ITPartners+

En las primeras horas de un jueves de primavera, ITPartners+ se enfrentó a un grave problema de ciberseguridad: un ataque de ransomware dirigido contra uno de sus clientes. El ataque fue perpetrado por el grupo de ransomware Akira. Los autores del ataque no perdieron tiempo y comenzaron a cifrar servidores críticos e intentaron propagarse por la red lo más rápido posible. El momento elegido para el ataque, justo antes del fin de semana festivo del Memorial Day, fue una estrategia habitual utilizada por los atacantes para aumentar la probabilidad de que se pagara el rescate.

Chad McDonald, director técnico de ITPartners+, recuerda: «Hemos sufrido otros incidentes cibernéticos, pero ninguno de la magnitud de un ataque de ransomware. Era la primera vez que veíamos cómo un ransomware atacaba activamente un entorno».

La alerta inicial se recibió a través de la RocketCyber, un componente fundamental de las defensas de ciberseguridad de la empresa.

Casey Postma, responsable de ciberseguridad de ITPartners+, fue el primero en reaccionar. Descubrió el ataque cuando se despertó temprano y revisó su correo electrónico. Casey declaró: «Me desperté aproximadamente una hora antes de que sonara el despertador y decidí revisar mi correo electrónico. Vi que Managed SOC Datto Managed SOC un aviso de emergencia y nos había llamado». Esta detección temprana fue fundamental para mitigar los daños.

Gracias a las avanzadas capacidades de detección de amenazas de Datto, se identificó el primer indicador de compromiso a las 4:59 de la madrugada. Posteriormente, entre las 5:00 y las 5:15 de la madrugada, Datto y su experimentado equipo del SOC aislaron más de 30 dispositivos para detener la propagación, al tiempo que eliminaban los procesos maliciosos. «El tiempo de respuesta fue de poco más de un minuto desde el inicio del cifrado que activó la alerta hasta la respuesta de la política contra el ransomware. Fue realmente impresionante», afirmó Casey. Este rápido aislamiento evitó que el ransomware se propagara a otras partes de la red.

Una vez controlada la amenaza inmediata, ITPartners+ coordinó una respuesta integral. Esto incluyó ponerse en contacto con la aseguradora de ciberseguridad del cliente, que enviaría un equipo forense para evaluar la situación con mayor detalle. «Fueron los indicios evidentes del ransomware Akira los que nos hicieron comprender que realmente estábamos ante un incidente grave», explicó Casey.

El proceso de recuperación fue intenso y requirió el esfuerzo coordinado de varios miembros del equipo. Gracias al uso de Datto EDR y a la ayuda de los profesionales del SOC de Datto, ITPartners+ logró aislar con éxito los servidores afectados, garantizando así que el ransomware quedara contenido y minimizando los daños. Chad destacó el papel fundamental de esas herramientas: «La capacidad de nuestro equipo y la del conjunto de herramientas que teníamos a nuestra disposición —Datto Managed SOC, Datto EDR, Datto BCDR, RMM— fueron fundamentales para detener la propagación y recuperar los sistemas afectados».

Durante la recuperación, el equipo restauró los servidores a partir de copias de seguridad utilizando Datto BCDR, garantizando así que los datos del cliente permanecieran intactos y que las operaciones pudieran reanudarse. El cliente de ITPartners+ ya estaba plenamente operativo el primer día de vuelta a la oficina tras el fin de semana festivo. Esta rápida respuesta fue fundamental para reducir drásticamente el tiempo de inactividad, minimizar las pérdidas y garantizar la continuidad del negocio.

La colaboración entre ITPartners+ y Kaseya resultó ser una sólida defensa frente al ataque del ransomware Akira, en el que la rápida detección y el aislamiento de los sistemas infectados evitaron daños graves y permitieron una rápida recuperación. El cliente de ITPartners+ elogió a la empresa por su eficaz respuesta, que redujo considerablemente el impacto potencial del ataque.

Chad reflexionó sobre el incidente y comentó: «Este es uno de esos casos en los que realmente se pone a prueba esa teoría, en los que o bien sales con la conclusión de que sí, que ha funcionado como queríamos y hemos obtenido un resultado positivo, o bien sales con la sensación de haber tomado la decisión equivocada. En este caso, salimos con la certeza de que habíamos elegido el producto y el proveedor adecuados».

ITPartners+ gestionó con éxito lo que podría haber sido un devastador ataque de ransomware, demostrando así su compromiso con sus valores fundamentales: hacer un gran trabajo, divertirse y pensar a lo grande. Su enfoque proactivo, combinado con las capacidades avanzadas de Datto Managed SOC Datto EDR, garantizó que su cliente pudiera reanudar sus operaciones normales con una interrupción mínima.

Este caso práctico pone de relieve la importancia de contar con un equipo cualificado y con herramientas de ciberseguridad fiables para combatir eficazmente las amenazas cibernéticas en constante evolución.