‎Cómo prepararse para los ataques de ransomware‎

‎Los ataques de ransomware continúan aumentando, utilizando técnicas que son cada vez más sofisticadas y dirigidas. Los líderes de seguridad y gestión de riesgos deben mirar más allá de los puntos finales para ayudar a proteger a la organización del ransomware.‎

‎Visión general‎

‎Desafíos clave‎

  • ‎El protocolo de escritorio remoto, traiga su propia PC y la red privada virtual v‎‎ulnerabilities y misconfiguratio‎‎n se están convirtiendo en el punto de entrada más común para los atacantes.‎‎ ‎‎Esto se ha visto agravado por el crecimiento del trabajo remoto como resultado de la pandemia.‎
  • ‎El ransomware está siendo operado cada vez más por humanos, en lugar de ser entregado como spam por los recursos tecnológicos.‎
  • ‎El costo de la recuperación y el tiempo de inactividad resultante después de un ataque de ransomware, así como el daño a la reputación, pueden ser de 10 a 15 veces más que el rescate.‎

‎Recomendaciones‎

‎Los ‎‎ ‎‎líderes de seguridad y gestión de riesgos responsables de la seguridad de los endpoints y las redes deben centrarse en las tres etapas de un ataque de ransomware:‎

  • ‎Prepárese para los ataques de ransomware mediante la‎‎construcción de una ‎‎ ‎‎estrategia‎‎de‎‎ preparación ‎‎ ‎‎previa‎‎ ‎‎al incidente, que incluye la copia de seguridad, la gestión de activos y la restricción de ‎‎los ‎‎privilegios‎‎de‎‎usuario. Determine‎‎ ‎‎ ‎‎ ‎‎si la organización está‎‎utimamente ‎‎preparada ‎‎para ‎‎pagar un rescate o ‎‎no.‎
  • ‎Implemente medidas de detección‎‎ ‎‎ mediante la implementación de tecnologías de detección basadas en anomalías de comportamiento para identificar ataques de ransomware.‎
  • ‎Cree ‎‎procedimientos de respuesta ‎‎posteriores a la‎‎ ‎‎ identificación capacitando al personal y ‎‎ ‎‎programando‎‎ ‎‎ ‎‎ ‎‎simulacros regulares.‎

‎Introducción‎

‎El ransomware sigue representando un riesgo significativo para las organizaciones. Los ataques recientes han evolucionado desde los ataques de autopropagación, como Wannacry y‎‎ ‎‎ NotPetya,‎‎hasta ejemplos más ‎‎dirigidos,‎‎1,2‎‎ que atacan‎‎a ‎‎una organización, en lugar de ‎‎puntos finales‎‎ individuales. ‎‎ El impacto que estos ataques tienen en las organizaciones ha aumentado hasta el punto de que algunas organizaciones han quebrado,‎‎3‎‎ ‎‎ y, en el caso de la sanidad, ‎‎se han puesto en riesgo ‎‎vidas.‎‎ ‎‎4 Los‎‎ ‎‎ líderes de seguridad y gestión de riesgos (SRM) deben adaptarse a estos cambios y mirar más allá de los controles de seguridad de endpoints para protegerse contra el ransomware.‎‎Las campañas recientes de ransomware, como REvil y Ryuk, se han convertido en “ransomware‎‎operado por‎‎ humanos”, donde el ataque está bajo‎‎ el ‎‎control de ‎‎un operador,‎‎ ‎‎ ‎‎en lugar ‎‎de ‎‎ ‎‎propagarse automáticamente. Tales ataques a menudo se aprovechan de debilidades de seguridad bien conocidas para obtener acceso. Por ejemplo, se cree que una serie de incidentes recientes de ransomware han comenzado con configuraciones de protocolo de escritorio remoto (RDP) mal configuradas o vulnerables. Las credenciales previamente comprometidas también se utilizan para obtener acceso a las cuentas.‎‎Una vez dentro, el atacante se moverá por la red, identificará los datos valiosos y evaluará los controles de seguridad utilizados, a menudo deshabilitando las herramientas ‎‎de protección de endpoints y ‎‎eliminando ‎‎las copias‎‎de‎‎ ‎‎seguridad.‎‎ Luego, cuando los datos han sido identificados, pueden ser cargados y luego utilizados para la extorsión (Doxing), o el ransomware se lanzará para cifrar los datos. El tiempo de permanencia típico entre la primera evidencia de actividad maliciosa y el despliegue de ransomware es de tres días.‎‎ ‎‎5‎‎ ‎‎ El objetivo es maximizar la probabilidad de que se pague el rescate, a menudo incluyendo amenazas de hacer públicos los datos si el rescate no se paga rápidamente.‎‎La protección de las organizaciones contra estos ataques va más allá de la protección de endpoints y abarca muchas herramientas y controles de seguridad diferentes. La Figura 1 describe el ciclo de vida de la defensa del ransomware. Es importante examinar todas estas fases y asumir que un ataque será exitoso y planificar para responder en consecuencia.‎‎Figura 1: Ciclo de vida de la defensa del ransomware‎

The defense life cycle of ransomware protection: prepare, prevent, detect, remediate and recover

‎Análisis‎

‎Construir‎‎ ‎‎ una ‎‎ ‎‎preparación preincidente‎‎ ‎‎ ‎‎ ‎‎S‎‎trateg‎‎y‎

‎Los líderes de SRM ‎‎ ‎‎deben trabajar con el principio de que un ataque de ransomware tendrá éxito ‎‎y ‎‎asegurarse de que la organización esté preparada para detectar lo antes posible y recuperarse lo más rápido posible.‎‎La primera y más común pregunta es: “¿Debería pagarse el rescate?” En última instancia, esto tiene que ser una decisión comercial. Debe hacerse a nivel de junta, con asesoramiento legal. Las agencias de aplicación de la ley recomiendan no pagar, porque fomenta la actividad delictiva continua. En algunos casos, el pago del rescate podría considerarse ilegal,‎‎6‎‎ ‎‎ porque proporciona fondos para actividades delictivas.‎‎ ‎‎Incluso si se paga el rescate, los archivos cifrados a menudo son irrecuperables.‎‎Sin embargo, si una organización quiere estar lista para pagar, es importante establecer un proceso legal y de gobierno que incluya al CEO, la junta y el personal operativo clave. Configurar una billetera de criptomonedas puede llevar tiempo, por lo que, si el pago es una posibilidad, hacer los preparativos necesarios acelerará el tiempo para recuperarse. (Ver‎‎ ‎‎ ‎‎ ‎‎Cómo prevenir o mitigar los ataques de ransomware que exigen el pago en criptomoneda Blockchain‎‎.)‎‎Un buen proceso y estrategia de copia de seguridad es la principal línea de defensa contra el ransomware.‎‎ ‎‎Asegúrese de que la solución de copia de seguridad sea resistente a los ataques de ransomware y supervise continuamente el estado y la integridad de las‎‎ ‎‎ ‎‎copias de seguridad ‎‎(consulte ‎‎ ‎‎Cuadrante mágico para soluciones de copia de seguridad y recuperación de centros de datos).‎‎ En particular, la mayoría de los proveedores de copias de seguridad proporcionan un mecanismo para crear segundas copias inmutables de copias de seguridad o instantáneas inmutables.‎‎La recuperación va más allá de restaurar los datos. El ransomware bloqueará efectivamente una máquina con la nota de ransomware y restaurar las máquinas a un buen estado conocido puede ser más complejo que restaurar los datos. Tener las herramientas y los procesos en su lugar para restaurar los puntos finales a una imagen dorada puede acelerar el tiempo de recuperación. Algunas organizaciones recurren a dispositivos USB para ubicaciones remotas y en el extranjero. Gartner ocasionalmente ve que los clientes ni siquiera intentan limpiar o restaurar una máquina. En cambio, el evento de ransomware es una razón para actualizar su hardware. Cualquiera que sea el proceso, esto debe simularse regularmente para descubrir deficiencias.‎‎ ‎‎La conciencia de seguridad para los usuarios también es importante.‎‎ ‎‎Constantemente e informa‎‎a‎‎ los usuarios sobre los tipos‎‎ de ataques que se ven con alertas regulares y “boletines” de seguridad para reforzar la educación. Cree un conjunto simple de mensajes de seguridad que se repitan regularmente. ‎‎ ‎‎Un usuario alerta no solo tendrá menos probabilidades de caer en la ingeniería social, sino que puede actuar como una alerta temprana. Asegúrese de que los usuarios estén capacitados regularmente sobre cómo identificar‎‎correos electrónicos‎‎maliciosos, en ‎‎ ‎‎particular. Proporcione un mecanismo fácil para informar correos electrónicos sospechosos y refuerce con la confirmación de que el usuario ha hecho lo correcto.‎‎ ‎‎Considere las herramientas de automatización y respuesta de orquestación de seguridad centradas en el correo electrónico (SOAR), como M-SOAR, para automatizar y mejorar la respuesta a los ataques por correo electrónico (consulte la ‎‎ ‎‎Guía de mercado para la seguridad del correo electrónico).‎‎La higiene de la seguridad es fundamental para protegerse contra el ransomware “operado por humanos”, y se requiere una visión holística de toda la organización. Los líderes de SRM deben incluir lo siguiente como parte de su estrategia para protegerse contra el ransomware:‎

  • ‎Construya un proceso confiable de gestión de activos para identificar qué necesita ser protegido y quién es responsable. Se debe prestar especial atención a los sistemas‎‎ ‎‎ ‎‎ ‎‎heredados (consulte ‎‎el ‎‎Cuadrante Mágico para el software de gestión de activos‎‎empresariales).‎
  • ‎Implemente un proceso de gestión de vulnerabilidades basado en el riesgo que incluya inteligencia de amenazas (TI). El ransomware a menudo se basa en sistemas sin parches para permitir el movimiento lateral. Este debe ser un proceso continuo. El riesgo asociado con las vulnerabilidades cambia a medida que los atacantes explotan las vulnerabilidades (consulte ‎‎ ‎‎Los elementos esenciales de la gestión eficaz de vulnerabilidades).‎
  • ‎Elimine los privilegios administrativos locales de los usuarios en los puntos finales y limite el acceso a las aplicaciones empresariales más confidenciales, incluido el correo electrónico, para evitar que la cuenta se vea comprometida (consulte ‎‎ ‎‎Cuadrante mágico para la administración del acceso privilegiado).‎
  • ‎Implemente el‎‎escaneo de c‎‎ompliance ‎‎ ‎‎para sistemas mal configurados y no conformes, así como pruebas de penetración y herramientas de simulación de ataques de violación (BAS). ‎‎ ‎
  • ‎Implemente ‎‎ ‎‎una ‎‎ ‎‎autenticación segura para usuarios con privilegios, como administradores de bases de datos e infraestructura, y cuentas de servicio. Registre la actividad. Los malos actores a menudo usarán malware conocido y detectado para obtener acceso a credenciales de cuenta con privilegios más altos.‎

‎Los ataques de ransomware suelen seguir el patrón de ataque que se muestra en la Figura 2.‎‎Figura 2: Anatomía de un ataque de ransomware‎

Anatomy of a ransomware attack

‎Los líderes de SRM deben alinear sus estrategias de seguridad con los patrones y técnicas utilizados por los atacantes. El marco MITRE ATT‎‎&‎‎CK se puede utilizar para evaluar y calificar la protección de una organización contra cada ‎‎ ‎‎fase.‎‎ ‎‎MITRE también proporciona‎‎ ‎‎ ‎‎ ‎‎SHIELD,‎‎que es una base de conocimiento de defensa activa que asigna técnicas de ataque a técnicas de‎‎ defensa, así como un repositorio de TI cibernética ‎‎que‎‎ enumera las técnicas y tácticas ‎‎posteriores‎‎ al compromiso‎‎ utilizadas.‎‎ ‎‎El ataque comienza con la entrada, es decir, el punto inicial de ataque. Esto a menudo toma la forma de un sitio web comprometido entregado a través de un phishing o ataque dirigido. Las puertas de enlace de correo electrónico seguras (SEG) y las puertas de enlace web seguras (SWG) pueden ayudar a proporcionar protección. Tecnologías como el aislamiento web también pueden limitar el impacto. Como se discutió anteriormente, otro método común de ataque es a través de puertos RDP vulnerables. Las pruebas de penetración pueden ser efectivas para encontrar agujeros en las defensas.‎‎Una vez comprometidas, las plataformas de protección de endpoints (EPP), la detección y respuesta de endpoints‎‎(EDR)‎‎y las soluciones de defensa contra amenazas móviles (MTD) deben usarse como parte de la defensa.‎‎ ‎‎Si los equipos internos no tienen el conjunto de habilidades o el ancho de banda necesarios, complemente EDR con servicios administrados (consulte ‎‎ ‎‎la Guía del mercado para servicios administrados de detección y respuesta).‎‎ Las herramientas EDR están diseñadas para detectar la actividad de cifrado y evitar que continúe.‎‎Las máquinas comprometidas reciben instrucciones a través de canales de comando y control. La seguridad dns, los SLB y otras soluciones de detección y respuesta de red (NDR) pueden detectar y bloquear estos canales. Se produce un mayor movimiento de túnel o lateral a medida que el atacante intenta moverse por la organización. Los firewalls de endpoints y la segmentación de redes, así como la fuerte gestión de vulnerabilidades y parches, limitan lo que el atacante es capaz de lograr.‎

‎Implementar medidas de detección para identificar ataques de ransomware‎

‎Inevitablemente, el ransomware puede superar sus defensas y las protecciones puestas en su lugar. Entonces se convierte en una cuestión de qué tan rápido puede detectar el incidente. Muchas de las herramientas descritas para la protección también proporcionarán los datos y la telemetría para la detección. En particular, las herramientas EDR recopilan indicadores de compromiso (IOC) y eventos que pueden no ser suficientes para identificar y prevenir específicamente un ataque, pero pueden mostrar que “puede” haber un ataque en curso. ‎‎ ‎‎EDR también puede ayudar a identificar “madrigueras”, donde el ataque permanece en silencio, mientras se recopilan más cuentas y privilegios comprometidos.‎‎La investigación,‎‎interpretación e investigación de estos‎‎ ‎‎ ‎‎eventos y eventos‎‎del ‎‎ ‎‎COI‎‎ ‎‎tienden a requerir un mayor nivel de experiencia. Cada vez más, esto se compra como parte de una solución EDR o como una solución MDR o administrada más amplia. El uso de estos servicios puede ser beneficioso para las organizaciones sin el personal o los conjuntos de habilidades para tener sus propios centros de operaciones de seguridad (SOC).‎‎Otras herramientas de seguridad también entran en juego durante la fase de detección. Los sistemas de prevención de intrusiones (IPS), así como las soluciones de NDR y análisis de tráfico de red (NTA), pueden ayudar a proporcionar una detección temprana (consulte ‎‎ ‎‎la Guía del mercado para detección y respuesta de red).‎‎ Las herramientas de engaño también pueden ser efectivas. Esto puede ser tan simple como configurar cuentas falsas de “administración” que nunca se usan realmente, de modo que, si se intenta usarla, se pueda enviar una alerta.‎‎ ‎‎Otros tipos de señuelos, como plataformas de engaño y honeypots, también se pueden implementar como parte de una estrategia de defensa contra ransomware (consulte‎‎ ‎‎ ‎‎ ‎‎Mejore su función de detección de amenazas con tecnologías de engaño).‎‎Además de los IOC y las alertas provenientes de las herramientas de seguridad, también es importante observar lo que “no está sucediendo”. Si‎‎ ‎‎ la copia de seguridad programa un‎‎cambio o una‎‎parada, el volumen de copia de seguridad o las tasas de cambio aumentan inesperadamente. Las instantáneas deshabilitadas en ciertas máquinas, así como las herramientas de seguridad que ya no se ejecutan en las máquinas, podrían indicar que un atacante está dentro de la organización.‎‎Una vez que se ha detectado un ataque de ransomware,‎‎minimizar el impacto es esencial. La técnica más común utilizada es el aislamiento. Hay una variedad de técnicas de aislamiento, y muchas herramientas EDR proporcionan funcionalidad de aislamiento en el dispositivo para permitir que los respondedores de incidentes aíslen las máquinas del resto de la red, al tiempo que permiten el acceso remoto para la corrección.‎‎El aislamiento basado en la red es más un instrumento contundente y requiere la prohibición de dispositivos sospechosos basados en la dirección MAC a nivel de hardware (de ahí la importancia de la gestión de activos maduros). Esto se aplica a los conmutadores de red locales, las redes privadas virtuales (VPN), el control de acceso a la red (NAC) y los puntos de acceso Wi-Fi de la organización. A menudo, esto se convierte en tirar frenéticamente de los cables de red. Sin embargo, esto puede ralentizar las fases de recuperación, ya que requiere acceso físico a los dispositivos para su corrección.‎‎Muchas organizaciones necesitarán asistencia para ayudar a mitigar y recuperarse de un ataque. Los equipos especializados en respuesta a incidentes pueden desempeñar un papel importante, y tener un retenedor de respuesta a incidentes en su lugar puede reducir el costo y la velocidad de la respuesta ‎‎ ‎‎(consulte ‎‎ ‎‎Cada organización debe evaluar el valor de un retenedor de respuesta a incidentes).‎‎Los pasos de recuperación táctica variarán, dependiendo de la organización y el alcance del ransomware, pero implicarán:‎

  • ‎Recuperación de datos de copias de seguridad, incluida la verificación de la integridad de esas copias de seguridad y la comprensión de qué datos, si los hay, se han perdido.‎
  • ‎Una vez comprometidos, los EPP y EDR, así como las soluciones MTD, deben usarse como parte de la respuesta de remediación para eliminar la amenaza‎‎ y revertir cualquier‎‎ cambio. Como se señaló anteriormente, la recuperación va más allá de la recuperación de los datos; las máquinas infectadas pueden estar “bloqueadas” y pueden requerir acceso físico. Durante la fase de preparación, es importante comprender y planificar cómo se lograría esto.‎
  • ‎Validación de la integridad de un dispositivo antes de que se le permita volver a la red.‎
  • ‎Actualización o eliminación de credenciales comprometidas; sin esto, el atacante podrá volver a ingresar.‎
  • ‎Realice un análisis exhaustivo de la causa raíz de cómo y qué sucedió, incluidos los datos que se han exfiltrado (doxing). El doxing ocurre cuando los malos actores amenazan con divulgar información robada. Esto se está convirtiendo cada vez más en un método secundario de extorsión si una víctima decide no pagar el rescate.‎

‎Los entornos ‎‎de infraestructura como servicio (IaaS)‎‎y plataforma como servicio‎‎(PaaS) son igualmente susceptibles a los ataques de ransomware. Conceptualmente, el‎‎se debe abordar de la misma manera. Lo que cambia son las actividades tácticas que se necesitan ejecutar para aislar los dispositivos / segmentos de red afectados.‎

‎Cree procedimientos ‎‎de respuesta ‎‎posterior‎‎ a‎‎ la identificación mediante la capacitación del personal y la programación de simulacros‎

‎En última instancia, los líderes de SRM deben estar preparados para que un ataque de ransomware tenga éxito y tener planes, procesos y procedimientos en su lugar.‎‎ ‎‎Estos planes deben incluir los aspectos de TI, así como los planes de comunicación tanto con el personal interno como con los socios y proveedores (consulte ‎‎ ‎‎Cómo prepararse y responder a las interrupciones del negocio después de ciberataques agresivos).‎‎ ‎‎Es importante para la ‎‎ ‎‎recuperación‎‎ ‎‎ que los líderes de SRM comuniquen el problema de manera rápida y clara. Proporcione actualizaciones periódicas sobre el estado y cuándo se recuperarán los sistemas hasta el punto en que los sistemas sean utilizables. Varias‎‎ ‎‎ herramientas de simulación de crisis cibernéticas‎‎ ‎‎ pueden ayudar a identificar brechas en procedimientos, roles y responsabilidades.‎‎Estos planes variarán, según el alcance y el éxito de un ataque de ransomware. Puede ser solo una pequeña parte de una organización, y el impacto podría ser mínimo. Para ataques más grandes, el impacto puede ir más allá de la organización para los clientes y socios. Como parte de la preparación, realizar simulacros de incendio regulares o ejercicios de mesa para ensayar una respuesta puede ser ‎‎ ‎‎beneficioso‎‎ ‎‎ (consulte ‎‎ ‎‎Toolkit: Tabletop Exercise for Cyberattack Preparation and Response‎‎).‎‎Una vez que la recuperación esté en progreso, recopile suficiente información para comprender la causa raíz del ataque y comprender qué controles fallaron o no estaban en su lugar. Una vez más, los servicios forenses digitales especializados y los servicios de respuesta a incidentes desempeñan un papel importante en este análisis. Una vez que se recuperan los sistemas, es fundamental implementar las lecciones aprendidas y retroalimentarlas en la fase de preparación.‎

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .