Analizando la anatomía de los ataques de Ransomware

Analizando la anatomía de los ataques de Ransomware

El ransomware es un software malicioso que encripta datos valiosos y exige un rescate por su liberación, desde atacar a individuos y consumidores hasta paralizar organizaciones y gobiernos enteros. Con el paso de los años, los ataques de ransomware se han vuelto más sofisticados y devastadores: a medida que avanza la tecnología, también lo hacen las tácticas empleadas por los ciberdelincuentes.
El ataque a Colonial Pipeline en Estados Unidos en 2021 puso de relieve la vulnerabilidad de sistemas vitales. Provocó escasez de combustible y destacó el potencial del ransomware para alterar los servicios esenciales e incluso la seguridad nacional.
A medida que continúa evolucionando, plantea un desafío importante para gobiernos, organizaciones e individuos de todo el mundo. Para agravar aún más el problema, la ejecución de ataques de ransomware se ha vuelto cada vez más compleja mediante el uso de binarios y scripts (LoLBins)”. Los delincuentes dependen en gran medida de estas herramientas para explorar, comunicarse, moverse, exfiltrar e impactar las redes de sus víctimas.
La mejor manera de detectar y bloquear un ataque de ransomware es comprender este comportamiento malicioso y contar con controles de seguridad que preparen a una organización para el éxito.
Abordar esta creciente amenaza requiere una defensa multifacética y un enfoque profundo, que incluya inteligencia sobre amenazas, protección del correo electrónico, MFA, EDR y XDR para estar un paso adelante del panorama en constante evolución.

Principales familias de ransomware en el último año
Estos son cinco ejemplos de las principales amenazas responsables de realizar actividades destructivas en los Estados Unidos.

LockBit: en 2022 fue una de las variantes de ransomware más implementadas entodo el mundo. Conocido por el ataque contra el Hospital Francés CHSF. El grupoLockBit opera con un modelo de Ransomware como servicio (RaaS), aprovechandoafiliados y socios que realizan ataques utilizando herramientas de malware LockBit yse benefician de la infraestructura y experiencia del grupo. Debido a este modeloRaaS y a las diversas preferencias y operaciones de los afiliados, los TTP específicosutilizados en los ataques pueden variar, lo que hace más difícil defenderse de ellos.

ALPHV (BlackCat): el grupo de ransomware ALPHV, también llamado BlackCat, esun actor con actividad observada desde noviembre de 2021. Se dirigen principalmentea sectores como la atención médica, finanzas, manufactura y gobierno. Empleaalgoritmos de cifrado avanzados para encriptar archivos y exige rescates por suliberación. Sus tácticas incluyen campañas de phishing, kits de explotación yexplotación de servicios de escritorio remoto vulnerables para obtener acceso noautorizado y llevar a cabo sus ataques.

CL0P: El grupo CL0P ha estado operando desde aproximadamente febrero de 2019.Son conocidos por sus técnicas sofisticadas, incluida una estrategia de dobleextorsión. Se dirige a organizaciones de sectores como la atención sanitaria,educación, finanzas y el comercio minorista. Además de encriptar archivos, filtrandatos confidenciales para aumentar la presión sobre las víctimas para que paguen unrescate. Sus métodos de distribución suelen implicar correos electrónicos de phishingy se han asociado con ataques de ransomware de alto perfil.

PYSA (Mespinoza): el grupo PYSA, también conocido como Mespinoza, ha estadoactivo desde principios de 2020. Se dirige principalmente a sectores como la atenciónmédica, educación, gobierno y manufactura. Utiliza técnicas de encriptado sólidaspara bloquear archivos y, a menudo, filtra datos confidenciales antes del encriptado.Este enfoque de doble extorsión añade urgencia a las negociaciones de pago derescate. El grupo suele emplear tácticas como campañas de phishing y explotaciónde vulnerabilidades para obtener acceso no autorizado y llevar a cabo sus ataques.

BianLian: el grupo BianLian, atribuido al grupo de actores de amenazas WIZARDSPIDER, opera desde junio de 2022. Se dirige a organizaciones de sectores como laatención médica, energía, finanzas y tecnología. Emplea varias tácticas, incluidascampañas de phishing y explotación de vulnerabilidades, para obtener acceso noautorizado y cifrar archivos a cambio de un rescate. Sus ataques han resultado enpérdidas financieras sustanciales y perturbaciones dentro de las organizacionesobjetivo.

Fases de ataque
Un ataque de ransomware típico consta de siete fases en las que un atacante pasa de la investigación pasiva o activa de la red interna a la obtención de acceso a sistemas clave y la escalada de privilegios para comprometer aún más el objetivo, el robo de datos e información valiosos, la destrucción de los mecanismos de recuperación de datos y el cifrado de la información. datos para que la víctima ya no pueda acceder a ellos y, finalmente, extorsionar a la víctima por esos datos.

  1. Reconocimiento
    Los atacantes recopilarán información sobre el sistema u organización objetivo, incluida la identificación de vulnerabilidades potenciales, la investigación de empleados, la recopilación de datos disponibles públicamente a través de herramientas de Business Intelligence, la visualización de qué información está disponible en la web oscura y más. Esta fase ayuda a estos actores del ransomware a comprender la infraestructura y las debilidades de su objetivo, lo que les permite planificar vías y métodos para sus ataques.
  2. Acceso inicial
    La segunda fase después de la investigación inicial es aprovechar esa información para lograr un punto de apoyo inicial en el sistema objetivo. Esto se puede hacer a través de una variedad de medios, desde explotar una vulnerabilidad, usar credenciales de acceso y de inicio de sesión robadas, o incluso ejecutar un ataque de phishing exitoso contra los empleados. El objetivo es obtener acceso a la red interna para poder establecer una presencia y una puerta trasera en un dispositivo para prepararse para la siguiente fase del ataque.
  3. Escalamiento y movimiento lateral
    Después de obtener acceso inicial a la red, los actores de amenazas explorarán la red y los dispositivos conectados a su punto original de compromiso para ver si hay más vulnerabilidades que puedan explotar o credenciales que puedan aprovechar para obtener acceso a sistemas y recursos adicionales. Esta fase permite a los atacantes afianzarse en la red de una organización, profundizando su presencia y ampliando su nivel de control y acceso. Es a través de este proceso que los grupos de ransomware obtienen acceso a los datos que finalmente buscan robar.
  4. Recopilación y exfiltración de datos
    El siguiente paso es identificar, recopilar y extraer datos valiosos en todos los sistemas y dispositivos que ha comprometido. Estos datos podrían ser en forma de información confidencial, propiedad intelectual, detalles financieros o registros personales. Lo que importa es si el atacante cree que la organización pagaría para que le devuelvan los datos y si esos datos también podrían venderse para obtener mayores ganancias en la dark web.
    Los datos recopilados luego se filtran, a menudo a través de canales encubiertos, a servidores externos bajo el control del atacante. Esto permite conservar copias de los datos para pedir un rescate y/o venderlos.
  5. Degradación de los sistemas de recuperación
    Después de extraer todo lo de valor que puedan, el objetivo de los ataques de ransomware es atacar y comprometer los mecanismos de recuperación de datos y los sistemas de seguridad presentes dentro de la red. Deshabilitarán o alterarán los sistemas de respaldo, los sistemas de detección de intrusiones, los firewalls o cualquier otra medida de seguridad que pueda obstaculizar sus actividades o alertar a los defensores.
  6. Despliegue del ransomware, ejecución y encriptación
    En esta fase, cuando los atacantes comprueban que han extraído activos o datos valiosos de la red interna, implementan el ransomware y, finalmente, inician contacto con la víctima para afirmar su control sobre los sistemas comprometidos. Habiendo adquirido copias de archivos confidenciales y posiblemente deshabilitado los mecanismos de recuperación, avanzan a la etapa de implementación, donde se pueden explotar herramientas como Microsoft Group Policy Objects (GPO), Microsoft System Center Configuration Manager (SCCM) y herramientas de administración remota como Admin Arsenal. Al utilizar estas herramientas, los atacantes ejecutan su ransomware en sistemas comprometidos, cifrando de manera efectiva archivos y datos cruciales, volviéndolos inaccesibles para la organización víctima. Posteriormente, se presenta una demanda de rescate, estipulando un pago a cambio.
  7. Recuperación y retrospectiva
    La última fase ocurre después de que se ha producido el ataque de rescate, cuando la organización víctima se concentra en los esfuerzos de recuperación y se concentra exclusivamente en minimizar el daño y prevenir futuros ataques de ransomware. Esto incluye investigar la exposición de la red interna para intentar aislar los sistemas comprometidos, eliminar malware en los dispositivos infectados, restaurar sistemas a partir de copias de seguridad y fortalecer las medidas de seguridad. La organización víctima también debe realizar un análisis exhaustivo del ataque para identificar las vulnerabilidades que fueron explotadas y mejorar su postura general de seguridad.

Conclusión
Es evidente que en el panorama actual de ciberseguridad, depender únicamente de la protección tradicional de endpoints es insuficiente para proteger eficazmente a las organizaciones de las amenazas de ransomware en todas las fases de ataque.
Es imperativo complementarla con tecnologías como EDR, XDR y el uso extensivo de Threat Intelligence. La sinergia entre estas tecnologías fortalece las defensas y la postura de seguridad de una organización, aprovechando el análisis de comportamiento en tiempo real, la detección de anomalías y la inteligencia de amenazas para identificar rápidamente y detener al actor de la amenaza.
Al integrar XDR en los controles de seguridad, las organizaciones obtienen una plataforma unificada y centralizada que combina seguridad de endpoints, monitoreo de redes e inteligencia sobre amenazas. Este enfoque integral permite a los equipos de SecOps correlacionar y analizar eventos de seguridad en múltiples puntos finales y capas de red, descubriendo patrones de ataque sofisticados que pueden pasar desapercibidos para las defensas tradicionales.

 

Conoce por qué no cualquier acero puede usarse para el blindaje

Conoce por qué no cualquier acero puede usarse para el blindaje

El acero balístico es uno de los insumos opacos más importantes en el blindaje; sin duda y a través de la historia, se ha demostrado que es la mejor protección ante una amenaza, pero para elegir la mejor opción, el usuario debe evaluar el tipo de actividad que desempeña y cuáles son las amenazas potenciales y el nivel de riesgo que enfrenta.

Dicho material se compone de mineral de hierro y carbono, y para lograr que adquiera sus características finales, requiere aleaciones extra de níquel, cromo y molibdeno en mayores cantidades a las que integran un acero al carbono convencional, para proporcionarle sus propiedades características, que incluyen un endurecimiento y resistencia más altos; su grado de endurecimiento puede ser desde 440 hasta 650 Brinell1, el máximo que existe.

Por cierto, hay quien blinda con acero inoxidable, pero este no es balístico y no está certificado, aunque brinde cierta protección, pero sin mucha garantía. También hay aceros al manganeso, muy endurecidos, y que al recibir un impacto se endurecen aún más, pero si se busca proteger a niveles altos y contra armas de alto poder, el mejor es el acero balístico.

Distintos tipos de blindaje

Para niveles de bajo blindaje, el cual se aplica en autos convencionales y se basa en los tradicionales niveles NIJ IIIA, se utilizan aceros delgados de tres mm, con fibras o polímeros de bajo peso que detienen las municiones de bajo calibre, tipo 9 mm, Magnum 44 y 357. A partir de aquí, se va incrementando el nivel de blindaje, en el que se utilizan desde dos hasta diez mm, con 500 a 600 Brinell de dureza, de acuerdo a las necesidades del usuario.

Por ejemplo, para proteger contra arma larga, se necesita un acero de 500 Brinell de dureza y de ocho a diez mm de espesor; es más blindaje, pero el vehículo pesa más. Sin embargo, gracias al proceso de evolución de la industria del blindaje, ya se investiga para contar con aceros de alta tecnología y desarrollo, de menor peso y muy resistentes.

Para el sector militar, normalmente se blinda equipo táctico destinado a la protección contra armas tipo BR7 o calibre 50, los cuales requieren de un acero de 600 Brinell de dureza en 10 mm de espesor, de mayor peso, aunque el incremento no afecta debido a las dimensiones de los vehículos militares.

También existe un sistema de blindaje llamado “Espaciado” para equipos táctico-militares que requieren un nivel de protección calibre 50 perforante, en donde la punta de la munición incluye aleaciones especiales. Aquí se utiliza un acero de 600 Brinell de dureza en diez mm de espesor, un espacio de diez mm de aire y otras combinaciones como una o dos placas de seis mm. La primera placa frena el impacto inicial del proyectil y, la segunda lo detiene y evita que perfore la unidad.

Especificaciones en México

En términos generales, durante los últimos años se ha observado que en México, el 70 por ciento del blindaje automotriz se contrata para protección de arma corta; se trata del tipo NIJ IIIA, el nivel básico para un asalto urbano. El resto se destina para arma larga, que incluye “cuernos de chivo”, AR-15 o armas calibre 50, como lo requieren los vehículos de resguardo de valores, camionetas o SUVs.

Asimismo, cada vez más empresas y personas solicitan niveles de blindaje más altos, porque ya no sólo se protegen contra asaltos de autos, extorsión o secuestro, sino que ya se incluyen ilícitos como el robo de propiedades y empresas, por lo que ejecutivos de muy alto nivel buscan mayor protección.

Por eso es que, para garantizar su protección, los clientes deben cuidar mucho el grado de integración y de ingeniería que las empresas aplican en su automóvil, que originalmente no fue diseñado para blindarse, y deben exigir que se apliquen los lineamientos que garanticen la completa protección balística, particularmente en las zonas de unión de materiales.

Vale recordar entonces que la principal ventaja que ofrece el acero balístico, además de su resistencia, tenacidad y homogeneidad, es su bajo grado de carbono y manganeso para presentar una dureza uniforme. Pero igualmente, el usuario debe exigir que los materiales restantes se integren con base en la mejor solución de ingeniería para el blindaje, ya que cada producto cumple una función específica según el tipo y nivel de riesgo para la que fue fabricado.

Cuidados y mantenimiento del blindaje

No obstante, aunque el acero balístico al carbono es muy resistente y duradero, debe recibir el cuidado necesario y protegerse contra la oxidación. Igualmente, se tiene que vigilar la fecha de caducidad de los materiales de complemento, ya que influyen en el desempeño y grado de confiabilidad, y naturalmente en la protección y seguridad que se requiere durante un siniestro.

Finamente, se recomienda a los consumidores acudir con blindadores reconocidos y certificados, solicitar la carpeta de procedimiento de blindaje del vehículo, o del blindaje arquitectónico y/o del chaleco, así como sus garantías que le aseguren que estará recibiendo un vehículo o prenda con materiales de última generación y con garantía balística.