A medida que la actividad rusa en Ucrania ha pasado de una tensión creciente a una invasión total, el campo de batalla se ha desarrollado tanto en el terreno físico como en el cibernético. A tal fin, se ha desplegado un nuevo malware de limpieza atribuido a agentes estatales rusos para destruir y degradar activos e infraestructuras ucranianos, pero es casi seguro que el radio de explosión no se limitará a estos objetivos.
Las organizaciones que puedan encontrarse directa o indirectamente en el punto de mira de este conflicto deben tomar medidas prácticas para protegerse.
Ransomware y Wiper Malware están estrechamente relacionados
Este malware limpiador está estrechamente relacionado con el ransomware con el que todos nos hemos familiarizado en los últimos años. La única diferencia real radica en el objetivo final: destruir irreversiblemente los datos y la accesibilidad a los sistemas. En consecuencia, debemos apoyarnos en las duras lecciones aprendidas de los ataques de ransomware de los últimos años, especialmente los atribuidos a grupos rusos o estrechamente relacionados con ellos.
Al igual que los ataques de ransomware, la campaña de malware wiper tiende a aprovechar los exploits contra servicios accesibles desde el exterior para afianzarse en la red de una organización. A partir de ahí, se establecen canales C2 (incluidos shells web en la DMZ) para garantizar el control continuo. Una vez establecido este punto de apoyo, los atacantes vuelcan las credenciales
y los utilizan para ampliar su acceso dentro del entorno con la intención de maximizar su capacidad de infligir daños. En la fase final del ataque, malware wiper se activa para inutilizar el sistema. Los atacantes activan esta fase final una vez que han maximizado su alcance o si son alertados de que han sido descubiertos y corren el riesgo de perder el control.
Cada paso en el camino desde un sistema comprometido a toda una red de sistemas comprometidos consiste en maximizar ese impacto final. Los atacantes sólo son capaces de hacerlo utilizando su punto inicial de compromiso para moverse a través de la red y ampliar su acceso tanto como sea posible.
Las técnicas utilizadas para llevar a cabo esta expansión en el control y el impacto son las mismas que hemos observado que utilizan desde hace años -el uso de credenciales en sistemas comprometidos para obtener acceso a nuevos sistemas, proporcionando acceso a aún más credenciales, y así sucesivamente- hasta que tienen (idealmente) el control total del entorno.
Una de las víctimas de los atacantes wiper informó de que su controlador de dominio había sido comprometido mediante esta técnica, que los atacantes utilizaron para distribuir y ejecutar el malware wiper en todos los sistemas. Esta es una técnica que hemos visto utilizar repetidamente a los operadores de ransomware.
Al igual que con el ransomware, esperamos que los IOC revelados y el malware utilizado cambien con el tiempo. Es fácil para los atacantes hacer esos cambios rápidamente. Por el contrario, es poco probable que cambien las técnicas que utilizan los atacantes para implantar malware y obtener el máximo impacto dentro de un entorno.
Pasos prácticos para mantenerse a salvo Malware Russian Wiper
En última instancia, estas amenazas representan un intento de destrucción, y las organizaciones harán bien en mejorar su resistencia y poner en marcha planes que garanticen una rápida recuperación. Hay medidas prácticas que tomar, muchas de las cuales no son recomendaciones nuevas, pero pueden estar en algún lugar de la lista de tareas pendientes de su organización. Dados los cambios en el panorama de las amenazas, sugerimos que las organizaciones vuelvan a realizar su cálculo de riesgos y efectúen algunos o todos los cambios siguientes.
- Retirala fruta madura. Parchee y proteja los activos de acceso público. Los activos de cara al público con vulnerabilidades explotables conocidas son objetivos fáciles y parchear estos activos debe ser una prioridad máxima. CISA mantiene una buena lista de ellos. Del mismo modo, las cuentas de acceso VPN y los portales públicos de inicio de sesión o servicios SaaS deben protegerse mediante autenticación multifactor.
- Controlarla DMZ. El tráfico saliente autorizado desde la DMZ de la red debe incluirse explícitamente en una lista blanca para aumentar la dificultad de que un adversario establezca un punto de apoyo útil allí. Esta lista blanca puede ser difícil de mantener, pero complica materialmente la capacidad de un adversario para ejecutar con eficacia el comando y control de su DMZ.
- Confianzay mínimo privilegio. A menudo relacionamos esto con las credenciales administrativas, pero en este caso, véalo a través de la lente de sus sistemas de acceso público y el resto de la red. El riesgo acumulado relacionado con todas las veces en que los sistemas y las cuentas tuvieron privilegios excesivos para facilitar la implantación y el funcionamiento suele ser un factor clave que permite el ataque.
- Mantén atu gente alerta. En la medida de lo posible, imponga tiempos muertos cuando no esté en modo crisis. Mantener un estado de alerta permanente es estresante y aumenta la probabilidad de que se cometan errores o se pasen por alto indicadores clave. Comprenda que la respuesta a incidentes cibernéticos es muy estresante.
- Planifiquelas comunicaciones fuera de banda. Los sistemas informáticos comprometidos pueden incluir los que utiliza para las comunicaciones internas (correo electrónico, chat, etc.), lo que limita aún más sus capacidades defensivas. Prevea esta situación e invierta en comunicaciones seguras de reserva. Aplicaciones como Signal son populares por una razón.
- Priorice laconfianza en su plan de recuperación. Con demasiada frecuencia, los planes de recuperación de sistemas informáticos se basan en una combinación de optimismo actual e información histórica inexacta. Es hora de desempolvarlos y, como mínimo, realizar simulaciones de ataques, preferiblemente de mesa, sobre todo contra sistemas críticos para la empresa como el correo electrónico.
Si eres un objetivo o estás siendo atacado, te ayudaremos sin coste alguno
La misión de nuestra organización es hacer del mundo un lugar más seguro y justo. Nos atenemos a ella. Si su organización está siendo atacada como consecuencia de este conflicto, le ayudaremos, sin coste alguno.
Creemos que las capacidades avanzadas de detección y respuesta se encuentran entre las más críticas para que las organizaciones logren la resistencia necesaria para resistir la actual generación de armas cibernéticas. Y creemos que, como industria, tenemos que utilizar las lecciones aprendidas a lo largo de los años en la mitigación, detección y respuesta a incidentes de ransomware para gestionar el problema al que nos enfrentamos hoy en día, aunque con una urgencia y voluntad de implementar mitigaciones, controles, capacidades de detección y respuestas que de otro modo podrían haberse considerado demasiado perturbadoras.