#Ransomware #Mitigar #Ataque #ciberseguridad

Los MSP, a menudo encargados de proporcionar a los clientes servicios de seguridad de TI, se han encontrado en la mira a medida que los grupos de ransomware centran cada vez más sus ataques en el mercado de MSP, donde un solo incidente puede permitir que los actores de amenazas implementen ransomware en docenas de empresas. Para los MSP, esto plantea un desafío de seguridad significativo, pero también presenta una oportunidad. Dar prioridad a los protocolos de seguridad internos permite a los proveedores de servicios protegerse mejor a sí mismos y, por extensión, a sus clientes. También permite a los MSP conscientes de la seguridad diferenciarse de los competidores que pueden ser más vulnerables al compromiso. En este artículo, exploraremos por qué los grupos de ransomware se dirigen a los MSP y discutiremos las mejores prácticas para mitigar los ataques de ransomware.

¿Por qué los atacantes atacan a los MSP?

Los MSP son un objetivo lógico para los grupos de ransomware. En 2018, el Departamento de Seguridad Nacional emitió una alerta indicando que los actores de amenazas habían estado atacando a los MSP desde mayo de 2016. Desde que se emitió esa advertencia, docenas de MSP han caído en el ransomware, lo que ha encriptado decenas de miles de puntos finales y grupos de ransomware que generan millones de dólares. Lamentablemente, la tendencia no parece detenerse en el corto plazo. Pero, ¿por qué exactamente los MSP son objetivos tan populares?

Fácil acceso a objetivos

La infraestructura de MSP permite a los atacantes obtener acceso directo a los clientes. Al utilizar las credenciales legítimas de un MSP comprometido, los atacantes pueden moverse libremente entre un MSP y las redes compartidas de sus clientes, donde el ransomware se puede implementar con poco esfuerzo. Como señaló el Departamento de Seguridad Nacional: “Los MSP generalmente tienen acceso directo y sin restricciones a las redes de sus clientes, y pueden almacenar datos de clientes en su propia infraestructura interna. Al atender a un gran número de clientes, los MSP pueden lograr importantes economías de escala. Sin embargo, un compromiso en una parte de la red de un MSP puede extenderse globalmente, afectando a otros clientes e introduciendo riesgos ".

Apalancamiento

La mayoría de los ataques de ransomware están motivados financieramente. Si bien a las compañías generalmente se les desaconseja pagar el rescate, los MSP a menudo están más inclinados a pagar porque no hacerlo resultará en un tiempo de inactividad significativo para toda su base de clientes y puede causar daños irreparables a la reputación del MSP. Dado que el MSP norteamericano promedio tiene 52 clientes activos, según un informe de SolarWinds y The 2112 Group, el impacto financiero colectivo de un ataque de ransomware en un MSP puede ser enorme.

Falta de recursos

Los MSP a menudo son mucho más pequeños que las empresas a las que sirven; de hecho, el 65 por ciento de los MSP tienen menos de 10 empleados a tiempo completo, según el informe anterior. Los MSP más pequeños generalmente operan con recursos limitados, pueden carecer de personal de seguridad dedicado y, a menudo, están tan ocupados que simplemente no tienen tiempo para mantener prácticas estrictas de seguridad cibernética. En consecuencia, los MSP pueden ser objetivos más fáciles que las grandes corporaciones, al tiempo que brindan acceso a los atacantes a potencialmente cientos o miles de puntos finales.

Las mayores amenazas de ransomware para MSP

Ryuk

Descubierto por primera vez en agosto de 2018, Ryuk era infame por apuntar a grandes empresas y hacer demandas de rescate que, en ese momento, eran más de 10 veces el promedio. Ryuk generalmente se deja caer en sistemas que han sido comprometidos por Emotet y / o Trickbot, dos troyanos que generalmente se distribuyen a través de correos electrónicos de phishing. Ryuk ha afectado a varios MSP, incluidos Data Resolution, CorVel y CloudJumper.

Sodinokibi

Sodinokibi, a veces referido como REvil, se descubrió por primera vez en abril de 2019. Los actores de amenazas generalmente usan Sodinokibi para atacar MSP explotando vulnerabilidades RDP, robando credenciales privilegiadas y aprovechando el software de administración y monitoreo remoto (RMM) comúnmente utilizado para implementar ransomware a los clientes de un MSP 'puntos finales. Muchos MSP se han visto afectados por Sodinokibi, incluidas Complete Technology Solutions, PerCSoft y Synoptek.

Mejores prácticas para mitigar el ransomware

Cumplir con los fundamentos probados de ciberseguridad puede ser muy útil para asegurar los puntos finales internos y de los clientes. Las siguientes recomendaciones no deben considerarse integrales, sino más bien una colección de mejores prácticas para mitigar el ransomware.

1. Herramientas seguras de acceso remoto

Una de las cosas más efectivas que puede hacer un MSP para mitigar el ransomware es garantizar que las herramientas de acceso remoto sean lo más seguras posible. Esto podría involucrar:

• Hacer cumplir MFA: la autenticación multifactor (MFA) es una forma simple y muy efectiva de evitar que los atacantes usen credenciales comprometidas para iniciar sesión en herramientas de acceso remoto. Habilite y aplique MFA siempre que sea posible, sin excepciones.

• Implementación de restricciones de IP: considere el uso de restricciones de IP para permitir que los usuarios conectados a la red local del MSP solo tengan acceso a herramientas de administración remota.

• Actualización del software RMM: los proveedores lanzan regularmente actualizaciones de software para corregir vulnerabilidades conocidas en su software. Si bien los parches pueden ser inconvenientes a veces, siempre deben considerarse una prioridad.

• Secure RDP: Remote Desktop Protocol (RDP) es la herramienta de administración remota nativa de Windows, que ha sido explotada repetidamente en ataques de ransomware. Esta guía de UC Berkeley es un buen punto de partida para los MSP que desean obtener más información sobre cómo asegurar RDP, mientras que esta publicación de blog ofrece algunos consejos para prevenir ataques de fuerza bruta RDP.

2. Restrinja el acceso a la red

Los ataques de ransomware en MSP con frecuencia implican el uso de credenciales robadas. Los MSP deben operar bajo el supuesto de que sus cuentas se verán comprometidas en algún momento y tomar medidas para restringir el acceso a la red en consecuencia.

• Adopte el principio de privilegio mínimo: los empleados solo deben tener acceso a los recursos mínimos necesarios para realizar su trabajo. Limite los derechos de acceso y audite regularmente los permisos para garantizar que los privilegios estén en línea con los requisitos actuales. El personal no debe tener derechos de administrador local a menos que sea específicamente necesario para que ellos hagan su trabajo.

• Practique una buena higiene de autenticación: el personal debe comprender los fundamentos de la creación de contraseñas seguras y evitar compartir o reciclar las credenciales de inicio de sesión. Considere usar un administrador de contraseñas y habilite MFA cuando sea posible.

• Evite el movimiento lateral: cuando un atacante obtiene acceso a un activo dentro de una red, generalmente intentará obtener una posición más sólida al extenderse lateralmente a través de la red. Las listas blancas de aplicaciones, MFA, segmentación de red y buena gestión de contraseñas pueden ser herramientas útiles para prevenir el movimiento lateral. Consulte esta guía del Centro Nacional de Seguridad Cibernética del Reino Unido para obtener más información.

3. Desactive PowerShell si no se usa

PowerShell es el marco integrado de Microsoft para la automatización de tareas y la gestión de la configuración. Si bien tiene muchos usos legítimos, los actores de amenazas a menudo usan PowerShell para implementar ransomware, ya que puede ejecutar macros, proporcionar acceso completo a muchas funciones del sistema de Windows y ejecutar cargas útiles desde la memoria. Los MSP deben desactivar PowerShell si no es crítico para las operaciones. Los MSP que deben usar PowerShell deben monitorear de cerca toda la actividad de PowerShell para poder identificar y detener el comportamiento sospechoso lo más rápido posible.

4. Endpoints seguros

Si bien el ransomware se puede distribuir de muchas maneras diferentes, la mayoría de los ataques aún se originan a la antigua usanza: un usuario es engañado por un correo electrónico malicioso. Los MSP pueden proteger a sus empleados con el uso de:

• Seguridad del correo electrónico: los métodos de autenticación de correo electrónico como DMARC, SPF y DKIM son muy útiles para verificar dominios de remitentes, identificar falsificaciones y prevenir ataques de compromiso de correo electrónico de negocios.

• Filtrado web: las herramientas de seguridad como Emsisoft Browser Security evitan que los usuarios accedan a sitios web maliciosos y evitan los ataques de phishing.

• Seguridad de punto final: el software antivirus confiable es crucial para prevenir el ransomware y otro malware que puede usarse para implementar el ransomware. Para la protección de malware interno y del cliente, los MSP pueden considerar Emsisoft Business Security, que cuenta con Cloud Console, una plataforma basada en la web que permite una gestión de seguridad de punto final remota eficiente. Emsisoft Business Security es la única solución de seguridad de punto final que verifica el uso de contraseñas filtradas recicladas, que se utilizan con frecuencia en ataques MSP y ataques de ransomware.

5. Seleccione el software con cuidado

Los MSP se basan en una amplia gama de herramientas para satisfacer las diversas necesidades de sus clientes. Dado que cada una de estas herramientas es un posible punto de entrada para los atacantes, es importante que los MSP evalúen las prácticas de seguridad de los proveedores antes de comprometerse con una solución de software.

6. Crear copias de seguridad fuera del sitio

Un sistema de respaldo efectivo es una parte crítica de cualquier estrategia de mitigación de ransomware. Para los MSP, es importante recordar que si un atacante ha comprometido su software RMM, probablemente también tenga acceso a las copias de seguridad del MSP. Si un atacante tiene la oportunidad de eliminar copias de seguridad y obtener un apalancamiento adicional, lo hará. Además, algunas variedades de ransomware están diseñadas para cifrar las copias de seguridad almacenadas tanto localmente como en la nube. La forma más simple y efectiva de crear copias de seguridad a prueba de ransomware es adoptar la regla 3-2-1, que estipula que un MSP debe:

• Guarde al menos tres copias de sus archivos.

• Almacene las copias en al menos dos tipos diferentes de medios de almacenamiento.

• Almacene al menos una copia fuera del sitio. Esta copia debe estar aislada de la red, accesible para casi nadie y preferiblemente almacenada fuera de línea.

Consulte esta guía completa para obtener más información sobre cómo las empresas pueden proteger las copias de seguridad del ransomware.

8. Desarrolle y pruebe un plan de respuesta a incidentes.

Desafortunadamente, un MSP puede hacer todo bien y aún experimentar un incidente de ransomware. Cuando ocurre un incidente, es esencial que los MSP tengan un plan que les permita responder de manera rápida y efectiva.

• Comunicación: establezca responsabilidades para que tanto el personal como los líderes de la empresa sepan qué hacer en caso de un incidente de ransomware. Defina quién necesita ser contactado y en qué orden. Esto puede incluir personal interno, clientes, agentes de la ley, abogados, relaciones públicas y más.

• Aislar: establezca una estrategia para aislar o deshabilitar los dispositivos afectados. Eliminar las máquinas afectadas de la red limita la propagación del ransomware.

• Especialistas en IR: hay una serie de empresas de respuesta a incidentes (IR) que tienen como objetivo ayudar a las víctimas de ransomware a restaurar las operaciones, lo que a menudo implica negociar con actores de amenazas para recuperar datos cifrados. Los MSP deben evaluar las opciones de IR y tener un número de contacto a mano en caso de que se requieran sus servicios. Aquí en Emsisoft, creamos soluciones de descifrado personalizadas para ciertas cepas de ransomware para las empresas afectadas.

• Análisis: Definir políticas para preservar evidencia que pueda ayudar con la investigación. Las políticas deben incluir orientación sobre cómo recopilar tanta información como sea posible sobre el incidente, incluidos archivos de registro, imágenes del sistema, muestras de los archivos cifrados y la nota de rescate (si corresponde) que pueden ser útiles para el análisis. Se debe prohibir al personal que elimine los archivos cifrados hasta que se le indique.

• Remediación: defina cómo se eliminará el malware (si es posible) y cómo se restaurarán los sistemas mediante copias de seguridad. Los MSP también deberán considerar invertir recursos para corregir la vulnerabilidad que fue explotada para reducir el riesgo de un incidente futuro.

Consulte el informe del Departamento de Seguridad Nacional para obtener más información sobre el desarrollo de un plan de IR de ransomware, y consulte nuestra publicación de blog para conocer las consideraciones al decidir si pagar o no un rescate.

Conclusión

Para los MSP, la seguridad está inextricablemente entrelazada con la de sus clientes. Si un MSP se ve comprometido, es muy probable que sus clientes lo sigan, lo que lleva a un tiempo de inactividad enormemente disruptivo y demandas de rescate masivas. Las empresas confían mucho en los MSP: es importante que los MSP respeten esta confianza haciendo todo lo posible para reducir el riesgo de un incidente de ransomware. Los MSP que adoptan un enfoque proactivo de la seguridad pueden obtener una ventaja competitiva a medida que la ciberseguridad se convierte en una consideración comercial cada vez más importante en todas las industrias.