Detección de Ransomware con Tecnologías Existentes
Tabla de contenidos:
Parece que estamos al borde de otra crisis causada por ataques de ransomware y la proliferación del modelo de Ransomware como Servicio que permite incluso a los relativamente novatos entrar en el gran juego. Cada semana, los medios están llenos de titulares de que una conocida empresa u organización gubernamental se ha convertido en otra víctima de un ataque, los sistemas fueron bloqueados y datos sensibles fueron robados. Es probable que estas organizaciones tuvieran todo lo necesario para la detección oportuna de ransomware, pero de alguna manera los atacantes superaron al equipo de seguridad.
La crisis que mencionamos anteriormente no está ni siquiera relacionada con la cantidad de ataques, que sigue creciendo debido al aumento del número de afiliados de RaaS, sino al robo de datos antes de cifrar archivos. Según el informe publicado por Coveware en noviembre de 2020, en el tercer trimestre, los ciberdelincuentes lograron exfiltrar datos en aproximadamente la mitad de sus ataques. Y esto es el doble que en el trimestre anterior. Otra cifra interesante en el informe es el pago promedio de rescate, que ya ha superado los $230,000.
Ataques de ransomware y exfiltración de datos
Los ataques de ransomware se convirtieron en un problema a mediados de la década de 2000 cuando los ciberdelincuentes cambiaron de los simples bloqueadores de pantallas, que eran fácilmente eludibles por usuarios avanzados pero que aún generaban buenas ganancias, al cifrado de archivos, que sin una clave de descifrado es una pérdida de datos casi garantizada. A principios de la década de 2010, apareció el primer gusano de ransomware, y después de unos años, los ciberdelincuentes comenzaron campañas masivas de spam dirigidas principalmente a usuarios no corporativos, pero las capacidades de detección de ransomware de las empresas eran en su mayoría suficientes para no sentir la amenaza. En 2016, apareció el primer Ransomware como Servicio, que aún estaba destinado a ataques a individuos. En mayo de 2017, el brote de WannaCry mostró al mundo que las organizaciones pueden ser un gran objetivo y que recuperarse de un ataque de ransomware es muy costoso. NotPetya solo confirmó esto, y pronto los grandes jugadores cambiaron completamente a ataques contra organizaciones para llegar a los servidores de respaldo y cifrar tantos sistemas clave como fuera posible sin posibilidad de recuperación. A finales de 2019, afiliados de Maze RaaS comenzaron a robar datos después de infiltrarse en la red de una organización, que luego publicaron en un recurso especialmente creado para presionar a las víctimas y forzarlas a pagar una suma de rescate realmente enorme. Esto rápidamente se volvió popular, y como podemos ver en el informe, los ciberdelincuentes ahora roban datos en cada segundo ataque.
Ovejas negras del lado oscuro
Hasta hace poco, los ciberdelincuentes habían jugado relativamente justo, y en caso de un rescate, habían proporcionado alguna evidencia de que los datos habían sido eliminados. Pero no hay honor entre ladrones, y ahora hay cada vez más casos en que los adversarios no eliminan los datos después de recibir el pago del rescate. En al menos algunas ocasiones, afiliados del ransomware Sodinokibi han exigido repetidamente dinero para eliminar archivos después de que los sistemas cifrados fueron restaurados. Pero este no es el único RaaS con afiliados «corruptos». Se vio a atacantes detrás de Netwalker y Mespinoza también no borrando archivos, ya que la información confidencial fue publicada en sus «sitios» debido a algunos «fallos técnicos» después de recibir un rescate. El grupo detrás del ransomware Conti intentó engañar a las víctimas enviándoles evidencia fabricada de eliminación de datos.
También deberíamos mencionar al pionero del robo de archivos, Maze RaaS y sus afiliados. Según el informe, ha habido casos donde los afiliados hicieron que los datos públicos estuvieran disponibles antes de informar a la víctima de su secuestro. Los operadores de Maze son conocidos por eliminar a los afiliados que violan sus reglas, y algunos de ellos, como en la situación con Sodinokibi, intentan volver a obtener el rescate de las empresas atacadas o intentan vender datos en la DarkNet. La situación se agrava por el hecho de que un gran número de soluciones de seguridad proporcionan detección de ransomware, y los atacantes no pueden cifrar un número suficiente de sistemas. Pero tienen todos los datos robados de dichos ataques medio fallidos, y están tratando de obtener al menos algún beneficio de cualquier manera.
Detección de ataques de ransomware y por qué es tan importante
Por supuesto, la detección de ataques de ransomware es crucial para la defensa cibernética continua, y puedes implementar esto utilizando las herramientas que tu organización ya tiene. A pesar de que un binario de ransomware único se compila para cada ataque en una organización, algunas soluciones antivirus podrán reconocerlo y neutralizarlo. Hay muchas reglas diferentes para soluciones SIEM y NTDR que pueden identificar anomalías que indican un ataque de ransomware. Pero es igualmente importante detectar una amenaza lo antes posible porque el cifrado de archivos ya es la etapa final de un ataque cuando los datos sensibles ya están en manos de ciberdelincuentes. Para penetrar en la red de la organización, las bandas de ransomware pueden forzar conexiones RDP, comprar credenciales comprometidas en los mercados de la DarkNet, utilizar el viejo phishing o explotar vulnerabilidades conocidas. Después de la penetración, los atacantes buscan obtener acceso a Active Directory (desde donde es más fácil infectar de manera centralizada todas las estaciones de trabajo) y respaldar los servidores para eliminar todas las copias de seguridad recopilando todos los datos sensibles que pueden encontrar en el camino. Hasta ahora, el grupo notorio por usar el ransomware Ryuk se considera el campeón. Han logrado cifrar sistemas en un plazo de cinco horas después de penetrar en la red.
Haz que la detección de ransomware sea más fácil
Desafortunadamente, no hay una solución que brinde 100% de protección contra tales ciberataques, pero es posible aumentar significativamente las capacidades de detección de ransomware de las plataformas de seguridad existentes en tu organización. Cada mes, los desarrolladores del Programa Threat Bounty y el Equipo de Contenido de SOC Prime publican en el Mercado de Detección de Amenazas docenas de elementos de contenido SOC que ayudan a detectar técnicas, herramientas y actividades sospechosas, lo que puede indicar una fase activa de un ataque de ransomware. Después de todo, es importante no solo detectar binarios de ransomware y su comportamiento, sino también una variedad de herramientas y exploits utilizados por ciberdelincuentes durante el reconocimiento y el movimiento lateral. Estas reglas tienen traducciones para múltiples plataformas, incluidas las soluciones SIEM y NTDR más populares. A partir de la redacción de este documento, el Mercado de Detección de Amenazas admite más de 20 plataformas, incluidas Azure Sentinel, Chronicle Security, Humio, Corelight, Sumo Logic, Elastic Stack, Carbon Black, CrowdStrike, Logpoint, RSA NetWitness, ArcSight, Splunk, QRadar, Apache Kafka ksqlDB, Microsoft Defender ATP y Sysmon. Continuamente estamos agregando nuevas plataformas e integraciones, así que si no puedes encontrar la plataforma que estás utilizando en esta lista, comunícate con support@socprime.com para priorizar el desarrollo de esta integración.
Puedes consultar el contenido disponible a través de este enlace, o encontrar reglas para herramientas específicas y variantes de ransomware en la página de contenido en el Mercado de Detección de Amenazas.
Recientemente hemos lanzado el módulo de Gestión Continua de Contenido (CCM) que admite Azure Sentinel y Elastic Stack para transmitir contenido SOC directamente a tu instancia SIEM y ayudarte a automatizar tus capacidades de detección de ransomware. Aquí puedes ver la grabación de la presentación en vivo de las ventajas del módulo CCM. El soporte para otras plataformas llegará en breve. Con el módulo CCM, puedes no solo automatizar la búsqueda e instalación del contenido SOC necesario, sino también actualizar oportunamente las reglas que ya has desplegado, y agregar estas actualizaciones a tu instancia SIEM sobre la marcha.
Para aprovechar el módulo CCM, puedes adquirirlo como una licencia separada o como parte del nivel de suscripción Universe sin costos adicionales. Aún tienes una opción más para probarlo gratis solicitando una Prueba Gratuita de 14 días. Regístrate en el Mercado de Detección de Amenazas para potenciar tus capacidades de detección y respuesta a amenazas.
