Ransomware Kill Chain

Parte 2: ¿Cómo tomar las medidas adecuadas a partir del modelo ransomware kill chain?

En la primera parte de nuestra serie ransomware kill chain, discutimos la anatomía y el riesgo asociado a un ataque de ransomware. Como empresa, adquiriste conocimientos acerca de una forma de ataque que difiere significativamente de un ataque cibernético convencional y que ha causado mucho revuelo en el pasado, especialmente en los medios de comunicación. Además de Wanna Cry, también hay que mencionar a NotPetya y Jaff.

En el caso de Wanna Cry, el daño fue muy pronunciado. Incluso Deutsche Bahn se vio afectado por el ataque de Wanna Cry. El Exploit External Blue SMB sirvió de puerta de enlace para el ataque. La vulnerabilidad se cerró con un parche de Microsoft y se puso a disposición para su descarga. Sin embargo, es notable que todavía hay empresas que no han implementado el parche para eliminar la vulnerabilidad.

Si estos fallos no se compensan a nivel empresarial, sigue existiendo el peligro de que se conviertan en víctimas potenciales de los ciberdelincuentes en el futuro. A continuación, te mostramos cómo la cadena de muerte de ransomware te permite tomar las contramedidas adecuadas contra esta forma de ataque.

Ransomware attack
Ransomware attack
Ransomware attack
Cyberthreat Report

Descarga Cyberthreat Report 2020

 

¿Qué tan bien protegido estás contra los ataques cibernéticos? Lee el último informe de Hornetsecurity sobre las amenazas cibernéticas.

Nivel 1: camuflaje y transmisión

Estrategia de ataque:

El malware suele ser integrado inteligentemente por el ciberdelincuente y el par de claves para el proceso de cifrado también está incrustado. Para iniciar la ejecución del ataque, el ciberdelincuente accede a una vulnerabilidad. Mientras que los ataques tradicionales de ransomware utilizan correos electrónicos de phishing para integrar archivos adjuntos infectados o colocar enlaces, otros tipos de ataques también pueden utilizar un sitio web o publicidad maliciosa como medio de transmisión. Una vez que el atacante ha abierto el accesorio, el cebo del atacante ha tenido éxito. Entonces nada se interpone en el camino para continuar el ataque.

Contramedidas de defensa:

Las empresas deben esforzarse cada vez más para comprender los peligros que plantea el ransomware. Para ello, la junta directiva necesita una cierta previsión que combine experiencia práctica y conocimiento.

La formación continua de los empleados en particular es uno de los puntos esenciales. Esto es especialmente cierto en el caso de que se establezca una defensa de ataque eficaz contra ransomware en la empresa.

Como consecuencia de la cantidad de los ataques de ransomware en las empresas, es necesario, ahora más que nunca, sensibilizar a los compañeros de trabajo sobre este problema.

En particular, un filtro de spam para el tráfico de correo electrónico puede ayudar a evitar la recepción de cualquier contenido malicioso. Sólo de esta manera puedes asegurar el acceso a tu sistema corporativo a largo plazo.

Para la prevención también es una buena idea utilizar sandbox, que está disponible usando el servicio Advanced Threat Protection (ATP).

Esta herramienta examina el comportamiento de los archivos adjuntos de correo electrónico cuando se abren y los filtra si son positivos. Lo que permite a los empleados de una empresa rastrear los ataques hasta el último detalle.

Nivel 2: Descarga y ejecución

Estrategia de ataque:

Las variedades de ransomware que son independientes de Wanna Cry sólo necesitan un clic para ejecutar un exploit. Además, la carga útil de malware se descarga a través de la red TOR y se instala en el sistema de destino. Al utilizar la vulnerabilidad EternalBlue en el protocolo SMB, es posible infiltrarse en el malware sin ser detectado. Al mismo tiempo, el ordenador afectado intenta alcanzar hasta 10 sistemas más a través del puerto SMB. Este comportamiento no es inusual para muchos clientes, por lo que los programas antivirus convencionales inicialmente no detectan la infección.

Contramedidas de defensa:

Cuando se ejecuta malware, se llevan a cabo procesos que se desvían de los procedimientos convencionales. Tan pronto como los usuarios de un sistema o de una red notan tales desviaciones, esto significa: ¡apagado! ¡Computadora fuera de la red! Sensibilizar a los empleados sobre los cambios en el sistema es esencial para la elaboración de informes sostenibles. Porque sobre esta base se pueden iniciar inmediatamente las medidas de emergencia adecuadas. Esto también incluye la actualización de los parches de seguridad. Lo mismo se aplica a la adquisición constante de conocimientos sobre las nuevas amenazas. Esto permite a las empresas reaccionar mucho antes ante el «peor de los casos».

Nivel 3: Encriptación

Estrategia de ataque:

Además, el proceso de encriptación con Wanna Cry no difiere sustancialmente del de otro ransomware. El objetivo es encriptar el sistema para que la persona afectada ya no pueda acceder a sus archivos. Por lo tanto, el sistema de la víctima del ataque es inutilizable. Cada archivo se cifra con una clave AES simétrica separada. Además, cada clave AES utilizada se cifra por separado con una clave pública RSA de 2048 bits. Este proceso hace imposible la recuperación de datos para el usuario.

Contramedidas de defensa:

El principal problema con los diferentes tipos de software de rescate es que no hay un Decryptor correspondiente para un gran número de ataques – como ha sido el caso durante mucho tiempo con Wanna Cry. Sólo un sistema de alerta temprana ofrece a las empresas la oportunidad de no impedir completamente el proceso de los diferentes sistemas de la red, sino de restringirlo significativamente. Un ejemplo es Advanced Threat Protection (ATP) te permite detectar virus polimórficos en correos electrónicos corporativos a tiempo. Esto puede reducir significativamente el «peor de los casos» en mayor medida.

Nivel 4: La propagación de WannaCry

Estrategia de ataque:

En comparación con otras formas, Wanna Cry utiliza sistemas no parcheados como vector de incidencia, que luego utilizan el exploit EternalBlue en el protocolo SMB para distribuir el ransomware a nivel de red. Se trata de un método de distribución adicional. Normalmente, el ransomware también se propaga localmente a través de los discos duros de red individuales y compartidos.

Contramedidas de defensa:

El control del tráfico de red -especialmente el intercambio de datos- puede ayudar eficazmente a limitar estos ataques. La atención se centra en la limitación de los derechos de acceso.

Esta es una estrategia de defensa central contra Wanna Cry. En particular, el acceso de las estaciones de trabajo a los datos sensibles de la empresa en la red puede restringirse mediante una gestión de acceso adecuada.

Los derechos de acceso deben diseñarse siempre de tal manera que sólo se liberen los ficheros que realmente se necesiten para las tareas diarias de los empleados.

Teniendo en cuenta estas posibilidades que tienen los responsables de seguridad o los administradores de red en una empresa, los ataques de rescate como los causados por Wanna Cry pueden ser limitados.

Nivel 5: Pago de rescate

Estrategia de ataque:

Como ya sabemos, se necesita una clave de descifrado única para recuperar el acceso a los datos o al sistema como empresa afectada. Esta clave sólo se ofrece a los afectados si el pago de un determinado importe de rescate se realiza en una moneda on-line (por ejemplo, por Bitcoin).

Contramedidas de defensa:

Como empresa afectada, es importante entender que el pago de un rescate no necesariamente conduce al acceso a los propios datos. Un ataque de rescate es inevitablemente una forma de chantaje. Por esta razón, nosotros, y también otros expertos en seguridad informática, desaconsejamos pagar un rescate. Porque cada pago asegura en última instancia que los perpetradores continúen estableciendo ransomware como una forma de ataque y sigan beneficiándose de ello.

Por lo tanto, un plan de emergencia existente para el peor de los casos es particularmente importante. Por supuesto, en tal situación puede ser relevante -aunque no recomendable- conocer en detalle cómo debe realizarse el pago de un empleado a través de un sistema de pago on-line en moneda Bitcoin. Después de todo, esto podría significar idealmente acceso a los datos. Sin embargo, la implementación de soluciones de backup en las empresas, que en última instancia evitan la pérdida de archivos hasta cierto punto, parece ser mucho más importante. Aquí, por supuesto, depende de los tiempos de copia de seguridad seleccionados, así como de los procedimientos de copia de seguridad. Por ejemplo, si la copia de seguridad se realiza en cinta magnética, Wanna Cry no de puede acceder a ella.

Últimas noticias de seguridad informática en nuestro blog

Partner Day Micronet LATAM 2021

Partner Day Micronet LATAM 2021

El pasado martes 9 de marzo tuvo lugar el evento online “Partner Day Hornetsecurity y Micronet LATAM” donde nuestro distribuidor en México, Tasmicro que forma parte del Grupo Micronet en América Latina, expuso las últimas tendencias de ciberataque durante el 2020.Se...

¿Ya conoces Advanced Threat Protection?

Descubre cómo puedes proteger tu negocio de Ransomware como Wanna Cry, Jaff o Bad Rabbit haciendo clic en el siguiente enlace.