5 señales de alarma para que las empresas se anticipen a un ataque de ransomware
Sophos, compañía global en soluciones de ciberseguridad de nueva generación, ha publicado parte de un extenso informe sobre una investigación acerca de las Realidades del Ransomware, donde se incluye por primera vez en la industria, una visión detallada de las nuevas técnicas de evasión u ocultación utilizadas por el ransomware WastedLocker que aprovechan la caché del administrador de Windows y el mapeo de su entrada/salida en memoria, para conseguir el cifrado de archivos sin ser detectado. Un informe complementario examina la carrera armamentista centrada en la evasión del ransomware, donde se hace una revisión de meses de cómo los cibercriminales han ido escalando y cambiando de forma significativa sus técnicas, tácticas y procedimientos de evasión (TTPs) desde el ransomware Snatch de diciembre de 2019.
La investigación también desglosa las 5 señales que advierten y anticipan a las empresas un posible ataque por ransomware y por qué siguen sucediéndose este tipo de ataques.
“La realidad es que el ransomware no va a desaparecer. Desde Sophos hemos visto a grupos como WastedLocker llevar a un nuevo nivel las tácticas evasivas e incluso ahora han encontrado formas de eludir las herramientas de comportamiento anti-ransomware. Se trata del último ejemplo de cómo los atacantes se ponen manos a obra, utilizando nuevas maniobras para deshabilitar manualmente el software como paso previo a un ataque de ransomware completo. Actividades furtivas como la extracción de datos y la desactivación de las copias de seguridad también son otros indicios. Cuanto más tiempo estén los atacantes en la red, más daño pueden hacer«, dice Chester Wisniewski, director científico de investigación en Sophos. “Es por eso que la inteligencia y respuesta humanas son componentes críticos en la seguridad a la hora de detectar y neutralizar durante los primeros indicadores de que está teniendo lugar un ataque. Las empresas necesitan adaptarse a estas tendencias en auge y tomar medidas para reforzar su perímetro al deshabilitar el RDP a fin de evitar que los delincuentes obtengan acceso remoto a la red, uno de los denominadores comunes en muchos de los ataques de ransomware que Sophos analiza.»
La combinación de estos comportamientos evolucionados del atacante y los entornos de trabajo remotos y/o híbridos debido a la pandemia global de la COVID-19 están alertando de la necesidad urgente de que las organizaciones prioricen la seguridad de TI. Las empresas también necesitan implementaciones de seguridad que estén preparadas para el futuro en previsión de unos atacantes que están siempre adaptándose, echando abajo las barreras y expandiendo la superficie de ataque a causa de la COVID-19.
Los atacantes utilizan herramientas de administración legítimas para preparar el escenario para los ataques de ransomware. Sin saber qué herramientas utilizan normalmente los administradores en sus máquinas, fácilmente se podrían pasar por alto estos datos. En retrospectiva, estos cinco indicadores representan banderas rojas de investigación.
1. Un escáner de red, especialmente en un servidor.
Los atacantes suelen comenzar obteniendo acceso a una máquina en la que buscan información: si se trata de una Mac o Windows, cuál es el dominio y el nombre de la empresa, qué tipo de derechos de administrador tiene la computadora y más. A continuación, los atacantes querrán saber qué más hay en la red y a qué pueden acceder. La forma más sencilla de determinar esto es escanear la red. Si un escáner de red, como AngryIP o Advanced Port Scanner se detecta , pregunte al personal de administración. Si nadie intenta usar el escáner, es hora de investigar.
2. Herramientas para deshabilitar el software antivirus.
Una vez que los atacantes tienen derechos de administrador, a menudo intentarán deshabilitar el software de seguridad utilizando aplicaciones creadas para ayudar con la eliminación forzada de software, como Process Hacker, IOBit Uninstaller, GMER y PC Hunter. Este tipo de herramientas comerciales son legítimas, pero en las manos equivocadas, los equipos de seguridad y los administradores deben preguntarse por qué han aparecido de repente.
3. La presencia de MimiKatz.
Se cualquier detección de MimiKatz en debe investigar cualquier lugar. Si nadie en un equipo de administración puede responder por el uso de MimiKatz, esto es una señal de alerta porque es una de las herramientas de piratería más comúnmente utilizadas para el robo de credenciales. Los atacantes también usan Microsoft Process Explorer , incluido en Windows Sysinternals, una herramienta legítima que puede volcar LSASS.exe de la memoria, creando un archivo .dmp. Luego pueden llevar esto a su propio entorno y usar MimiKatz para extraer de forma segura nombres de usuario y contraseñas en su propia máquina de prueba.
4. Patrones de comportamiento sospechoso.
Cualquier detección que ocurra a la misma hora todos los días, o en un patrón repetido, es a menudo una indicación de que algo más está sucediendo, incluso si se han detectado y eliminado archivos maliciosos. Los equipos de seguridad deben preguntar «¿por qué vuelve?» Los respondedores de incidentes saben que normalmente significa que ha estado ocurriendo algo más malicioso que no ha sido identificado (hasta ahora).
5. Prueba de ataques.
Ocasionalmente, los atacantes implementan pequeños ataques de prueba en algunas computadoras para ver si el método de implementación y el ransomware se ejecutan correctamente o si el software de seguridad lo detiene. Si las herramientas de seguridad detienen el ataque, cambian de táctica y vuelven a intentarlo. Esto mostrará su mano y los atacantes sabrán que su tiempo ahora es limitado. A menudo es cuestión de horas antes de que se lance un ataque mucho más grande.
Consejos útiles e inmediatos para defenderse
- Cierra el protocolo de escritorio remoto (RDP) para evitar ataques de fuerza bruta que permitan a los cibercriminales acceder a las redes.
- Si necesitas acceso RDP, hazlo tras una conexión VPN.
- Utiliza la seguridad por capas para prevenir, proteger y detectar ciberataques, como las capacidades de detección y respuesta endpointl (EDR) y los equipos de respuesta administrados que vigilen las redes 24/7.
- Ten presentes los cinco indicadores que anticipan que un atacante está presente para detener ataques de ransomware.
5 señales de alarma para que las empresas se anticipen a un ataque de ransomware https://t.co/UvDukb0f6R… https://t.co/J7t7ZYFTzR
5 señales de alarma para que las empresas se anticipen a un ataque de ransomware https://t.co/olhcllcrSE https://t.co/9JrCuvlvfh
5 señales de alarma para que las empresas se anticipen a un ataque de ransomware https://t.co/dMNJkrfjs4 https://t.co/f8SAGdMP0H
RT @prosinet: 5 señales de alarma para que las empresas se anticipen a un ataque de ransomware https://t.co/zdbcs7nHjk
5 señales de alarma para que las empresas se anticipen a un ataque de ransomware: Sophos, compañía global en soluc… https://t.co/W5UeTekdVI
5 señales de alarma para que las empresas se anticipen a un ataque de ransomware https://t.co/IaaI80N8si a través de @revistacloud
RT @CoreNetworksSev: 5 señales para que las #empresas se anticipen a un ataque de #Ransomware: https://t.co/2JzR42suT0