Hemos actuado en una empresa que reclama nuestros servicios después de ver cifrados todos sus archivos del servidor principal por un Ramsomware de la variante Phobos. Desafortunadamente, también se cifraron las copias de seguridad que tenÃan en un disco secundario dentro del mismo servidor.
Se realiza analisis forense a ver si podemos recuperar algún archivo de copia de seguridad anterior al ataque, con resultado negativo.
Después de explorar y agotar todas las opciones damos por irrecuperable la información y ofrecemos a la empresa la mediación con el ciberdelincuente para el posible pago del rescate (Esto no debe hacerse si no es como ultimÃsimo recurso, y aún asÃ, no ofrece todas las garantÃas), acordamos empezar negociaciones ya que llevan 2 semanas sin poder facturar dado a que todos los datos del software de gestión están cifrados.
Nos ponemos en contacto con el delincuente y acordamos una cantidad que la empresa piensa que es asumible. Nos cercioramos que el delincuente nos va a brindar la clave de descifrado despues del pago y posteriormente gestionamos el pago en Bitcoins y a los dÃas recibimos la clave de descifrado.
Recuperamos el servidor y todos los datos, con lo cual la empresa puede continuar con su actividad (Después de casi 1 mes de parada casi total).
Después de estabilizar y poner en marcha los servicios, proponemos soluciones de seguridad y copias de seguridad múltiples, la empresa da el visto bueno y las implementamos inmediatamente.
Se acuerda también mantenimiento y vigilancia constante de la ciberseguridad de la empresa (Protección Activa).
A veces escatimar en presupuesto de ciberseguridad sale caro, y ya no solo por el pago del rescate (Que en esta ocasión fué asumible) sino por los dÃas de perjuicio a la actividad normal de la empresa.