La nueva cara del ransomware… y averiguar cómo predecirlo…

La nueva investigación de Sophos analiza las últimas tendencias del ransomware y alerta a las empresas sobre las 5 señales de advertencia de un ataque inminente.

0
23

Sophos ha publicado hoy en su blog SophosLabs una investigación en varias partes que hace un balance del ransomware, analizando nuevas técnicas de antidetección típicas de los ataques WastedLocker que utilizan memory-mapped I/O para cifrar archivos. En un artículo integrado se exploran aspectos relacionados con el desarrollo de estrategias cada vez más avanzadas para eludir los sistemas de seguridad, y se ofrece un análisis realizado durante varios meses y relacionado con la forma en que los ciberdelincuentes han podido desarrollar y hacer evolucionar sus tácticas y procedimientos (TTPs) desde el ataque ransomware Snatch de diciembre de 2019.

En la serie de artículos desarrollados por los investigadores de Sophos, también se comparten las 5 señales de advertencia de que la empresa está a punto de ser atacada por el ransomware y se explica por qué siguen ocurriendo tales ataques.

«La verdad es que el software ransomware no está desapareciendo en absoluto: en Sophos hemos visto a bandas como los responsables de WastedLocker llevar sus técnicas de evasión al siguiente nivel y encontrar nuevas formas de eludir las herramientas de anti-ransomware basadas en el análisis del comportamiento. Otras acciones, como la filtración de datos y la desactivación de las copias de seguridad son también precursoras de este tipo de ataque. Cuanto más tiempo permanezcan los ciberdelincuentes dentro de la red, más daño pueden causar», dijo Chester Wisniewski, principal científico investigador de Sophos.

«Por todas estas razones, la inteligencia y la capacidad de respuesta humanas son componentes clave para detectar y neutralizar las señales preliminares de un ataque. Las empresas deben ser conscientes de las tendencias crecientes y deben reforzar su perímetro desactivando las herramientas de acceso remoto, como Remote Desktop Control, para evitar el acceso no deseado a la red, que es el denominador común de muchos de los ataques con programas ransomware examinados por Sophos».

La combinación de los cambios en el comportamiento de los ciberdelincuentes y los entornos de trabajo cada vez más híbridos, caracterizados por el creciente uso del trabajo a distancia debido a la emergencia de COVID19 , exige que las empresas den prioridad a la seguridad informática. También será esencial aplicar soluciones de seguridad predictivas, es decir, capaces de anticiparse a los adversarios en constante evolución, listas para aprovechar todas las oportunidades que ofrece un perímetro de la empresa en constante expansión con límites cada vez más difusos.

Las 5 señales de alarma que anticipan un ataque de rescate

1- Un escáner de red, en su mayoría en un servidor. Los atacantes suelen empezar por acceder a una computadora donde buscan información. Entonces querrán saber qué más hay en la red y a qué pueden acceder. La forma más fácil de determinar esto es el escaneo la red. Si se detecta un escáner de red, como el AngryIP o el Advanced Port Scanner, definitivamente debería interrogar al personal de administración.

2- Herramientas para desactivar el software antivirus. Una vez que los atacantes tienen derechos de administrador, a menudo intentan deshabilitar el software de seguridad utilizando aplicaciones creadas para facilitar la eliminación forzada de software, como Process Hacker, IOBit Uninstaller, GMER y PC Hunter. Este tipo de herramientas comerciales son legítimas, pero en las manos equivocadas los equipos de seguridad y los administradores deben preguntarse por qué aparecieron de repente.

3- La presencia de MimiKatz. Cualquier detección de MimiKatz en cualquier lugar debe ser analizada. Si nadie en un equipo de administración puede garantizar el uso de MimiKatz, esto es una bandera roja porque es una de las herramientas de hacking más utilizadas para robar credenciales. Los atacantes también utilizan el Microsoft Process Explorer, incluido en Windows Sysinternals, una herramienta legítima que puede descargar el archivo LSASS.exe de la memoria creando un archivo .dmp. Luego pueden llevarlo a su entorno y usar MimiKatz para extraer de forma segura nombres de usuario y contraseñas en su máquina de pruebas.

4- Patrones de comportamiento sospechosos. Cualquier detección que se produzca a la misma hora todos los días o de forma repetida suele ser un indicio de que algo más está sucediendo, incluso si se han detectado y eliminado archivos dañinos.

5- Ataques de prueba. Ocasionalmente, los atacantes realizan pequeños ataques de prueba en algunas computadoras para ver si el método de distribución y el software de rescate funcionan correctamente o si el software de seguridad puede detectarlos. Si las herramientas de seguridad detienen el ataque, los atacantes cambian sus tácticas y lo intentan de nuevo. En tales casos, a menudo es cuestión de horas antes de que se desenlace un ataque mucho más grande.

Consejos para una defensa efectiva
– Deshabilitar cualquier herramienta RDP para negar el acceso a la red a los atacantes. Si necesitas acceso RDP, impleméntalo a través de una conexión VPN.

– Desarrollar un sistema de seguridad de varios niveles para prevenir, proteger y detectar ciberataques que incluya la funcionalidad EDR y un equipo de respuesta gestionada que supervise la red 24 horas al día, 7 días a la semana.

– Conoce y vigila las 5 señales que anuncian el ataque para poder bloquearlo a tiempo.

CWI.it – Redacción CambioDigital On Line