Secuestro de datos Los ataques a menudo parecen venir de la nada, pero hay una serie de advertencias signos e indicadores que los ciberdelincuentes están en la red de su organización y planean lanzar un ataque de ransomware. Y con un poco de práctica, pueden verse a tiempo, según los investigadores de Sophos, que hoy emitió una nueva serie importante de informes sobre el panorama del ransomware.
Sophos Respuesta gestionada ante amenazas La unidad (MTR) trabaja ampliamente con las víctimas de ransomware y, como parte de su trabajo, examina las últimas quince semanas de detecciones para buscar signos de intrusión. Ahora ha compilado una lista de cinco punteros que casi con certeza indican que un atacante está rooteando dentro de la red, estableciendo la mentira de la tierra y cómo obtener el acceso a la cuenta que necesitan para lanzar un ataque de ransomware.
Chester Wisniewski, científico investigador principal de Sophos, dijo a Computer Weekly que el equipo MTR de la empresa tenía una clara ventaja de visibilidad sobre la organización promedio. «Por ejemplo», dijo, «después de observar el tercer ataque WastedLocker que habían analizado en un cliente, vieron patrones de herramientas que los delincuentes estaban usando en cierto orden, antes de comenzar a rescatar datos.
«Luego pudieron salir a través de todos nuestros clientes que están protegidos con nuestro EDR [Endpoint Detection and Response] producto y mire sus máquinas y diga ‘aquí hay más personas en las que se encuentran los delincuentes cibernéticos en este momento, pero aún no han activado el ransomware’.
«Identificamos su patrón y lo buscamos en toda nuestra base de clientes y encontramos a las personas que claramente tenían el mismo actor de ransomware con un punto de apoyo inicial, antes de que pudieran causar daños».
Wisniewski agregó: “Eso es realmente difícil para una empresa, porque solo tienen que mirar a sí mismos y, a menos que hayan sido golpeados antes, realmente no saben lo que están buscando. Nuestro equipo está sentado allí mirando a miles de clientes todos los días y podemos decir que hemos visto esto antes, sabemos lo que es esto, cerremos eso ahora mismo «.
La clave para leer los signos de un inminente incidente de ransomware es comprender que los ciberdelincuentes a menudo usarán herramientas administrativas legítimas para preparar el escenario para su ataque, dijo Sophos. Esto hace que detectarlos sea bastante difícil, y significa que su actividad puede pasarse por alto fácilmente, pero ponen banderas rojas si está alerta de cómo se usarán sus propias herramientas en su contra.
«Lo más famoso es que estas personas abusan mucho de las herramientas de Microsoft, porque nadie está buscando lo bueno que se usa de manera maliciosa, por así decirlo», dijo Wisniewski. «Usted toma una herramienta perfectamente buena que está destinada a ayudarlo a implementar software y usar esa misma herramienta para implementar su ransomware, y eso parece ser un punto ciego para muchas organizaciones, sin duda una de las que más me destaca. «
Los cinco consejos esenciales de Sophos que pueden sugerir que los actores de ransomware ya están dentro de su sistema son:
- Primero, busque escáneres de red, especialmente en servidores. Los ciberdelincuentes generalmente obtendrán primero acceso a una computadora para buscar información, como el dominio, el nombre de la empresa, los derechos de administrador con los que la máquina está habilitada, etc. Luego intentarán comprender qué más hay en la red y a qué pueden llegar, y la forma más fácil de hacerlo es con una herramienta de escaneo de red, como AngryIP o Advanced Port Scanner. Si se encuentra uno, los líderes de seguridad deben consultar con el personal de administración de TI para averiguar si se está utilizando legítimamente y, de lo contrario, se justifica una investigación.
- Si un atacante ha obtenido derechos de administrador, es probable que intente deshabilitar sus protecciones antivirus utilizando aplicaciones comerciales legítimas diseñadas para ayudar a eliminar el software. Estos podrían incluir Process Hacker, IOBit Installer, GMER o PC Hunter. Los equipos de seguridad deben estar atentos a su aparición en la red.
- Cualquier detección del código abierto. MimiKatz El programa de recopilación de credenciales en cualquier lugar de la red se debe retirar de inmediato. Una vez más, MimiKatz tiene usos legítimos por parte de probadores de penetración profesionales, pero también es popular entre los delincuentes cibernéticos para el robo de credenciales.
- Cualquier detección de cualquier comportamiento que ocurra a la misma hora todos los días, o en algún otro patrón repetitivo, puede ser una indicación de que está ocurriendo algo desagradable, incluso si recientemente ha encontrado y eliminado archivos maliciosos de la red. Esto podría significar que está sucediendo algo más que aún no ha visto.
- Esté atento a la posibilidad de ataques de prueba a pequeña escala en algunas computadoras, que se ejecutan para ver si el método de implementación y el ransomware se ejecuta o se detiene. Si sus sistemas detienen un ataque aparentemente intrascendente, los ciberdelincuentes sabrán que han mostrado su mano y tendrán que cambiar de táctica para intentarlo nuevamente, lo que le dará a su equipo de seguridad horas vitales para detener algo mucho peor.
La amplia serie de informes de Sophos también analiza el desarrollo de formas más evasivas de ransomware, el surgimiento de el ataque posterior a la intrusión o doble extorsióny ofrece nuevas investigaciones sobre WastedLocker, se cree que está detrás de la reciente caída de los sistemas de Garmin, entre otros.