En el panorama de la ciberseguridad, una nueva variante de ransomware ha captado la atención de especialistas y responsables de TI por su enfoque extremo: eliminar o inutilizar de forma irreversible los datos que superan los 128 kilobytes. Este comportamiento, que va más allá de cifrar archivos individuales, se presenta como una táctica dirigida a dificultar la recuperación sin una copia de seguridad fiable y actualizada.

Resumen del riesgo
– Extensión de daño: la amenaza apunta específicamente a archivos cuyo tamaño excede los 128 KB, lo que afecta a documentos, bases de datos y muchos activos críticos para las operaciones empresariales.
– Eliminación de datos sin cifrado: a diferencia de variantes que solo cifran, este ransomware podría destructivamente sobornar o corromper los archivos para que no sean recuperables mediante métodos convencionales de descifrado.
– Dependencia de copias de seguridad: ante la destrucción selectiva de datos, la única vía real de recuperación es contar con respaldos recientes, íntegros y aislados de red, que no hayan sido comprometidos por la infección.

Qué significa para las organizaciones
1. Evaluación de impacto: las empresas deben mapear su inventario de activos y clasificar la criticidad de los datos por tamaño de archivo y función operativa. Los sistemas que gestionan grandes volúmenes de datos estructurados o multimedia pueden verse especialmente afectados.
2. Estrategia de copias: las copias de seguridad deben mantenerse fuera de línea o en entornos de almacenamiento inmutables. La caducidad de las copias o la exposición a redes conectadas incrementa el riesgo de perder la posibilidad de restaurar información valiosa.
3. Segmentación y control de acceso: implementar principios de mínimo privilegio, segmentación de redes y controles de acceso estrictos reduce la superficie de exposición y evita movimientos laterales del adversario dentro de la infraestructura.
4. Detección y respuesta: soluciones de monitoreo en tiempo real, detección de comportamientos anómalos y planes de respuesta a incidentes deben estar en ejecución, con ejercicios prácticos para validar su efectividad.
5. Plan de comunicación: ante un incidente, es crucial comunicar de forma clara con equipos internos, clientes y socios, manteniendo la transparencia sobre el alcance, el impacto y las medidas de mitigación.

Buenas prácticas recomendadas
– Implementar una estrategia de back-ups 3-2-1: tres copias de seguridad, en dos medios diferentes, y al menos una fuera de la red principal. Verificar la integridad de las copias de seguridad regularmente.
– Habilitar controles de integridad de archivos y verificación periódica de cambios para detectar modificaciones no autorizadas.
– Desarrollar y probar un plan de recuperación ante desastres (DRP) y continuidad del negocio (BCP) que contemple escenarios en los que los archivos por encima de cierto tamaño no puedan ser recuperados por métodos estándar.
– Aplicar gestión de parches y endurecimiento de endpoints, incluyendo controles de ejecución de scripts, bloqueo de macros y dispositivos extraíbles no autorizados.
– Capacitar al personal y realizar simulacros de phishing para reducir el riesgo de infección inicial y acelerar la detección temprana.

Conclusión
La aparición de una variante de ransomware capaz de destruir archivos por encima de un umbral específico subraya la necesidad de una estrategia integral de ciberseguridad que vaya más allá de la simple protección perimetral. La resiliencia operativa no descansará únicamente en herramientas, sino en procesos, cultura y una base de datos y archivos respaldados y gestionados de forma segura. Incorporar medidas de prevención, detección temprana y planes de recuperación bien definidos es la mejor respuesta ante una amenaza que busca convertir la pérdida de información en una ventaja operativa para los atacantes.

from Latest from TechRadar https://ift.tt/plKwheu
via IFTTT IA