Aquí hay una docena de maneras en que los equipos de TI de cualquier tamaño pueden configurar alertas automáticas para detectar ataques de ransomware antes de que sea demasiado tarde.
Es una locura pensar que en mayo de este año se cumplieron cinco años desde que el brote de WannaCry ayudó a convertir el ransomware en un nombre conocido. En cierto modo, parece que fue hace toda una vida (o más). Ejemplo: En comparación con las asombrosas cifras citadas en los informes actuales, algunas de las estadísticas relacionadas con el ransomware de 2017 resultan pintorescas.
- En el segundo trimestre de 2017, la demanda media de rescate estimada fue de entre 501 y 2.000 dólares. Según Coveware, avanza rápidamente hasta el primer trimestre de 2022 y el pago medio de rescates fue de 211.529 dólares.
- En 2017, Cybersecurity Ventures estimó que el coste total de los daños causados por el ransomware alcanzaría los 5.000 millones de dólares en el año. Su último informe estima que los costes totales en 2021 alcanzarán los 20.000 millones de dólares.
Evidentemente, han cambiado muchas cosas y, con miles de millones de dólares en juego, decir que las operaciones de ransomware actuales han madurado y evolucionado es quedarse muy corto.
Como dice el investigador de seguridad Kevin Beaumont en un artículo del blog que todo el mundo debería leer:
“Un grupo de ransomware que recibe un pago de 40 millones de dólares por atacar a una compañía de seguros de ciberseguridad da a los atacantes más presupuesto para seguir ciberatacando que el que tienen la mayoría de las medianas y grandes empresas tienen para defenderse totalmente de los ataques. Y eso es sólo un ataque, de un grupo, que apenas llegó al radar de noticias de la mayoría de la gente”
– Kevin Beaumont, “La dura verdad sobre el ransomware”
Es una evaluación aleccionadora, pero antes de que vayamos a añorar los días “más sencillos” de 2017, también vale la pena considerar que, por mucho que hayamos visto cambiar las cosas en estos últimos cinco años, también hay muchas cosas que no lo han hecho.
Sí, el ecosistema de la ciberdelincuencia se ha disparado en torno al ransomware y, por supuesto, los grupos de ataque han acumulado enormes fondos para comprar días cero y lanzar programas de recompensas por errores. Pero lo cierto es que, a pesar de todo esto, la mayoría sigue operando en modo “low-hanging fruit”. ¿Por qué ponerse sofisticado y lujoso cuando todavía se puede pillar a mucha gente durmiendo con lo básico?
- ¿Colonial Pipeline? Hackeado a través de una cuenta inactiva sin MFA.
- ¿Servicios sanitarios irlandeses? Documento de Excel malicioso.
- ¿La banda del ransomware LockBit accedió durante 5 meses a una agencia gubernamental estadounidense? RDP expuesto.
- ¿El ataque de ransomware de 50 millones de dólares al gigante de los ordenadores Acer? Vulnerabilidad de Microsoft Exchange sin parches.
Sí, la prevención es difícil para las organizaciones actuales, pero siempre lo ha sido, y no estoy del todo convencido de que sea exponencialmente más difícil hoy que hace cinco años. La verdad es que unos fundamentos sólidos y un endurecimiento básico de los endpoints pueden llevar a las PYMES muy lejos.
Pero este post es sobre la detección, ¿verdad? Bueno, el mismo punto se aplica. La mayoría de las organizaciones van a necesitar recursos dedicados (internos o subcontratados) para desplegar y supervisar activamente las oportunidades de detección que vamos a cubrir aquí, pero la barrera de entrada no es necesariamente tan alta como algunos proveedores de seguridad pueden hacerte creer.
Un ejemplo: A continuación se presentan 12 buenas ideas básicas de detección que pueden darte resultados sin que te cueste una fortuna.
Entremos en ellas.
Cómo detectar el ransomware (o mejor aún, cuándo)
Para empezar, convengamos en que andar tratando de detectar la actividad del ransomware después de su ejecución (los ejecutables del ransomware que se ejecutan activamente y cifran los datos) es una carrera perdida. Algunas de las variantes de ransomware más prolíficas pueden cifrar 100.000 archivos en menos de cinco minutos.
Los intentos de detectar y reaccionar ante cambios masivos y repentinos en los nombres de los archivos, etc., suelen ser demasiado pequeños y tardíos.
El AV/EDR está obviamente diseñado para bloquear los ejecutables de ransomware, pero las tasas de detección/bloqueo no son perfectas, e incluso si consiguen bloquear un ejecutable no se soluciona el problema de que los atacantes hayan conseguido el acceso. Si fallan una vez, lo volverán a intentar.
También es habitual que los atacantes aprovechen las herramientas y los playbooks diseñados para obtener privilegios elevados y así poder desactivar las herramientas de seguridad (y las copias de seguridad).
Por esta razón, el mejor momento para detectar e interrumpir los ataques es el primero, idealmente cuando se trata de intentos a menudo automatizados de aterrizar y establecer cabezas de playa en tus sistemas. Cortar los ataques de raíz es mucho más fácil que enfrentarse a la siguiente etapa, cuando se trata de un hacker humano real que está operando con un libro de jugadas probado y verdadero y numerosas herramientas diseñadas para ayudarles a mapear rápidamente su red y poseerla por completo.
Así que cuando hablamos de detectar el ransomware, la mejor pregunta podría ser: “¿Cómo detectamos los primeros signos de alerta de un compromiso que podría llevar rápidamente al ransomware?”
Y se hace mucho hincapié en “rápidamente”. Los informes muestran que, desde el acceso inicial, el ransomware puede desplegarse en cualquier lugar desde días hasta incluso sólo horas después. Échale un vistazo a los desgloses de The DFIR Report de “IcedID a XingLocker ransomware en 24 horas” y “Netwalker Ransomware en 1 hora”
Con tan poco tiempo para identificar la amenaza y reaccionar, es fundamental contar con herramientas y profesionales experimentados que supervisen activamente los sistemas y estén preparados para responder (idealmente aprovechando la automatización).
Bien, chico listo, ¿cuáles son las señales de alerta temprana del ransomware y las buenas oportunidades de detección?
La buena noticia es que, aunque hay una gran cantidad de grupos de ataque y variantes, la mayoría sigue basándose en manuales y herramientas comunes. Gracias al trabajo de investigadores como los de The DFIR Report y otros, los defensores pueden aprender las TTP más comunes y construir mecanismos de detección en consecuencia.
A continuación, presentamos una lista de oportunidades de detección asignadas a los patrones de ataque de ransomware más comunes (una gran propina al Informe DFIR del año 2021). No se trata en absoluto de una lista exhaustiva, pero debería proporcionarte una buena orientación para empezar.
Si utilizas una solución de gestión de endpoints o un RMM como NinjaOne, podrás crear condiciones de supervisión y alerta para muchas de estas detecciones que podrás desplegar fácilmente en los endpoints, lo que te ahorrará a ti y a tu equipo el trabajo manual. También puedes crear acciones automatizadas que quieras que activen las alertas, como reinstalar/reiniciar automáticamente los procesos AV/EDR si se identifica que faltan/están desactivados.
Si quieres llevar todo esto un paso más allá, la gente de The DFIR Report también ha compartido un montón de reglas Sigma extremadamente útiles que puedes utilizar con Chainsaw, una herramienta gratuita de código abierto de F-Secure Labs que ofrece una forma rápida de analizar los registros de eventos y detectar signos sospechosos de un ataque.
Tipos de tácticas de ransomware y cómo detectarlas: oportunidades de detección por etapa de ataque
Acceso inicial
Informes de correos electrónicos sospechosos de los usuarios finales: No ocupan los titulares como lo hacen las vulnerabilidades de día cero, pero los correos electrónicos maliciosos comunes y corrientes están diseñados para engañar a los usuarios para que descarguen y ejecuten malware siguen siendo uno de los vectores de ataque iniciales más comunes. ¿Por qué? Porque todavía funcionan.
- Cómo detectar correos electrónicos sospechosos: Es importante que las organizaciones proporcionen a los empleados formación en materia de seguridad, pero también que creen una cultura en la que se les anime activamente y se les recompense por informar sobre correos electrónicos sospechosos y posibles errores sin temor a ser castigados.
Conexiones RDP sospechosas: El RDP expuesto es otro vector de ataque ante el que algunos informáticos y responsables de seguridad pueden poner los ojos en blanco, pero sigue siendo uno de los principales puntos de compromiso inicial para los incidentes de ransomware.
- Cómo detectar conexiones RDP sospechosas: Este artículo de NCCGroup explica cómo capturar eventos de registro de bajo ruido relacionados con sesiones RDP intentadas y exitosas. Además, esta secuencia de comandos del experto en PowerShell Kelvin Tegelaar lleva las cosas más lejos al documentar si una variedad de herramientas de acceso remoto están instaladas (Remote Desktop, TeamViewer, ConnectWise ScreenConnect y otras) y al registrar cuando ha habido una conexión exitosa.
Persistencia
Creación de tareas programadas sospechosas: Una de las formas más comunes en que los atacantes obtienen persistencia en un sistema.
- Cómo detectar la creación de tareas programadas sospechosas: Supervisa y alerta de esto rastreando los ID de eventos de Windows 4698 y 4700 o aprovechando el script PowerShell de Kelvin Tegelaar aquí.
Software de acceso remoto inesperado: Otra táctica que está ganando terreno es la de los atacantes que instalan software de terceros como AnyDesk (el más popular con diferencia), Atera, TeamViewer y Splashtop.
- Cómo detectar software de acceso remoto inesperado: Estas son herramientas populares entre los MSP, pero si NO estás aprovechando alguna de ellas, es una buena idea supervisar regularmente su presencia y marcarla. De nuevo, el script de Kelvin puede ser utilizado para esto (ver el comentario de Luke Whitlock para una modificación que monitorea para AnyDesk).
Además, también puedes supervisar el ID de evento de Windows 7045.
Escalada de privilegios / acceso a credenciales
Extracción de credenciales del subsistema de autoridad de seguridad local de Windows (LSASS): Si bien hay otras formas de que los atacantes raspen las credenciales, ésta es, con mucho, una de las más comunes.
- Cómo detectar el abuso de LSASS: Una buena manera de supervisar o bloquear los intentos de robo de credenciales de LSASS es aprovechar las reglas de reducción de la superficie de ataque (ASR) de Microsoft (se requiere Windows 10 build 1709 / Windows Server build 1809 o superior). Nota al margen: Otras reglas ASR también son excelentes para bloquear una variedad de intentos comunes de ejecutar código malicioso y obtener acceso inicial (por ejemplo: bloquear que los programas de Office creen procesos hijos, bloquear que JavaScript o VBScript lancen contenido ejecutable descargado, etc.). Consulta esta publicación del equipo de seguridad de Palantir en la que comparten su evaluación del impacto de las reglas ASR y la configuración recomendada. Muchas herramientas EDR también ofrecen capacidades de bloqueo y detección similares para proteger LSASS.
Evasión de la defensa
Desactivación/desinstalación de antivirus y otras herramientas de seguridad: ¿Por qué molestarse en pasar de puntillas por las herramientas de seguridad cuando puedes simplemente desactivarlas?
- Cómo detectar la manipulación del antivirus: Mira este script de Kelvin Tegelaar o, si tienes uno, aprovecha tu RMM para alertar regularmente sobre si las herramientas de seguridad están instaladas y/o en ejecución.
Descubrimiento
Uso inesperado de herramientas de escaneo de puertos y descubrimiento de redes: Una vez establecida la cabeza de playa, los atacantes deben mirar a su alrededor para ver dónde han aterrizado e identificar las mejores oportunidades de movimiento lateral. Muchos aprovecharán las utilidades incorporadas de Windows como nltest.exe, ipconfig, whoami, etc., así como ADFind. Otros utilizarán herramientas de escaneo de puertos como Advanced IP Scanner.
- Cómo detectar escáneres de puertos y herramientas de reconocimiento sospechosas: Al igual que con las herramientas de acceso remoto, si no las utilizas regularmente, puedes probar a supervisarlas y crear alertas, así como reglas de automatización para bloquearlas de forma proactiva.
Movimiento lateral
Sospecha de uso de Cobalt Strike: Cobalt Strike es un “software de simulación de adversarios” que, por desgracia, se ha hecho tan popular entre los atacantes como entre su público objetivo, los testers de penetración. Hace que una amplia gama de tácticas post-explotación sean increíblemente fáciles de ejecutar, y rutinariamente aparece como una herramienta abusada en incidentes de ransomware.
- Cómo detectar la huelga de cobalto: Muchas herramientas EDR e investigadores de seguridad tienen sus sitios para detectar el uso de Cobalt Strike. Mira una gran colección de recursos para ayudarte a hacer lo mismo aquí.
Software de acceso remoto inesperado: Véase la sección de acceso remoto en “Persistencia” más arriba.
Conexiones de acceso remoto sospechosas: Podría incluir el uso de RDP, SMB, VNC, y más.
- Cómo detectar conexiones de acceso remoto sospechosas: Consulta esta lista de ideas de monitorización de MITRE (por ejemplo: creación de conexiones de red, acceso a recursos compartidos de red, etc.) y profundiza en las subtécnicas para obtener información específica sobre el abuso de RDP, SMB, VNC, SSH, etc.
Uso sospechoso de PsExec: PsExec es otra herramienta incorporada de Microsoft de la que los atacantes han abusado. Permite ejecutar remotamente comandos o scripts como SYSTEM.
- Cómo detectar el abuso de PsExec: Nuestro hombre Kelvin también tiene un script para esto (porque por supuesto que lo tiene). También puedes encontrar más IDs de eventos de Windows y cambios en el registro para monitorear aquí.
Exfiltración de datos
Conexiones salientes sospechosas y picos de tráfico: Con el fin de ganar más ventaja sobre las víctimas, es cada vez más común que los atacantes no sólo cifren los datos, sino que los exfiltren primero. Eso les da la amenaza adicional de vender los datos o publicarlos en directo
- Cómo detectar la exfiltración de datos: Los indicadores de una posible exfiltración de datos pueden incluir grandes picos de tráfico saliente, conexiones inesperadas a direcciones IP públicas, puertos utilizados de forma poco común, altos volúmenes de consultas DNS, extensiones de archivos de origen sospechosas (.rar, .7z, .zip, etc.), y más. La monitorización de la red y las reglas del firewall pueden proporcionar el trabajo pesado aquí. Para más ideas, consulta la sección “Exfiltración” de MITRE ATT&CK.
Abuso de herramientas de transferencia de archivos integradas y de código abierto: A los atacantes les encanta utilizar herramientas legítimas que les ayuden a pasar desapercibidos. Para la exfiltración de datos, esto incluye Microsoft BITS, curl.exe, Rclone, Mega (MegaSync y MegaCmd), y más.
- Cómo detectar el uso sospechoso de la transferencia de archivos: Aunque los atacantes pueden tomarse la molestia de cambiar el nombre de estos programas, algunos simplemente no lo hacen, por lo que bloquear y/o supervisar y alertar sobre su uso es un buen punto de partida. Para más ideas de detección avanzada/granular, mira lo siguiente: detección de Rclone, detección de Mega y Rclone, y MITRE ATT&CK ID T1197.
Añade una capa de detección de ransomware que sea manejable y escalable
Supervisar y alertar activamente sobre este tipo de actividades puede ser un reto para las organizaciones que no cuentan con un recurso especializado y capacitado. En muchos casos, asociarse con los expertos subcontratados adecuados puede ser el camino a seguir.
Para ver más ejemplos de automatizaciones que los equipos de TI pueden aprovechar con NinjaOne, consulta “¿Qué deberías supervisar con tu RMM? 28 Recomendaciones”.
NinjaOne también se asocia con Bitdefender para ofrecer una solución integrada contra el ransomware como parte de su plataforma de operaciones informáticas unificadas (UITO). Al incluir NinjaOne + Bitdefender GravityZone + NinjaOne Backup, el paquete NinjaOne Protect ayuda a prevenir, detectar y responder a los ataques de ransomware, mitigando potencialmente el impacto del ransomware en tu negocio.
Regístrate para una prueba gratuita de NinjaOne Protect hoy mismo.