El modelo de negocios más nuevo del cibercrimen, los ataques operados por humanos, envalentona a los delincuentes de diversas habilidades.
El ransomware, una de las ciberamenazas más persistentes y generalizadas, sigue evolucionando y su forma más reciente presenta una nueva amenaza para las organizaciones de todo el mundo. La evolución del ransomware no implica nuevos avances tecnológicos. En cambio, implica un nuevo modelo de negocio: ransomware-as-a-service (RaaS).
El ransomware como servicio (RaaS) es un acuerdo entre un operador, que desarrolla y mantiene las herramientas para impulsar las operaciones de extorsión, y un afiliado, que implementa la carga útil del ransomware. Cuando el afiliado lleva a cabo un ataque exitoso de extorsión y ransomware, ambas partes se benefician.
El modelo RaaS reduce la barrera de entrada para los atacantes que pueden no tener la habilidad o los medios técnicos para desarrollar sus propias herramientas, pero pueden administrar herramientas de administración de sistemas y pruebas de penetración listas para usar para realizar ataques. Estos delincuentes de nivel inferior también pueden simplemente comprar el acceso a la red de un grupo delictivo más sofisticado que ya ha violado un perímetro.
Aunque los afiliados de RaaS usan cargas útiles de ransomware proporcionadas por operadores más sofisticados, no forman parte de la misma “pandilla” de ransomware. Más bien, estas son sus propias empresas distintas que operan en la economía cibercriminal en general.
Mejorar las capacidades de los ciberdelincuentes y hacer crecer la economía ciberdelincuente en general
El modelo de ransomware como servicio ha facilitado un rápido refinamiento e industrialización de lo que pueden lograr los delincuentes menos capaces. En el pasado, estos delincuentes menos sofisticados pueden haber utilizado malware básico que crearon o compraron para realizar ataques de alcance limitado, pero ahora pueden obtener todo lo que necesitan, desde acceso a redes hasta cargas útiles de ransomware, de sus operadores RaaS (por ejemplo, un precio, por supuesto). Muchos programas RaaS incorporan además un conjunto de ofertas de soporte de extorsión, incluido el alojamiento de sitios de fugas y la integración en notas de rescate, así como servicios de negociación de descifrado, presión de pago y transacciones de criptomonedas.
Esto significa que el impacto de un ataque exitoso de ransomware y extorsión sigue siendo el mismo independientemente de las habilidades del atacante.
Descubrir y explotar vulnerabilidades de red... por un precio
Una forma en que los operadores de RaaS brindan valor a sus afiliados es brindando acceso a redes comprometidas. Los corredores de acceso escanean Internet en busca de sistemas vulnerables, que pueden comprometer y reservar para obtener ganancias posteriores.
Para tener éxito, los atacantes necesitan credenciales. Las credenciales comprometidas son tan importantes para estos ataques que cuando los ciberdelincuentes venden acceso a la red, en muchos casos, el precio incluye una cuenta de administrador garantizada.
Lo que hacen los delincuentes con su acceso una vez que lo han logrado puede variar enormemente según los grupos y sus cargas de trabajo o motivaciones. Por lo tanto, el tiempo entre el acceso inicial a la implementación de un teclado práctico puede variar de minutos a días o más, pero cuando las circunstancias lo permiten, el daño puede infligirse a una velocidad vertiginosa. De hecho, se ha observado que el tiempo desde el acceso inicial hasta el rescate completo (incluida la transferencia de un corredor de acceso a un afiliado de RaaS) toma menos de una hora.
Mantener la economía en movimiento: métodos de acceso persistentes y furtivos
Una vez que los atacantes obtienen acceso a una red, detestan irse, incluso después de cobrar su rescate. De hecho, es posible que pagar el rescate no reduzca el riesgo para una red afectada y, potencialmente, solo sirva para financiar a los ciberdelincuentes, quienes seguirán tratando de monetizar los ataques con diferentes cargas útiles de malware o ransomware hasta que sean expulsados.
El traspaso que ocurre entre diferentes atacantes a medida que ocurren las transiciones en la economía ciberdelincuente significa que múltiples grupos de actividad pueden persistir en un entorno utilizando varios métodos diferentes de las herramientas utilizadas en un ataque de ransomware. Por ejemplo, el acceso inicial obtenido por un troyano bancario conduce a una implementación de Cobalt Strike, pero el afiliado de RaaS que compró el acceso puede optar por utilizar una herramienta de acceso remoto como TeamViewer para operar su campaña.
El uso de herramientas y configuraciones legítimas para persistir frente a los implantes de malware como Cobalt Strike es una técnica popular entre los atacantes de ransomware para evitar la detección y permanecer residente en una red durante más tiempo.
Otra técnica popular de los atacantes es crear nuevas cuentas de usuario de puerta trasera, ya sea locales o en Active Directory, que luego se pueden agregar a herramientas de acceso remoto, como una red privada virtual (VPN) o un escritorio remoto. También se ha observado que los atacantes de ransomware editan la configuración de los sistemas para habilitar el escritorio remoto, reducir la seguridad del protocolo y agregar nuevos usuarios al grupo de usuarios de escritorio remoto.
Enfrentarse a los adversarios más escurridizos y astutos del mundo
Una de las cualidades de RaaS que hace que la amenaza sea tan preocupante es cómo se basa en atacantes humanos que pueden tomar decisiones informadas y calculadas y variar los patrones de ataque en función de lo que encuentran en las redes donde aterrizan, asegurándose de cumplir sus objetivos.
Microsoft acuñó el término ransomware operado por humanos para definir esta categoría de ataques como una cadena de actividad que culmina en una carga útil de ransomware, no como un conjunto de cargas útiles de malware para bloquear.
Si bien la mayoría de las campañas de acceso inicial se basan en el reconocimiento automatizado, una vez que el ataque pasa a la fase práctica, los atacantes utilizarán sus conocimientos y habilidades para intentar derrotar los productos de seguridad del entorno.
Los atacantes de ransomware están motivados por las ganancias fáciles, por lo que aumentar su costo a través del fortalecimiento de la seguridad es clave para interrumpir la economía ciberdelincuente. Esta toma de decisiones humana significa que incluso si los productos de seguridad detectan etapas de ataque específicas, los atacantes en sí mismos no son desalojados por completo; intentan continuar si no están bloqueados por un control de seguridad. En muchos casos, si un producto antivirus informático detecta y bloquea una herramienta o carga útil, los atacantes simplemente toman una herramienta diferente o modifican su carga útil.
Los atacantes también conocen los tiempos de respuesta del centro de operaciones de seguridad (SOC) y las capacidades y limitaciones de las herramientas de detección. Para cuando el ataque llegue a la etapa de eliminación de copias de seguridad o instantáneas, faltarán minutos para la implementación del ransomware. Es probable que el adversario ya haya realizado acciones dañinas como la exfiltración de datos. Este conocimiento es clave para los SOC que responden al ransomware: investigar detecciones como Cobalt Strike antes de la etapa de implementación del ransomware y realizar acciones de remediación rápidas y procedimientos de respuesta a incidentes (IR) son fundamentales para contener a un adversario humano.
Reforzar la seguridad contra los tipos de amenazas informáticas y evitar la fatiga por alertas
Una estrategia de seguridad duradera contra determinados adversarios humanos debe incluir objetivos de detección y mitigación. No es suficiente confiar solo en la detección porque 1) algunos eventos de infiltración son prácticamente indetectables (parecen múltiples acciones inocentes) y 2) no es raro que los ataques de ransomware se pasen por alto debido a la fatiga de alertas causada por múltiples alertas de productos de seguridad dispares. .
Debido a que los atacantes tienen múltiples formas de evadir y deshabilitar los productos de seguridad y son capaces de imitar el comportamiento benigno de los administradores para mezclarse tanto como sea posible, los equipos de seguridad de TI y los SOC deben respaldar sus esfuerzos de detección con medidas de refuerzo de la seguridad.
Los atacantes de ransomware están motivados por las ganancias fáciles, por lo que aumentar su costo a través del fortalecimiento de la seguridad es clave para interrumpir la economía ciberdelincuente.
Aquí hay algunos pasos que las organizaciones pueden tomar para protegerse:
- Cree higiene de credenciales: desarrolle una segmentación de red lógica basada en privilegios que se puedan implementar junto con la segmentación de red para limitar el movimiento lateral.
- Exposición de credenciales de auditoría: la exposición de credenciales de auditoría es fundamental para prevenir ataques de ransomware y delitos cibernéticos en general. Los equipos de seguridad de TI y los SOC pueden trabajar juntos para reducir los privilegios administrativos y comprender el nivel al que están expuestas sus credenciales.
- Fortalecer la seguridad en la nube: a medida que los atacantes se mueven hacia los recursos de la nube, es importante proteger los recursos y la gestión de identidades de la nube, así como las cuentas locales. Los equipos de seguridad deben centrarse en fortalecer la infraestructura de identidad de seguridad, hacer cumplir la autenticación multifactor (MFA) en todas las cuentas y tratar a los administradores de la nube/administradores de inquilinos con el mismo nivel de seguridad e higiene de credenciales que los administradores de dominio.
- Cierre los puntos ciegos de seguridad: las organizaciones deben verificar que sus herramientas de seguridad se ejecuten en una configuración óptima y realizar escaneos regulares de la red para garantizar que un producto de seguridad proteja todos los sistemas.
- Reduzca la superficie de ataque: establezca reglas de reducción de la superficie de ataque para evitar las técnicas de ataque comunes que se utilizan en los ataques de ransomware. En los ataques observados de varios grupos de actividad asociados con ransomware, las organizaciones con reglas claramente definidas han podido mitigar los ataques en sus etapas iniciales mientras evitan la actividad práctica del teclado.
- Evalúe el perímetro: las organizaciones deben identificar y proteger los sistemas perimetrales que los atacantes podrían usar para acceder a la red. Las interfaces de escaneo público, como RiskIQ, se pueden usar para aumentar los datos.
- Reforzar los activos relacionados con Internet: los atacantes de ransomware y los agentes de acceso utilizan vulnerabilidades informáticas sin parches, ya sean divulgadas o de día cero, especialmente en la etapa de acceso inicial. También adoptan rápidamente nuevas vulnerabilidades informáticas. Para reducir aún más la exposición, las organizaciones pueden utilizar las capacidades de gestión de amenazas y vulnerabilidades informáticas en los productos de detección y respuesta de puntos finales para descubrir, priorizar y remediar vulnerabilidades informáticas y configuraciones incorrectas.
- Prepárese para la recuperación: la mejor defensa contra ransomware debe incluir planes para recuperarse rápidamente en caso de un ataque. Le costará menos recuperarse de un ataque que pagar un rescate, así que asegúrese de realizar copias de seguridad periódicas de sus sistemas críticos y protéjalas contra el borrado y el cifrado deliberados. Si es posible, almacene las copias de seguridad en un almacenamiento inmutable en línea o completamente fuera de línea o fuera del sitio.
Más defensa contra los ataques de ransomware
La amenaza multifacética de la nueva economía del ransomware y la naturaleza esquiva de los ataques de ransomware operados por humanos requieren que las organizaciones adopten un enfoque integral de la seguridad.
Los pasos que describimos anteriormente ayudan a defenderse contra los patrones de ataque comunes y contribuirán en gran medida a prevenir los ataques de ransomware. Para fortalecer aún más las defensas contra el ransomware tradicional y operado por humanos y otras amenazas a la seguridad informática, use herramientas de seguridad que puedan proporcionar una visibilidad profunda entre dominios y capacidades de investigación unificadas.
Para obtener una ayuda general contra el ransomware y obtener una guía completa con consejos y mejores prácticas para la prevención, detección y reparación, consulte con nosotros:
Leave a Reply