empresas a pagar el rescate o considerar la posibilidad de que los datos se hagan públicos, un escenario en el que la existencia de copias de seguridad de datos hace poco para proteger la empresa de daños. En tales situaciones, es esencial determinar si se ha producido una violación de datos como parte del ataque de ransomware y tomar las medidas necesarias en consecuencia.

Protéjase contra el ransomware

Desde una perspectiva comercial, los problemas de continuidad del negocio después de un ataque de ransomware pueden hacer que una empresa incumpla los acuerdos de servicio o retrase el cumplimiento de otras obligaciones contractuales. Por lo tanto, es imperativo prepararse lo mejor posible para un ataque de ransomware y poner en marcha una estrategia para hacerle frente.

Esperar a que ocurra un ataque de este tipo para evaluar su estrategia y respuesta a un ataque de ransomware es demasiado tarde. Las empresas deben tener un plan de respuesta a incidentes que considere un posible ataque de ransomware antes de que realmente suceda. Lo mejor es estar lo más preparado posible y estar un paso por delante de los ciberdelincuentes.

Para defenderse de un ataque de ransomware, muchas empresas recurren a copias de seguridad de datos para tomar medidas correctivas después del ataque, pero como vimos anteriormente, esto no es suficiente. Si bien la copia de seguridad de los sistemas y los datos sigue siendo una buena opción, no resuelve el problema de la doble extorsión.

Un plan eficaz de prevención de ransomware incluye acciones como:

* Cumplimiento de las mejores prácticas en materia de seguridad higiene: Esto incluye la administración oportuna de parches y garantizar que los sistemas operativos y otro software se actualicen regularmente, la implementación de un programa de concientización sobre seguridad para el personal y el uso de las mejores soluciones de seguridad en la red.

* La implementación de capacidades de prevención de múltiples niveles: Las soluciones de prevención, como NGAV, deben ser estándar en todos los puntos finales empresariales de la red para frustrar los ataques de ransomware que explotan tanto los TTP conocidos como el malware personalizado.

* El despliegue de Endpoint y Detección y Respuesta Extendida (EDR y XDR): Las soluciones puntuales para detectar actividades maliciosas como un ataque RansomOps en todo el entorno brindan la visibilidad necesaria para detener los ataques de ransomware antes de que ocurra la filtración de datos o la carga útil del ransomware no se pueda entregar.

* Asegúrese de que los jugadores clave puedan ser contactados: Los gerentes deben estar disponibles en todo momento del día, ya que los esfuerzos de mitigación tan necesarios podrían retrasarse durante los fines de semana y días festivos. Es esencial tener responsabilidades claras de guardia para los incidentes de seguridad fuera del horario de atención.

* Realización de ejercicios periódicos de simulación: Estos ejercicios multifuncionales deben incluir líderes clave de los departamentos legal, de recursos humanos, de soporte de TI y otros, hasta el equipo ejecutivo, para garantizar una respuesta sin problemas a los incidentes.

* La garantía de prácticas de aislamiento claras: Estas medidas pueden detener cualquier penetración en la red o la propagación de ransomware a otros dispositivos o sistemas. Los equipos deben saber cómo desconectar un host, bloquear una cuenta comprometida, bloquear un dominio malicioso, etc.

* Evaluación de opciones de proveedores de servicios de seguridad gestionada: Si su empresa de seguridad experimenta escasez de personal o de habilidades, establezca procedimientos de respuesta preestablecidos con sus MSP para que puedan tomar medidas inmediatas de acuerdo con un plan acordado.

En última instancia, un enfoque de defensa de varias capas escanea, protege contra la doble extorsión y evita los ejecutables previamente desconocidos para implementar realmente una estrategia de ransomware proactiva.
____________________________

Par Guillaume LeseigneurDirector Regional de Ventas chez Cibertemporada

Lea también:

Cuatro razones para implementar una solución XDR hoy

XDR: ¡no todas las soluciones son iguales!

Es hora de desmitificar los conceptos erróneos que circulan sobre XDR

Proteja su negocio contra la creciente amenaza del ransomware

Ataques de ransomware contra datos de SaaS: ¡5 medidas de seguridad que debe tomar ahora!

[


Volver a la Portada de Logo Paperblog