En mayo de 2017, el ataque de ransomware WannaCry saltó a los titulares de todo el mundo, aprovechando una vulnerabilidad de Microsoft Windows para infectar rápidamente más de 200.000 ordenadores en 150 países. Este ataque de ransomware a gran escala se atribuyó al Grupo Lazarus, un grupo de ciberdelincuentes supuestamente vinculado a Corea del Norte. El exploit EternalBlue, filtrado por la NSA, fue un componente clave del ataque, permitiendo a WannaCry propagarse rápidamente por las redes. A pesar de su rápida propagación, los comportamientos que WannaCry realiza una vez dentro de una red son bien conocidos por los profesionales de la seguridad.
Vectra Threat Labs analizó el funcionamiento interno de WannaCry para comprender la amenaza. Descubrieron que, aunque el método de infección inicial puede haber sido novedoso, los comportamientos mostrados por WannaCry son típicos del ransomware que Vectra ha encontrado antes. Esto pone de relieve la ventaja de centrarse en la detección de comportamientos de ransomware, en lugar de confiar únicamente en la identificación de exploits específicos o firmas de malware . Los clientes de Vectra ya estaban detectando y deteniendo amenazas similares mucho antes de que WannaCry causara una interrupción global.
¿Cómo funciona WannaCry?
Una vez que infecta una máquina, WannaCry sigue un patrón familiar de reconocimiento y movimiento lateral a través de redes internas. El ransomware busca sistemas vulnerables, se propaga utilizando la vulnerabilidad MS17-010 y finalmente cifra los archivos, exigiendo un pago en Bitcoin para restaurar el acceso. Aunque este tipo de ataque puede ser devastador, la PlataformaVectra AI está diseñada para detectar estos comportamientos, permitiendo a los equipos de seguridad responder rápidamente y mitigar los daños.
¿Detectará Vectra WannaCry y sus variantes?
Sí. Vectra es capaz de detectar infecciones activas de WannaCry y cualquier variante futura que pueda surgir. Es importante recordar que antes de que un ransomware como WannaCry pueda cifrar archivos, primero debe reconocer la red para localizar archivos compartidos. Este proceso requiere un reconocimiento interno, que Vectra puede detectar, junto con los demás comportamientos asociados a los hosts infectados.
El enfoque de Vectra asigna las puntuaciones más altas de amenaza y certeza a los comportamientos de ransomware, asegurando que estos riesgos críticos sean priorizados para una respuesta inmediata a incidentes. La ventaja para los clientes de Vectra es que estas detecciones estaban en marcha antes de que WannaCry golpeara, lo que permite la detección temprana de actividades sospechosas.
Detecciones de Vectra de comportamientos relacionados con WannaCry
Las detecciones basadas en IA de Vectra se basan en un profundo conocimiento de los comportamientos de los atacantes. Estos son algunos de los comportamientos clave observados en las infecciones de WannaCry:
- Command and Control: Comunicación a través de la red TOR, a menudo utilizada por los atacantes para ocultar sus actividades.
- Escaneo de red: Escaneo de la red interna y de Internet en el puerto 445 en busca de sistemas vulnerables al exploit MS17-010.
- Replicación automática Malware : Una vez identificada una máquina vulnerable, WannaCry se replica automáticamente para seguir propagándose.
- Cifrado de archivos: Cifrado de archivos tanto en unidades locales como en recursos compartidos de red asignados.
¿Cómo puedo mejorar mi respuesta a WannaCry y sus variantes?
Mejorar su respuesta a WannaCry empieza por priorizar las alertas en función del comportamiento del atacante. Vectra recomienda configurar alertas de correo electrónico específicas para los siguientes comportamientos de los atacantes:
- Barrido de puertos salientes: Escaneo de puertos salientes para encontrar sistemas vulnerables.
- Escaneo interno de la Darknet: Detección de esfuerzos para encontrar recursos internos ocultos o mal protegidos.
- Replicación automatizada: Identificar los intentos de WannaCry de replicarse en la red.
- Actividad de archivos ransomware: Alertas de archivos encriptados, señal de ransomware activo.
- Enumeración de archivos compartidos: Supervisión de los intentos de localizar recursos compartidos de archivos en la red.
Además, se recomienda alertar sobre toda la actividad de TOR. Aunque TOR es una herramienta legítima para el anonimato, rara vez se utiliza en entornos empresariales y a menudo señala comportamientos sospechosos.
Al monitorizar y priorizar los comportamientos asociados a WannaCry y sus variantes, Vectra permite a los equipos de seguridad responder rápidamente a las infecciones, reduciendo la posibilidad de daños generalizados.
¿Qué medidas debo tomar si se detecta un ataque?
Vectra pone el poder en manos de los analistas de seguridad, proporcionando información procesable que ayuda a tomar decisiones rápidas e informadas. Si Vectra detecta comportamientos asociados con WannaCry o amenazas similares, los equipos de seguridad pueden optar por automatizar las siguientes respuestas basadas en políticas internas:
- Poner en cuarentena el host: WannaCry se propaga como un worm, por lo que aislar de la red los hosts infectados puede evitar daños mayores.
- Ponga en cuarentena los hosts de destino: Si Vectra detecta Replicación automatizada, ponga en cuarentena las IP de destino con las que el host infectado ha intentado comunicarse.
- Reimage y restauración: En el caso de hosts infectados, vuelva a realizar una copia de seguridad del sistema y restaure los archivos desde una copia de seguridad sin conexión para evitar la reinfección.
- Restauración de archivos: En caso de cifrado por ransomware, restaura los archivos cifrados a partir de copias de seguridad offline para minimizar el tiempo de inactividad y evitar la pérdida de datos.
Contexto histórico: El papel del Grupo Lazarus en WannaCry
Es importante señalar que WannaCry no fue un ataque de ransomware cualquiera. El malware estaba vinculado al Grupo Lazarusun grupo de hackers patrocinado por el Estado y conocido por sus sofisticados ataques. Este grupo, que se cree que está conectado a Corea del Norte, ha estado involucrado en numerosos ciberataques, incluyendo instituciones financieras, empresas de medios de comunicación e infraestructuras críticas. La rápida propagación de WannaCry y las implicaciones políticas detrás de él sirven como recordatorio de la naturaleza cada vez más compleja de las amenazas cibernéticas.
Preparación para la próxima oleada de ransomware y amenazas persistentes avanzadas (APT)
A medida que el ransomware sigue evolucionando, las organizaciones deben estar preparadas para nuevas tácticas y exploits, pero los comportamientos -reconocimiento, movimiento lateral, replicación y cifrado- siguensiendo los mismos. Al centrarse en la detección de comportamientos en tiempo real, los equipos de seguridad pueden defenderse de forma proactiva contra las amenazas emergentes, incluso cuando los atacantes cambian sus métodos y herramientas.
Vectra AI se compromete a ayudar a las organizaciones a adelantarse a amenazas sofisticadas como WannaCry y las llevadas a cabo por grupos de amenazas persistentes avanzadas (APT). Para profundizar en el conocimiento de estas amenazas en evolución, explore nuestras páginas detalladas sobre grupos de ransomware y actores de APT:
Cada página ofrece una visión de las tácticas, técnicas y procedimientos (TTP) de estos actores de amenazas, ayudándole a construir una defensa más resistente.
¿Qué es lo próximo para usted?
Con Vectra AI, usted tiene el poder de detectar y detener ataques sofisticados antes de que se intensifiquen. Póngase en contacto con su representante de Vectra o programe una demostración para saber cómo nuestra plataforma puede reforzar su defensa contra el ransomware y las APT.