Cómo detener el ransomware

Este libro electrónico se sumerge en todo, desde por qué la detección de la actividad del atacante y el reconocimiento conocido como ransomOps es fundamental para detener el ransomware y muchos de los pasos que los profesionales de la seguridad están tomando para cerrar con éxito la puerta a las tácticas de ransomware de hoy. Compartiremos cómo los clientes que utilizan los servicios MDR de Vectra son capaces de detectar ataques activos casi de inmediato, así como algunos de los retos, observaciones y recomendaciones que toda organización debería conocer.

Una cosa es segura, la diferencia entre el éxito y el fracaso cuando se trata de detener el ransomware se reduce a la velocidad de respuesta y a una acción rápida: ¡vamos a detener el ransomware!

Ante todo, el ransomware es un negocio

Por desagradable que pueda resultar, las bandas de ransomware y sus afiliados dirigen un negocio, y como cualquier otro negocio, existen para ganar dinero. Tienen una mentalidad de retorno de la inversión y resulta que están sacando provecho de la capacidad de llegar a sistemas y datos que pueden robar lo más rápido posible, mientras te cobran una suma considerable por la devolución de tu propiedad.

Esta mentalidad impulsa muchas de las observaciones comentadas a lo largo de este ebook, mientras que entender la motivación que impulsa a los atacantes es una pieza clave para cualquier estrategia de seguridad. Cuando sepas qué motiva a los atacantes y puedas identificar claramente los sistemas y datos de un entorno que causarían trastornos si se vieran comprometidos, tu organización estará en una buena posición para dificultar al máximo el desarrollo de un ataque.

Veamos por qué los simulacros pueden ayudar a poner esto de manifiesto, y cómo los equipos rojos pueden ofrecer una evaluación objetiva de la preparación actual.

Empezar por lo básico

Por supuesto, el mejor resultado es evitar que las bandas de ransomware lleguen a acceder a su entorno. Y aunque la prevención nunca es infalible, la mentalidad de retorno de la inversión puede jugar a su favor. De hecho, puede reducir drásticamente el riesgo si aplica correctamente los principios básicos de higiene de autenticación y aplicación de parches.

Esto se debe a que el acceso inicial de los atacantes suele producirse a través de una vulnerabilidad no parcheada y expuesta a la DMZ, una cuenta sin MFA u otros obstáculos similares. Básicamente, si las organizaciones pasan por alto algunos de los métodos básicos de prevención, no hay necesidad de que los atacantes utilicen tácticas sofisticadas y lentas para obtener acceso.

El mejor resultado es evitar que las bandas de ransomware lleguen a acceder a su entorno.

La buena noticia es que si habilita la autenticación multifactor (MFA) en su VPN, IDP y otros puntos de entrada, hará la vida más difícil a los atacantes, que pueden decidir llamar a la puerta de otra persona en su lugar. Lo mismo ocurre con la gestión de parches: asegurarse de que las prácticas de parcheo se extienden por toda la DMZ ayudará a rechazar los ataques. Aunque ninguna estrategia de prevención es infalible, las inversiones sensatas en prevención dificultarán la entrada de los atacantes.

Esté preparado para responder a toda velocidad... de día o de noche

Marcar lo básico mejorará, pero no eliminará, el riesgo. Hay muchas razones para esto, pero la verdad es que sólo se necesita un error en la configuración de la cuenta, un parche perdido, un usuario haciendo clic en un enlace que no debería... o un nuevo 0-day en su VPN de elección (financiado por las montañas de dinero que vierten en el ecosistema ransomware) para romper. Lo hemos visto todo.

Y cuando un actor de ransomware entra en su entorno, espere que se mueva RÁPIDAMENTE. Hemos respondido a ataques que progresaban lentamente a lo largo de varios días; sin embargo, no es raro que la mayor parte de un ataque se produzca en una sola noche. Recuerde, el tiempo es dinero para los atacantes con una mentalidad de retorno de la inversión. Ya sea dando a los defensores el menor tiempo posible para responder o simplemente jugando a los números, por lo general vemos pocos indicios de que los atacantes intenten pasar desapercibidos. De hecho, el tiempo de permanencia global de los ataques de ransomware se ha reducido significativamente en los últimos años.

La buena noticia para los defensores es que la velocidad hace que el ataque sea obvio con la tecnología de detección adecuada. Como en el caso de Vectra, hemos visto hosts críticos a los dos minutos del acceso inicial. Sin embargo, debido a la velocidad de la progresión del ataque, esto también hace que sea crucial estar preparado para responder rápida y decisivamente con el fin de detener la amenaza antes del despliegue del ransomware.

Por desgracia, esta capacidad de respuesta rápida no se limita al horario laboral. Hemos observado que el reconocimiento de las primeras fases y el movimiento lateral se producen a todas horas, aparentemente siempre que el autor del ransomware tiene algo de tiempo. A veces será a mediodía, otras por la noche, en fin de semana o incluso durante las vacaciones. Sin embargo, según nuestras observaciones, es más probable que el impulso final hacia la exfiltración y el cifrado se produzca en mitad de la noche o durante un fin de semana o festivo, cuando las capacidades de respuesta a incidentes son más débiles.

En la práctica, esto significa que la supervisión 24x7 es imprescindible.

Tener un plan de respuesta

El primer paso para responder a una amenaza de ransomware es detectar al adversario en su entorno. Es igualmente crítico saber qué hará en varios escenarios para detener el ataque. ¿Hasta dónde está dispuesto a llegar? En una de nuestras intervenciones, el atacante llegó hasta el administrador del dominio en el controlador de dominio, donde el equipo de seguridad tuvo que tomar la decisión en una fracción de segundo de desconectar completamente sus sistemas de Internet para ganar tiempo para la respuesta. Afortunadamente, les funcionó.

A pesar de lo cerca que estuvo ese equipo de sufrir un ataque de ransomware, esta situación no es tan infrecuente. Cabe preguntarse: si su organización se encontrara en la misma situación, ¿qué haría? ¿Sería aceptable para la empresa este nivel de interrupción? ¿Sería capaz de responder eficazmente sin conectividad para su personal de seguridad remoto? ¿Hay otras opciones de respuesta que tendría que comprar?

Hemos visto que una actuación rápida y decisiva bajo presión es un ingrediente clave para el éxito de la respuesta. Conocer y practicar su plan de acción antes de necesitarlo puede marcar la diferencia.

Para detener el ransomware, no busques el ransomware

Los ataques modernos de ransomware (en realidad ransomOps), no despliegan el binario del ransomware hasta el final del ataque. Esto significa que si ves el propio ransomware, lo más probable es que llegues demasiado tarde.

Se trata de un error común, ya que para detener estos ataques en curso, tendrá que detectar y responder a los pasos que se dan ANTES de que se despliegue el ransomware. La realidad es que es casi seguro que operará sin pleno conocimiento del adversario o de su objetivo final. En muchos casos, verá un ataque que progresa rápidamente y, potencialmente, algunos signos reveladores en las herramientas o la infraestructura C2 que le permitirán hacer una conjetura sobre lo que está sucediendo.

Aquí, sus planes de respuesta tendrán que centrarse en una clase más general de intrusión y progresión del ataque, entonces, entendiendo que el final del juego es sólo una probabilidad y no una certeza.

Las cuentas y las herramientas de administración son fundamentales

Hemos observado exploits utilizados para obtener acceso inicial, y ocasionalmente para el movimiento lateral. Pero, como ocurre con la mayoría de los ataques modernos, la atención se centra en las credenciales: cuentas de administrador y de servicio. En combinación con los protocolos de administración, estas son las tácticas favoritas de prácticamente todos los afiliados al ransomware.

La intención, como en muchos ataques, es llegar al administrador de dominio en el controlador de dominio para lanzar la fase final del ataque. Desde esta posición ventajosa, es fácil acceder a los datos más valiosos. También es posible desplegar el ransomware con una rapidez pasmosa, utilizando herramientas de administración como GPO.

Debido al enfoque en las credenciales, es absolutamente clave supervisar cuidadosamente el uso de todas las cuentas privilegiadas, ya que hemos visto que es una de las señales de detección de ataques más valiosas.

Comportamiento habitual del ransomware

Los analistas de Vectra recopilaron los retos en materia de usuarios, procesos y seguridad que eran comunes en los distintos compromisos con los clientes.

Acceso inicial

• Los atacantes siguen buscando vulnerabilidades en los servicios y sistemas de acceso público a través de Internet.
• Los servidores que ejecutan RDP, FTP o VPN son objetivos populares, ya que proporcionan acceso inicial a las empresas y a cloud.
• La falta de AMF es una de las carencias más comunes.
• En algunos casos, la progresión del ataque tardó horas desde la entrada inicial y, en otros, días o incluso semanas. Los equipos de seguridad están a tiempo de detectar y responder a tiempo, pero para ello es necesaria una vigilancia permanente.

Command and Control (C2)

• Cobalt Strike parece ser la herramienta favorita actualmente.
• También se utilizaron herramientas populares de acceso remoto, independientemente de si estaban sancionadas o no, para controlar sistemas. En un caso, detectamos software Cisco AnyConnect utilizado para controlar máquinas desde dentro, por un humano desde fuera.

Recon y Movimiento Lateral

• En la mayoría de los casos, el escaneo fue agresivo e incluyó mapeo de red, consultas rDNS y enumeración de recursos compartidos. El rápido escaneado generalmente hacía visibles los ataques a los pocos minutos del acceso inicial.
• Los reconocimientos relacionados con credenciales, incluidas las consultas LDAP y las llamadas RPC para asignar ubicaciones de credenciales, también eran habituales.
• El movimiento lateral en las primeras etapas incluía exploits comunes. Las etapas posteriores se basaron principalmente en credenciales y protocolos de administración.

Exfiltración

• Los sitios gratuitos de intercambio de archivos se utilizaban habitualmente para cargar información de reconocimiento para su análisis. Entre ellos se encontraban Mega Upload (mega.com) y temp.sh.

Recomendaciones para la prevención, detección y respuesta al ransomware

Nuestros equipos trabajan a diario en estrecha colaboración con los equipos de seguridad, respondiendo a las alertas críticas generadas por las soluciones de detección y respuesta a amenazasVectra AI. Al principio, cuando nos ponemos en contacto con los clientes, no es obvio si una amenaza es ransomware. A medida que aumenta la gravedad de las alertas, podemos obtener más claridad y contexto sobre el ataque y determinar si se trata realmente de ransomware. Hemos encontrado una serie de herramientas y prácticas de seguridad que dificultan a los adversarios llevar a cabo con éxito campañas de ransomware y, en última instancia, detenerlas con certeza. Esto incluye.

Prevención

• Evalúe periódicamente su postura de seguridad externa y aplique correcciones de alta prioridad. Concéntrese especialmente en la infraestructura de acceso remoto y los servicios más vulnerables, como RDP y FTP, que han demostrado ser objetivos populares.
• Habilite MFA siempre que sea posible en cualquier proveedor de identidad o infraestructura de acceso remoto.
• En general, los controles preventivos, las reglas y las políticas sólidas dificultan la escalada de privilegios incluso después del acceso, lo que da más tiempo para responder.
• Un área especial de atención son las cuentas privilegiadas. Aunque operativamente es un reto, cuanto más se pueda hacer para centrar el uso a través de servidores de salto y sistemas de gestión de cuentas privilegiadas, más difícil será la ruta de escalada.

Detección

• Hay tiempo para detener el ataque después de que el autor del ransomware haya obtenido acceso y antes de que se filtren los datos o se despliegue el ransomware.
• Invierta en detección de amenazas y respuesta en toda su red, infraestructura de identidad, cloud y punto final para maximizar las probabilidades de detección temprana.

Investigación y respuesta

• Los ataques de ransomware pueden avanzar rápidamente, a cualquier hora del día o de la noche. Asegurarse de que se supervisan las alertas críticas 24x7x365 es clave, ya sea aumentando los equipos internos o aprovechando las ofertas de detección y respuesta gestionadas (MDR) o MSSP.
• La integración de la telemetría de los registros de red, endpoint y cloud proporciona el mejor contexto, claridad y enriquecimiento para investigar las amenazas y llegar a una causa raíz definitiva.
• La búsqueda de un aumento de la actividad de exploración de su DMZ antes del acceso inicial, en combinación con OSINT, puede proporcionar una evaluación temprana del probable actor de la amenaza y proporcionar más claridad en la respuesta.