CONTACTO
Analizando la anatomía de los ataques de Ransomware

Analizando la anatomía de los ataques de Ransomware

por | Sep 28, 2023 | Trellix

El ransomware es un software malicioso que encripta datos valiosos y exige un rescate por su liberación, desde atacar a individuos y consumidores hasta paralizar organizaciones y gobiernos enteros. Con el paso de los años, los ataques de ransomware se han vuelto más sofisticados y devastadores: a medida que avanza la tecnología, también lo hacen las tácticas empleadas por los ciberdelincuentes.
El ataque a Colonial Pipeline en Estados Unidos en 2021 puso de relieve la vulnerabilidad de sistemas vitales. Provocó escasez de combustible y destacó el potencial del ransomware para alterar los servicios esenciales e incluso la seguridad nacional.
A medida que continúa evolucionando, plantea un desafío importante para gobiernos, organizaciones e individuos de todo el mundo. Para agravar aún más el problema, la ejecución de ataques de ransomware se ha vuelto cada vez más compleja mediante el uso de binarios y scripts (LoLBins)”. Los delincuentes dependen en gran medida de estas herramientas para explorar, comunicarse, moverse, exfiltrar e impactar las redes de sus víctimas.
La mejor manera de detectar y bloquear un ataque de ransomware es comprender este comportamiento malicioso y contar con controles de seguridad que preparen a una organización para el éxito.
Abordar esta creciente amenaza requiere una defensa multifacética y un enfoque profundo, que incluya inteligencia sobre amenazas, protección del correo electrónico, MFA, EDR y XDR para estar un paso adelante del panorama en constante evolución.

Principales familias de ransomware en el último año
Estos son cinco ejemplos de las principales amenazas responsables de realizar actividades destructivas en los Estados Unidos.

LockBit: en 2022 fue una de las variantes de ransomware más implementadas entodo el mundo. Conocido por el ataque contra el Hospital Francés CHSF. El grupoLockBit opera con un modelo de Ransomware como servicio (RaaS), aprovechandoafiliados y socios que realizan ataques utilizando herramientas de malware LockBit yse benefician de la infraestructura y experiencia del grupo. Debido a este modeloRaaS y a las diversas preferencias y operaciones de los afiliados, los TTP específicosutilizados en los ataques pueden variar, lo que hace más difícil defenderse de ellos.

ALPHV (BlackCat): el grupo de ransomware ALPHV, también llamado BlackCat, esun actor con actividad observada desde noviembre de 2021. Se dirigen principalmentea sectores como la atención médica, finanzas, manufactura y gobierno. Empleaalgoritmos de cifrado avanzados para encriptar archivos y exige rescates por suliberación. Sus tácticas incluyen campañas de phishing, kits de explotación yexplotación de servicios de escritorio remoto vulnerables para obtener acceso noautorizado y llevar a cabo sus ataques.

CL0P: El grupo CL0P ha estado operando desde aproximadamente febrero de 2019.Son conocidos por sus técnicas sofisticadas, incluida una estrategia de dobleextorsión. Se dirige a organizaciones de sectores como la atención sanitaria,educación, finanzas y el comercio minorista. Además de encriptar archivos, filtrandatos confidenciales para aumentar la presión sobre las víctimas para que paguen unrescate. Sus métodos de distribución suelen implicar correos electrónicos de phishingy se han asociado con ataques de ransomware de alto perfil.

PYSA (Mespinoza): el grupo PYSA, también conocido como Mespinoza, ha estadoactivo desde principios de 2020. Se dirige principalmente a sectores como la atenciónmédica, educación, gobierno y manufactura. Utiliza técnicas de encriptado sólidaspara bloquear archivos y, a menudo, filtra datos confidenciales antes del encriptado.Este enfoque de doble extorsión añade urgencia a las negociaciones de pago derescate. El grupo suele emplear tácticas como campañas de phishing y explotaciónde vulnerabilidades para obtener acceso no autorizado y llevar a cabo sus ataques.

BianLian: el grupo BianLian, atribuido al grupo de actores de amenazas WIZARDSPIDER, opera desde junio de 2022. Se dirige a organizaciones de sectores como laatención médica, energía, finanzas y tecnología. Emplea varias tácticas, incluidascampañas de phishing y explotación de vulnerabilidades, para obtener acceso noautorizado y cifrar archivos a cambio de un rescate. Sus ataques han resultado enpérdidas financieras sustanciales y perturbaciones dentro de las organizacionesobjetivo.

Fases de ataque
Un ataque de ransomware típico consta de siete fases en las que un atacante pasa de la investigación pasiva o activa de la red interna a la obtención de acceso a sistemas clave y la escalada de privilegios para comprometer aún más el objetivo, el robo de datos e información valiosos, la destrucción de los mecanismos de recuperación de datos y el cifrado de la información. datos para que la víctima ya no pueda acceder a ellos y, finalmente, extorsionar a la víctima por esos datos.

  1. Reconocimiento
    Los atacantes recopilarán información sobre el sistema u organización objetivo, incluida la identificación de vulnerabilidades potenciales, la investigación de empleados, la recopilación de datos disponibles públicamente a través de herramientas de Business Intelligence, la visualización de qué información está disponible en la web oscura y más. Esta fase ayuda a estos actores del ransomware a comprender la infraestructura y las debilidades de su objetivo, lo que les permite planificar vías y métodos para sus ataques.
  2. Acceso inicial
    La segunda fase después de la investigación inicial es aprovechar esa información para lograr un punto de apoyo inicial en el sistema objetivo. Esto se puede hacer a través de una variedad de medios, desde explotar una vulnerabilidad, usar credenciales de acceso y de inicio de sesión robadas, o incluso ejecutar un ataque de phishing exitoso contra los empleados. El objetivo es obtener acceso a la red interna para poder establecer una presencia y una puerta trasera en un dispositivo para prepararse para la siguiente fase del ataque.
  3. Escalamiento y movimiento lateral
    Después de obtener acceso inicial a la red, los actores de amenazas explorarán la red y los dispositivos conectados a su punto original de compromiso para ver si hay más vulnerabilidades que puedan explotar o credenciales que puedan aprovechar para obtener acceso a sistemas y recursos adicionales. Esta fase permite a los atacantes afianzarse en la red de una organización, profundizando su presencia y ampliando su nivel de control y acceso. Es a través de este proceso que los grupos de ransomware obtienen acceso a los datos que finalmente buscan robar.
  4. Recopilación y exfiltración de datos
    El siguiente paso es identificar, recopilar y extraer datos valiosos en todos los sistemas y dispositivos que ha comprometido. Estos datos podrían ser en forma de información confidencial, propiedad intelectual, detalles financieros o registros personales. Lo que importa es si el atacante cree que la organización pagaría para que le devuelvan los datos y si esos datos también podrían venderse para obtener mayores ganancias en la dark web.
    Los datos recopilados luego se filtran, a menudo a través de canales encubiertos, a servidores externos bajo el control del atacante. Esto permite conservar copias de los datos para pedir un rescate y/o venderlos.
  5. Degradación de los sistemas de recuperación
    Después de extraer todo lo de valor que puedan, el objetivo de los ataques de ransomware es atacar y comprometer los mecanismos de recuperación de datos y los sistemas de seguridad presentes dentro de la red. Deshabilitarán o alterarán los sistemas de respaldo, los sistemas de detección de intrusiones, los firewalls o cualquier otra medida de seguridad que pueda obstaculizar sus actividades o alertar a los defensores.
  6. Despliegue del ransomware, ejecución y encriptación
    En esta fase, cuando los atacantes comprueban que han extraído activos o datos valiosos de la red interna, implementan el ransomware y, finalmente, inician contacto con la víctima para afirmar su control sobre los sistemas comprometidos. Habiendo adquirido copias de archivos confidenciales y posiblemente deshabilitado los mecanismos de recuperación, avanzan a la etapa de implementación, donde se pueden explotar herramientas como Microsoft Group Policy Objects (GPO), Microsoft System Center Configuration Manager (SCCM) y herramientas de administración remota como Admin Arsenal. Al utilizar estas herramientas, los atacantes ejecutan su ransomware en sistemas comprometidos, cifrando de manera efectiva archivos y datos cruciales, volviéndolos inaccesibles para la organización víctima. Posteriormente, se presenta una demanda de rescate, estipulando un pago a cambio.
  7. Recuperación y retrospectiva
    La última fase ocurre después de que se ha producido el ataque de rescate, cuando la organización víctima se concentra en los esfuerzos de recuperación y se concentra exclusivamente en minimizar el daño y prevenir futuros ataques de ransomware. Esto incluye investigar la exposición de la red interna para intentar aislar los sistemas comprometidos, eliminar malware en los dispositivos infectados, restaurar sistemas a partir de copias de seguridad y fortalecer las medidas de seguridad. La organización víctima también debe realizar un análisis exhaustivo del ataque para identificar las vulnerabilidades que fueron explotadas y mejorar su postura general de seguridad.

Conclusión
Es evidente que en el panorama actual de ciberseguridad, depender únicamente de la protección tradicional de endpoints es insuficiente para proteger eficazmente a las organizaciones de las amenazas de ransomware en todas las fases de ataque.
Es imperativo complementarla con tecnologías como EDR, XDR y el uso extensivo de Threat Intelligence. La sinergia entre estas tecnologías fortalece las defensas y la postura de seguridad de una organización, aprovechando el análisis de comportamiento en tiempo real, la detección de anomalías y la inteligencia de amenazas para identificar rápidamente y detener al actor de la amenaza.
Al integrar XDR en los controles de seguridad, las organizaciones obtienen una plataforma unificada y centralizada que combina seguridad de endpoints, monitoreo de redes e inteligencia sobre amenazas. Este enfoque integral permite a los equipos de SecOps correlacionar y analizar eventos de seguridad en múltiples puntos finales y capas de red, descubriendo patrones de ataque sofisticados que pueden pasar desapercibidos para las defensas tradicionales.

 

Descargar PDF
Ciberdelincuencia: un costo anual superior a los diez billones de dólares

Ciberdelincuencia: un costo anual superior a los diez billones de dólares

por | Sep 20, 2023 | RX

  • Por staff de redacción Infosecurity Mexico

En el mundo actual, el cibercrimen representa una carga económica que supera los diez millones de dólares anuales, un fenómeno que demanda atención constante y estratégica. EL creciente números de datos almacenados a nivel global, estimado en más de doscientos zettabytes1para el 2025, plantea un desafío monumental en términos de seguridad cibernética. Estos datos incluyen información alojada en infraestructuras de TI públicas y privadas, en servicios públicos, centros de datos en la nube, en dispositivos informáticos personales como PC, portátiles, tabletas y teléfonos inteligentes, además de su aplicación en el Internet de las Cosas (IoT).
Actualmente, cerca de 5 mil millones de personas acceden y almacenan datos en dispositivos digitales y en la nube. Se estima que, para el año 2029, el noventa por ciento de la población mundial, es decir, siete mil quinientos millones de personas, estará en línea y generará datos. En 2020, ya había tres mil quinientos millones de usuarios de teléfonos inteligentes que utilizaban internet. Este crecimiento se acelerará con la tecnología 5G, esperando que alcance los dos mil seiscientos millones de suscriptores para el 2025.
Este ascenso vertiginoso en el uso y almacenamiento de datos conlleva riesgos significativos en materia de ciberseguridad. Los ciberataques pueden perturbar, dañar e incluso destruir empresas por ataques a su infraestructura de TI. Simplemente, el costo medio de una filtración de datos es superior a los 4 millones de dólares2; el precio incluye descubrir y responder a la infracción, el tiempo de inactividad, la pérdida de ingresos y el daño a la reputación de la empresa y marca.
Una encuesta3 revela que casi el treinta y uno por ciento de cuatro mil trecientos treinta y dos líderes empresariales a nivel global consideran la ciberseguridad como una de las principales prioridades de inversión para sus organizaciones en el 2023, superando a la gestión de datos, análisis de datos (25%), IA y ML4 (20%), por citar algunos.

Algunos ciberataques pueden ser aún más costosos. Los ataques de ransomware han exigido rescates de hasta 40 millones de dólares5, y los ataques al correo electrónico empresarial (BEC) han costado hasta 47 millones de dólares a las víctimas en una sola sesión6.
Los daños no se limitan a pérdidas financieras, ya que los ataques que comprometen la información de identificación personal (PII) de los clientes pueden resultar en la pérdida de confianza de los clientes, sanciones regulatorias y acciones legales. Se estima7, que el cibercrimen costará a la economía mundial 10.5 billones de dólares al año desde 2022 hasta 2025.
Para mitigar estos riesgos, los expertos en seguridad de la información recomiendan las siguientes medidas:

1. Cifrar los datos: cualquier dato que pueda causar daño financiero o a la reputación de una organización, si fuera expuesto o manipulado, debe cifrarse. Esto significa convertir un archivo de texto legible en un texto incomprensible, es decir, cifrado; implica modificar datos legibles de forma aleatoria. Requiere una clave criptográfica y un conjunto de valores matemáticos acordados por el emisor y el destinatario.
2. Realizar una copia de seguridad y recuperación: la mayoría de los ciberintrusos pasan desapercibidos durante lapsos prolongados, por ello las organizaciones deben realizar copias de seguridad de manera que les permitan restaurar los datos a su estado original antes de un ataque, sea que tengan sus datos en la nube, en un centro de datos o en otros dispositivos.
3. Establecer una política transparente: las organizaciones no sólo deben cumplir con leyes como la LFPDPPP o la LGPDPPSO8, sino que tienen que transmitirlo de manera proactiva a los consumidores y usuarios, que cada vez conocen más acerca de cómo se almacenan y administran sus datos. Por ello las organizaciones deben demostrar abiertamente su compromiso.
4. Contemplar una póliza de seguro: el ransomware podría estar cubierto por pólizas de ciberseguro, que normalmente reembolsan los daños por pérdida de datos, incluso si una organización es (involuntariamente) negligente o imperfecta en sus prácticas de respaldo. Desde luego, cada institución aseguradora solicita requisitos diferentes, y habría que evaluarlos.
5. Contratar expertos: se debe contar con especialistas disponibles contractualmente en todo momento (ya sea que pertenezcan a la propia planta laboral, contratistas o a través de proveedores), con una profunda experiencia en la materia en todos los aspectos de la seguridad de los datos (legal, técnico, operativo y de recuperación ante desastres).
La ciberseguridad es esencial tanto en la nube como en los dispositivos personales, ya que un pequeño descuido puede tener consecuencias graves para una organización. Consultar con expertos, como los que se presentarán en Infosecurity Mexico, es una oportunidad única para conocer las últimas tendencias y mejores prácticas de protección.
8 https://

Descargar PDF
Tanium previene de la extorsión doble y triple de ransomware

Tanium previene de la extorsión doble y triple de ransomware

por | Ene 26, 2023 | Tanium

Ciudad de México. 26 de enero de 2023.- Tanium, proveedor líder de la industria de administración convergente de terminales (XEM) de la industria, señala que tras ser golpeada por un ataque de ransomware, en muchos casos, los delincuentes aún tratan de extorsionar a una empresa no obstante haya pagado el rescate. Las extorsiones dobles e incluso triples son cada vez más comunes y los ciberdelincuentes ahora exigen pagos adicionales para evitar que se filtre la información privada capturada en sus ataques. 

En los ataques de ransomware tradicionales, los atacantes secuestran y cifran datos valiosos para obligar a las organizaciones a pagar un rescate a cambio de la restauración segura de los datos y la funcionalidad de la red. Los CISO (Chief Information Security Officer) han respondido adoptando protecciones cibernéticas más sólidas, como la creación de copias de seguridad externas seguras y la segmentación de sus redes, no obstante los atacantes han evolucionado rápidamente para superar estos métodos de administración. 

Una extorsión, dos extorsiones, tres

Durante el último año, los atacantes se dieron cuenta del valor que las organizaciones otorgan a no divulgar su información confidencial públicamente: el impacto en la marca y la reputación a veces puede ser tan dañino como el bloqueo, tener archivos y sistemas expuestos. Aprovechando lo anterior, los atacantes comenzaron a agregar la amenaza de filtrar datos confidenciales como seguimiento de ataques de ransomware exitosos o incluso fallidos cuando las organizaciones podían usar copias de seguridad para restaurar sus sistemas.

Con la doble extorsión siendo tan exitosa, los atacantes no se detuvieron ahí y, en casos de triple extorsión, los atacantes amenazan con divulgar datos sobre socios y clientes intermedios para extraer pagos de rescate adicionales, lo que podría poner a la organización inicial en riesgo de demandas o multas.

“La única defensa real contra la doble y triple extorsión es asegurarse de que los atacantes no tengan acceso a la información más confidencial. La principal prioridad debe ser categorizar los datos críticos para que, cuando los ciberdelincuentes superen las primeras líneas de defensa, no puedan robar los elementos más valiosos. Este proceso de supervisión implica restringir el acceso a los datos y a las herramientas que interactúan directamente con ellos”, externó Miguel Llerena, vicepresidente para Latinoamérica de Tanium.

Los efectos paralizantes de un ataque de ransomware pueden ser devastadores para cualquier negocio. Pero ahora hay mucho más en juego debido a la superficie de ataque ampliada que amenaza el ecosistema extendido de socios, clientes e inversores de una empresa. Como resultado, todas las organizaciones deben desarrollar un plan de acción para defender sus datos y protegerse no solo de los ataques iniciales de ransomware, sino también de las maniobras dobles y triples de ransomware”, concluyó Llerena.

Tanium señala que cuantos menos puntos de acceso, más fácil será proteger los datos y hace algunas recomendaciones:

  • Saber dónde se ubican los datos y adoptar soluciones con alertas en tiempo real que muestren cuándo se guardan, transfieren o almacenan datos confidenciales de forma insegura. Cuando se enfocan los esfuerzos en proteger la información más crítica, ayuda a limitar las alertas y se determina exactamente quién y qué interactúa con esos datos.
  • Mantenerse informados de los riesgos dinámicos asociados con los nuevos dispositivos que ingresan a una red cuando los empleados se incorporan o cuando los dispositivos asociados con exempleados deben tener acceso o se deben eliminar las credenciales.
  • Establecer una comprensión básica del «comportamiento normal» en el entorno para detectar cuando algo adverso o anormal está en proceso.

Si aún con lo anterior se experimenta una violación de seguridad, hay que asegurarse de limitar las posibilidades de los atacantes de acceder a datos privados:

  • Cambiar de forma controlada las contraseñas usadas que puedan estar asociadas con sistemas comprometidos.

      • Verificar que la información de la infracción provenga de una fuente legítima, ya que los correos electrónicos comprometidos pueden parecer oficiales  cuando en realidad son fraudulentos.

     • Garantizar que los esfuerzos de recuperación vayan más allá de «borrar y volver a generar imágenes» para incluir verificaciones exhaustivas que encuentren signos residuales que estuvieran comprometidas.

      • Identificar los puntos de acceso iniciales que fueron violados para evitar la reintroducción del vector de ataque durante los esfuerzos de recuperación.

«Los efectos paralizantes de un ataque de ransomware pueden ser devastadores para cualquier negocio. Pero ahora hay mucho más en juego debido a la superficie de ataque ampliada que amenaza el ecosistema extendido de socios, clientes e inversores de una empresa. Como resultado, todas las organizaciones deben desarrollar un plan de acción para defender sus datos y protegerse no solo de los ataques iniciales de ransomware, sino también de las maniobras dobles y triples de ransomware”, concluyó Llerena.

Descargar PDF