Ransomware 2.0, El Operado por Humanos

Ransomware 2.0, El Operado por Humanos

La mejor manera de protegerse es asumiendo  que entran y enfocándose en la detección temprana, hacerles muy difícil el movimiento lateral y contar con respaldos probados.

Antecedentes

Desde 2017 vengo prestando especial atención a los ataques de ransomware. Los ataques que abundaban entonces tenían las siguientes características:

  1. Desarrollado con el objetivo que se replicara en la mayor cantidad de personas individuales
  2. Un código fuente casi estático que era atribuible a una organización y se replicaba en diferentes víctimas sin mayor participación del grupo criminal responsable.
  3. Poca cooperación entre los diferentes grupos criminales
  4. El pago o rescate era solicitado para recuperar acceso a la información ubicada en el equipo de escritorio solamente.

Situación Actual

Desde 2018 a la fecha varias cosas han cambiado así:

  1. Los grupos criminales se empiezan a enfocar mucho más en empresas que tienen mayor  capacidad de pago en comparación con individuos que han perdido acceso a su información.
  2. Los grupos criminales toman especial interés en industrias que tradicionalmente tienen bajos controles de seguridad pero están dispuestos a pagar para recuperar su información.
  3. Mayor intercambio de tecnologías y servicios entre los diferentes grupos criminales. Se ha creado un marketplace donde diferentes grupos criminales venden sus servicios a otros. Por ejemplo, los grupos criminales compran acceso a una empresa de otro grupo criminal que ya logró tener uno o varios equipos  comprometidos dentro de la víctima.
  4. El proceso de tomar control e infección de la víctima es realizado por un ser humano
  5. Se empieza a extraer información para extorsionar a la víctima con la posibilidad de también hacer pública la información robada.

Recomendaciones

Asumir que ya entraron

Sé que es difícil asumir que todo lo que has hecho para protegerte contra un ataque de ransomware no funcionó, pero hacerlo es clave. Lista cuáles son las vulnerabilidades que sabes que más fácil serían  aprovechadas un actor malicioso y en vez de enfocarte en prevenirlas, algo que sabes tienes pendiente, piensa en la detección temprana.

Otro beneficio de asumir que ya entraron es que puedes empezar a tener las siguientes discusiones:

  1. ¿A quién llamarás para atender este tipo de incidentes?
  2. ¿Está preparado a quien llamarás para atender este tipo de incidentes?
  3. Si logras identificar el ataque temprano, ¿cuáles acciones tomarías para contener el ataque?
  4. ¿Pagarías por recuperar la información cifrada por el ransomware?
  5. De pagar, ¿sabes cómo comprar criptomonedas?
  6. ¿Qué capacidad de recuperación te dan tus respaldos?
  7. ¿Si el atacante en adición a cifrar tu información la extrajo y  ahora amenaza con divulgar, pagarías?
  8. ¿Cómo reaccionarías ante tus clientes?
  9. ¿Tienes obligaciones regulatorias relacionadas a ataques de este tipo?

Detección Temprana

Para la detección temprana de un ataque de ransomware se debe estar preparado. Sugiero contar con mecanismos para detectar:

  1. Escaneo de puertos.
  2. Ataques de fuerza bruta.
  3. Ejecución de Powershell en tu entorno por usuarios no administradores.
  4. Intentos de movimiento lateral cómo:
    1. Tráfico anormal entre equipos en una DMZ y equipos en la red interna.
    2. Tráfico anormal entre equipos de escritorio.
  5. Elevación de privilegios, ¿qué hace una cuenta administrativa en la computadora de un equipo de usuario?
  6. Usuarios viejos con nuevos privilegios.
  7. La extracción masiva de información, por ejemplo, ¿qué hace equipo Conta01 enviando gran volumen de información a sitio https://www.dominioraro.com.
  8. Alto consumo de CPU o disco duro en servidores.
  9. La deshabilitación masiva de controles de seguridad como antivirus y sistemas de respaldos. ESTO ES SUPER IMPORTANTE.

Hacerles Muy Difícil el Movimiento Lateral

El movimiento lateral se hace en búsqueda de elevación de privilegios y una vez logrado, se hace con el objetivo de esparcir el ransomware.

La  experiencia me ha enseñado que las maneras más efectivas para mitigar el riesgo de movimiento lateral son:

  1. Correcta gestión de privilegios administrativos.
    1. Implementando LAPS para la gestión de usuarios administradores locales.
    2. Implementación del Modelo de Niveles de Privilegios Administrativos para la protección del Directorio Activo.
  2. Contando con una segmentación de la red donde se limita.
    1. Tráfico entre usuarios.
    2. Tráfico entre servidores en DMZ a la red interna.

Contar Con Respaldos Probados

Para que se pueda tener confianza en la efectividad del sistema de respaldos es necesario probarlos frecuentemente.  Adicionalmente, para estar correctamente preparado se deben contar con respaldos fuera de línea que no estén en riesgo de ser cifrados o deshabilitados por el atacante.

Conclusiones

El ransomware operado por humanos, es en mi opinión, el reto más grande que tienen muchas empresas debido a que las organizaciones criminales detrás de estos ataques han desarrollado un nivel de especialidad impresionante.

¿Qué te pareció este artículo? ¿Crees que estás tomando todas las medidas necesarias para prevenir un ataque de ramsonware?

En Greenfence Security tenemos el servicio de Evaluación de Capacidad de Reacción ante Ransomware el cual va a profundizar en los aspectos antes mencionados.  Te invitamos a contactarte con nosotros para que podamos ayudarte a estar mejor preparado para este tipo de ataques o déjanos tu comentario si quieres más información sobre el tema.

Sebastián

Imagen de Pexels vía Pixabay.com bajo licencia creative commons.

Leave a Reply

Your email address will not be published. Required fields are marked *