Pasos clave y señales reveladoras de los ataques de ransomware

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.




La ciberseguridad se ha convertido en uno de los desafíos más apremiantes de nuestro tiempo. En este escenario, el ransomware ha surgido como una de las amenazas más letales y costosas que enfrentan empresas, instituciones gubernamentales y usuarios individuales en todo el mundo. Este tipo de malware ha evolucionado de manera exponencial en los últimos años, dejando un rastro de caos y devastación en su camino. Desde ataques dirigidos a grandes corporaciones hasta impactos en la vida cotidiana de las personas, el ransomware se ha convertido en una plaga digital que no puede ser ignorada.




Para que los equipos del Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) puedan defender su organización contra los ataques de ransomware, deben tener el conjunto de herramientas de seguridad adecuado, pero también deben comprender las etapas principales del ataque de ransomware.




Cuando se trata de ataques de ransomware, la mayoría de las veces no hay una prueba irrefutable que pueda dar pistas a los defensores sobre lo que sucedió. En cambio, a menudo hay muchos indicadores diferentes de compromiso (IoC) en diferentes etapas del ataque que parecen benignos cuando se analizan individualmente. Como resultado, es importante identificar tantos IoC lo antes posible y luego determinar si están asociados. Esto permite a los analistas reconstruir las etapas iniciales de un ataque de ransomware en una etapa suficientemente temprana de la cadena de ataque.




Esto es fundamental para prevenir un ataque, ya que los equipos SOC deben actuar antes de que un ataque de ransomware haya avanzado demasiado y mucho antes de la filtración y el cifrado de datos. Desafortunadamente, los equipos SOC necesitan mucho esfuerzo manual de búsqueda e investigación de amenazas para identificar las primeras etapas de un ataque de ransomware, y mucho menos determinar si los indicadores que están viendo están relacionados. Esto retrasa la capacidad del equipo de tener la oportunidad de detener el ataque antes de que madure y el ransomware sea detonado.




¿Cómo pueden los equipos de ciberseguridad hacer frente al ransomware?




La primera etapa de un ataque de ransomware es establecer un punto de apoyo. El ataque entra en esta etapa después de que los atacantes hayan obtenido acceso inicial a la red. La intrusión inicial se puede lograr de muchas maneras diferentes, pero a menudo comienza con phishing por correo electrónico. Los piratas informáticos también pueden obtener datos de centros Wi-Fi públicos, como hoteles o puntos de acceso de empleados. En última instancia, esto los lleva a instalar los componentes iniciales del ransomware en los dispositivos corporativos, con la expectativa de que un empleado se vuelva a conectar a la red corporativa principal donde el ataque puede progresar y establecerse.




A continuación, el ransomware establecerá una conexión con un servidor de comando y control (C2) y luego determinará cómo penetrar más en la red y moverse lateralmente para encontrar dónde se guardan los datos críticos o confidenciales. Por ejemplo, un pirata informático podría utilizar un troyano de acceso remoto para obtener acceso a un host. Luego, el pirata informático explorará la red, identificará los servicios de host e intentará asignar esas conexiones a una aplicación centralizada como una base de datos. Aún mejor si el atacante puede eludir las reglas de acceso actuales o robar credenciales para moverse por la red de manera más efectiva.




¿Cómo se puede detectar y detener el avance del ransomware en esta etapa temprana? Requiere identificar comportamientos extraños o fuera de lo común de usuarios y entidades en la red, como acceder a archivos fuera de su ámbito de trabajo, instalar software externo no aprobado por la empresa en la red, consultar consultas de DNS y más.




Muchas de estas actividades podrían indicar una actividad normal del administrador de TI, por lo que la clave es poder identificar desviaciones del comportamiento normal de un usuario. Para ello, los equipos de SOC deben implementar soluciones de seguridad que combinen análisis del comportamiento del usuario y aprendizaje automático. Si el SOC no puede ver esta actividad, no podrá detener el ransomware en esta etapa temprana.




La etapa de escalada de privilegios y movimiento lateral implica obtener mayor acceso a otros sistemas en una red. Después de obtener acceso a la red de una organización, los piratas informáticos trazarán todos los lugares donde pueden instalar ransomware. Este proceso implica que los piratas informáticos exploren la red en busca de información confidencial, archivos, aplicaciones o cualquier cosa que pueda dañar a la empresa para poder explotarla y obtener un gran pago. Obtener acceso a una base de datos más grande que potencialmente tiene información más confidencial resultará en un ataque de ransomware más severo y, para el pirata informático, un pago mayor.




Una vez que los piratas informáticos obtengan acceso a una base de datos con mucha información confidencial o tengan control sobre la red, los atacantes comenzarán a implementar software como PuTTY en diferentes áreas, estableciendo aún más su punto de apoyo y creando copias de seguridad para su ransomware en caso de que sean detectados.




El ejemplo más reciente de este tipo de incidente ocurrió en Las Vegas, donde el grupo de atacantes Scattered Spider organizó un ataque de ransomware contra propiedades de MGM. Los piratas informáticos se hicieron pasar por un empleado de MGM que encontraron en LinkedIn y obtuvieron acceso a los sistemas y redes internos de MGM llamando al servicio de asistencia de TI de la empresa y haciéndose pasar por ese empleado. Después de obtener acceso a la red a través de credenciales falsificadas, los piratas informáticos detonaron ransomware y apagaron las máquinas tragamonedas, bloquearon a los invitados fuera de las habitaciones e infligieron otros daños a las redes y aplicaciones de la empresa.




¿Cómo se puede detectar si se está produciendo una escalada de privilegios y un movimiento lateral? Una señal reveladora de que esto está sucediendo es la instalación de aplicaciones nuevas y no autorizadas en su red. Si se descargan aplicaciones como PuTTY, esto podría ser una señal de alerta importante. La aplicación podría estar en proceso de transferir archivos peligrosos a la red. Otros indicadores de compromiso incluyen:




- Acceso a la infraestructura del sitio web

- Búsqueda direcciones DNS específicas

- Conexión a servicios de nube externos como Dropbox




Nuevamente, estos signos pueden ser difíciles de distinguir porque puede parecer que estas acciones las realiza alguien que ha autorizado el acceso a datos confidenciales, pero en realidad es un atacante que los imita en la red.




Una vez que los piratas informáticos encuentren datos clave, comenzarán a descargar la carga útil del ransomware. Pueden extraer datos, configurar una clave de cifrado y luego cifrar los datos vitales. Los IoC en esta etapa incluyen comunicación con un servidor C2, movimiento de datos -- si el atacante está extrayendo datos importantes antes de cifrarlos -- y actividad inusual en torno al tráfico cifrado.




La detección en esta etapa implica productos de seguridad más avanzados que trabajan al unísono. El modelo de encadenamiento de diferentes tipos de análisis es una forma eficiente de detectar indicadores menores de compromiso cuando se trata de ransomware porque recopilan contexto en la red en tiempo real, lo que permite a los equipos SOC identificar comportamientos anómalos cuando ocurre.




Si se activa una alerta de seguridad, estos otros análisis pueden proporcionar más contexto para ayudar a reconstruir si se está produciendo un ataque mayor y cómo. Pero muchos ataques de ransomware exitosos no activan el antivirus en absoluto, por lo que es vital reunir una imagen precisa del comportamiento de los usuarios y compilar los numerosos indicadores en una línea de tiempo coherente.




Si bien detectar ataques de ransomware puede ser difícil para las organizaciones, ser capaz de identificar todos los IoC sutiles de un ataque de ransomware ayudará a su organización a comprender en qué etapa se encuentra el ataque y qué puede hacer para evitar que progrese. Si bien estos IoC pueden ser menores, la capacidad de conectarlos todos juntos es fundamental.




Al utilizar tecnología de aprendizaje automático junto con análisis de comportamiento y encadenamiento de modelos, su organización estará equipada con las herramientas que necesita para detectar y mitigar los daños causados por los ataques de ransomware.




Para más información, visite: https://www.silikn.com/