Los analistas del SOC reciben 4.484 alertas (de media) al día y no pueden ocuparse de 2/3 de ellas.
La detección de amenazas en 2023
Detener los ataques de ransomware

Cómo detectar un ataque de ransomware

Cómo detectar un ataque de ‍ransomware

Detenga un ataque de ransomware

 Bienvenido a la plataforma Vectra Threat Detection & Response. Descubra cómo puede utilizar Vectra para detectar y responder a los ataques de ransomware dirigidos a su red.

Seguimiento de actividades sospechosas

 

Rastree las actividades sospechosas en la plataforma de detección de amenazas Vectra .

 

Vectra realiza un seguimiento de la actividad a lo largo del tiempo y atribuye detecciones a cuentas (o hosts) específicas que se comportan de forma sospechosa. Estas puntuaciones son dinámicas y cambian en función de las detecciones.

Las puntuaciones se componen de certeza y amenaza.

  • La puntuación de certeza se basa en el grado de diferencia entre el comportamiento que causó la detección y el comportamiento normal.
  • La puntuación de amenaza de una detección expresa el potencial de daño si el evento de seguridad es cierto.
  • El gráfico muestra las cuentas con una puntuación combinada de alta certeza y amenaza.

 

Las cuentas se clasifican por orden de prioridad en función de la actividad maliciosa detectada.

 

Las cuentas se clasifican por orden de prioridad.

 

Rastrear cuentas sospechosas

 

Vectra detecta comportamientos sospechosos en Cloud y en la red.

 

La IA patentada de Vectra une la cuenta cloud y la cuenta de red.

 

Se han detectado 4 actividades maliciosas en esta cuenta específica.

 

Esta cuenta tiene 4 detecciones

 

Cuenta comprometida

 

Un atacante ha comprometido las credenciales de un usuario mediante spearfishing.

Un atacante ha comprometido las credenciales de un usuario mediante spearfishing.

 

El atacante ha subido un archivo DLL malicioso a OneDrive de los usuarios, donde se sincroniza automáticamente con su host.

El atacante ha subido un archivo DLL malicioso a OneDrive de los usuarios, donde se sincroniza automáticamente con su host.

La DLL se sincroniza con el host del usuario comprometido y conduce a un secuestro exitoso de la DLL. Esto desencadena la ejecución de código en el host que hace una llamada de vuelta a la infraestructura C2 de los atacantes permitiendo el acceso remoto y la capacidad de atacar ahora la red.

 

Haga clic para ampliar los detalles.

  

Movimiento lateral y fase de reconocimiento

VectraLa IA detectó el movimiento lateral y la fase de reconocimiento.

El atacante pasa ahora de cloud a la red de la empresa. 

Utilizando llamadas *LDAP* y *RPC*, el ataque mapea la red en busca de credenciales de administrador de dominio para distribuir el ransomware en activos críticos, en este caso un controlador de dominio.

Utilizando llamadas *LDAP* y *RPC*, el ataque mapea la red en busca de credenciales de administrador de dominio para distribuir el ransomware en activos críticos, en este caso un controlador de dominio.

Primeros signos de un ataque de ransomware

 

Con este conocimiento, el ataque utiliza *RPC* para llamar a 300 máquinas y moverse lateralmente.

 

El reconocimiento del atacante le lleva a descubrir que hay credenciales de administrador de dominio en el host alan-x1.corp.example.com y así las credenciales conectadas a Azure AD y a la red AD son utilizadas para moverse lateralmente. Una vez conectado a alan-x1.corp.example.com el atacante es capaz de obtener acceso a las credenciales de administrador de dominio en el host.

La combinación de las actividades hasta este punto situaría a este host & account en el cuadrante crítico, exigiendo atención inmediata.

 

La combinación de las actividades hasta este punto situaría a este host & account en el cuadrante crítico, exigiendo atención inmediata.

El atacante continúa con su reconocimiento, escaneando el puerto 445 para identificar objetivos potenciales.

 

El atacante continúa con su reconocimiento, escaneando el puerto 445 para identificar objetivos potenciales.

 

El ransomware ha sido lanzado

¡El ransomware ya está ejecutado!

 

Continuaremos como si las alertas hubieran sido ignoradas y el ataque hubiera tenido éxito.

El reconocimiento ya está completo. El atacante tiene: una cuenta de alto privilegio para la propagación, recursos compartidos de archivos para cifrar, asíO365 archivos para cifrar.

 

Lista de archivos encriptados

Vectra Cognito te mostrará qué archivos fueron realmente encriptados.

 

Vectra Cognito te mostrará qué archivos fueron realmente encriptados.

La detección de ejecución remota sospechosa puede utilizarse para ver qué hosts fueron infectados con el ransomware.

 

La detección de ejecución remota sospechosa puede utilizarse para ver qué hosts fueron infectados con el ransomware.

Es importante señalar que, si bien los hosts han sido infectados, aún no han sido cifrados en este punto.

Exfiltración de datos

Contrabandista de datos detectado
 

A medida que los atacantes se conectan, exfiltran datos.

¡Ataque detenido!

Vectrason más precisas que las del SIEM.

Vectra mejoró la calidad de las detecciones de amenazas de Azure AD y M365 que recibe Blackstone en comparación con las alertas de la solución nativa y su SIEM? 

"Nuestro volumen de alertas se ha reducido en un 90% desde que el ML de Vectraevalúa más características y contexto en los modelos, lo que conduce a detecciones más precisas."

Kevin Kennedy
Vicepresidente Senior de Ciberseguridad, Blackstone
Lea el estudio de caso
Plataforma

Vectra AI Plataforma

La señal integrada de detección y respuesta ampliadas (XDR)
Detectar - Priorizar - Investigar - Responder
Público Cloud
Más información
SaaS
Más información
Identidad
Más información
Red
Más información
Punto final
Nuestros socios tecnológicos
Servicios gestionados de detección y respuesta
Más información
Explorar la plataforma