Campañas de ransomware recientes, como REvil y Ryuk, se han convertido en “ransomware operado por humanos”, por lo que el ataque es controlado por un operador en lugar de propagarse automáticamente. Dichos ataques a menudo se aprovechan de las conocidas debilidades de seguridad para obtener acceso.
Por ejemplo, se cree que varios incidentes recientes de ransomware comenzaron con configuraciones de protocolo de escritorio remoto (RDP) mal configuradas o vulnerables o prácticas deficientes de gestión de acceso e identidad (IAM). Las credenciales previamente comprometidas también se están utilizando para obtener acceso a los sistemas. Estos se pueden obtener a través de intermediarios de acceso inicial u otros volcados de datos de la web oscura.
Una vez dentro, el atacante se moverá por la red, identificará los datos valiosos y evaluará los controles de seguridad utilizados, a menudo deshabilitando las herramientas de protección de puntos finales y eliminando las copias de seguridad. Luego, cuando los datos han sido identificados, pueden cargarse y luego usarse para extorsión (doxxing), y se lanzará el ransomware para encriptar los datos.
El tiempo medio de permanencia entre la primera evidencia de actividad maliciosa y la implementación de ransomware es de cinco días. El objetivo es maximizar la probabilidad de que se pague el rescate, lo que a menudo significa que el ataque incluye amenazas para hacer públicos los datos si el rescate no se paga rápidamente.
Estar preparado
Sabemos que los malos actores están motivados por las ganancias financieras, y estamos empezando a ver evidencia de que están extrayendo los datos extraídos en busca de fuentes adicionales de ingresos potenciales.
Durante muchos años, la comunidad de seguridad cibernética ha estado diciendo que no se trata de “si” serás atacado, sino de “cuándo”. Siendo ese el caso, es importante examinar todas estas fases y asegurarse de que se asigna el tiempo y el esfuerzo adecuados para prepararse para defenderse y prevenir un incidente, al mismo tiempo que se realizan las actividades necesarias de detección, respuesta y recuperación.
Los líderes de seguridad de TI deben trabajar bajo el supuesto de que un ataque de ransomware tendrá éxito y asegurarse de que la organización esté preparada para detectarlo lo antes posible y recuperarse lo más rápido posible. La capacidad de detectar y contener rápidamente un ataque de ransomware tendrá el mayor impacto en cualquier interrupción o interrupción que se produzca. La primera y más común pregunta es: ¿se debe pagar el rescate? En última instancia, esto tiene que ser una decisión empresarial.
Debe hacerse a nivel ejecutivo o de directorio, con asesoría legal. Los organismos encargados de hacer cumplir la ley recomiendan no pagar, porque fomenta la actividad delictiva continua. En algunos casos, pagar el rescate puede considerarse ilegal porque financia actividades delictivas. Independientemente, la discusión debe ocurrir.
Hay varios ejemplos de organizaciones que trabajaron con las fuerzas del orden público durante un incidente de ransomware y tomaron la decisión de pagar porque era la mejor opción para su negocio. Una encuesta reciente encontró que el 46% de las empresas finalmente pagan el rescate.
Si el pago es una consideración, es importante establecer un proceso legal y de gobierno que incluya al director ejecutivo, la junta y el personal operativo clave. No se recomienda que las organizaciones negocien con los malos actores sin orientación. Esto normalmente lo hace un proveedor de servicios de negociación de terceros. Además de ser el negociador principal, también tienen la capacidad de facilitar los pagos y, en muchos casos, eliminar el requisito de que la empresa mantenga criptomonedas.
Copia de seguridad y recuperación
Un buen proceso y estrategia de respaldo es la principal línea de defensa para la recuperación de datos después del ransomware. Asegúrese de que la solución de copia de seguridad sea resistente a los ataques de ransomware y supervise continuamente el estado y la integridad de las copias de seguridad. En particular, la mayoría de los proveedores de respaldo brindan un mecanismo para crear copias secundarias inmutables de respaldos o instantáneas inmutables.
La recuperación va más allá de restaurar los datos. El ransomware bloqueará efectivamente una máquina con la nota de ransomware, y restaurar las máquinas a un buen estado conocido puede ser más complejo que restaurar los datos. Tener las herramientas y los procesos implementados para restaurar los endpoints a una imagen dorada puede acelerar el tiempo de recuperación.
Algunas organizaciones recurren a dispositivos USB para ubicaciones remotas y en el extranjero. Gartner ocasionalmente ve que los clientes ni siquiera intentan limpiar o restaurar una máquina. En cambio, el evento de ransomware se considera una razón para actualizar el hardware. Cualquiera que sea el proceso, debe simularse regularmente para descubrir las deficiencias.
Entrenamiento de usuario
La higiene de la seguridad es fundamental para protegerse contra el ransomware “operado por humanos”, y se requiere una visión holística de toda la organización. Educar constantemente a los usuarios sobre los tipos de ataques que se ven, con alertas periódicas y “boletines” de seguridad para reforzar la educación. Cree un conjunto simple de mensajes de seguridad que se repitan regularmente. Un usuario alerta no solo tendrá menos probabilidades de caer en la ingeniería social, sino que también puede actuar como una alerta temprana.
Asegúrese de que los usuarios reciban capacitación periódica sobre cómo identificar correos electrónicos maliciosos, en particular. Proporcione un mecanismo sencillo para denunciar correos electrónicos sospechosos y refuércelo con la confirmación de que el usuario ha hecho lo correcto. Considere las herramientas de respuesta y automatización de orquestación de seguridad (SOAR) centradas en el correo electrónico, como M-SOAR o detección y respuesta extendidas (XDR) que abarcan la seguridad del correo electrónico. Esto le ayudará a automatizar y mejorar la respuesta a los ataques por correo electrónico.
Inevitablemente, el ransomware puede superar sus defensas y las protecciones implementadas. Entonces se convierte en una cuestión de qué tan rápido puede detectar el incidente. Muchas de las herramientas descritas para la protección también proporcionarán los datos y la telemetría para la detección.
En particular, las herramientas de detección y respuesta de punto final (EDR) y detección y respuesta de red (NDR) recopilan indicadores de compromiso (IOC) y eventos que lo alertan sobre comportamientos anómalos que podrían indicar que un ataque “puede” estar en curso. EDR también puede ayudar a identificar “madrigueras”, donde el ataque permanece silencioso mientras se recopilan más cuentas y privilegios comprometidos.
Comprender, interpretar e investigar estos IOC y eventos tiende a requerir un mayor nivel de experiencia. Cada vez más, esto se compra como parte de una solución EDR o como una solución más amplia de respuesta de detección administrada (MDR). El uso de estos servicios puede ser beneficioso para las organizaciones que no cuentan con el personal o las habilidades para ejecutar sus propios centros de operaciones de seguridad (SOC). La protección de las organizaciones contra estos ataques va más allá de la protección de puntos finales y abarca muchas herramientas y controles de seguridad diferentes.
Una vez que se ha detectado un ataque de ransomware, es esencial minimizar el impacto. La técnica más común es el aislamiento. Hay una variedad de técnicas de aislamiento, y muchas herramientas EDR brindan funcionalidad de aislamiento en el dispositivo para permitir que los respondedores de incidentes aíslen las máquinas del resto de la red mientras permiten el acceso remoto para llevar a cabo la reparación.
El aislamiento basado en la red es más un instrumento contundente y requiere prohibir los dispositivos sospechosos en función de la dirección MAC a nivel de hardware (de ahí la importancia de una gestión de activos madura). Esto se aplica a los conmutadores de red locales, las redes privadas virtuales (VPN), el control de acceso a la red (NAC) y los puntos de acceso Wi-Fi de la organización. A menudo, esto se convierte en un proceso de sacar frenéticamente los cables de red. Sin embargo, esto puede ralentizar la fase de recuperación porque requiere acceso físico a los dispositivos para la reparación.
Protección adicional
Las puertas de enlace de correo electrónico seguras (SEG) y las puertas de enlace web seguras (SWG) pueden proporcionar capas adicionales de protección. Tecnologías como el aislamiento web también pueden limitar el impacto. Gartner también recomienda usar pruebas de penetración para encontrar agujeros en puertos RDP vulnerables para evitar el movimiento lateral a través de la red corporativa.
La gestión de eventos de información de seguridad (SIEM) y NDR pueden ayudar a proporcionar una detección temprana. Las herramientas de engaño también pueden ser efectivas. Esto puede ser tan simple como configurar cuentas de administrador falsas que nunca se usan, de modo que si se intenta usarlas, se puede enviar una alerta. Otros tipos de señuelos, como plataformas de engaño y trampas trampa, también se pueden implementar como parte de una estrategia de defensa contra ransomware. Las herramientas de monitoreo pueden identificar cuándo se activa el cifrado del almacenamiento o cuándo hay eventos significativos de exfiltración de datos.
El ransomware es diferente a cualquier otro incidente de seguridad, ya que pone a las organizaciones afectadas en un temporizador de cuenta regresiva. Cualquier retraso en el proceso de toma de decisiones introduce un riesgo adicional. Gartner recomienda que las organizaciones desarrollen un libro de jugadas de ransomware. Debe incluirse orientación sobre cómo tomar una decisión de “pagar/no pagar”. Los servicios de terceros, como las empresas de negociación de ransomware, también deben identificarse y la información de contacto necesaria debe estar disponible. Además, se necesita un rol de cronometrador para rastrear el tiempo de respuesta restante de acuerdo con la demanda de ransomware.
Este artículo se basa en un extracto del informe de Gartner “Cómo prepararse para los ataques de ransomware”. Paul Furtado es vicepresidente analista de Gartner. Furtado habló en el reciente Simposio de Gartner en Barcelona sobre la preparación para los cambios en los ataques de ransomware.