Es posible que se sorprenda al saber que casi todos los productos antivirus de renombre del mercado pueden detener de manera confiable a la mayoría de las familias de ransomware. De hecho, la mayoría de los autores de ransomware ni siquiera intenta ocultar su #ransomware mediante la ofuscación o el empaquetado, lo que hace que la detección sea bastante sencilla para las buenas soluciones de antivirus.

Entonces, ¿por qué tantas organizaciones siguen recurriendo al ransomware? El problema no se trata tanto de las capacidades de su software antivirus, ni se trata realmente de ransomware, se trata de lo que los atacantes pueden hacer después de comprometer su red.

En esta publicación de blog, le mostraremos exactamente cómo los atacantes de ransomware evaden sus soluciones de seguridad, qué sucede durante un ataque posterior al compromiso y qué puede hacer para proteger su red.

El cambio a la implementación posterior al compromiso

Históricamente, los grupos de ransomware han adoptado un enfoque de escopeta para los ataques. Utilizaron campañas de spam, sitios web pirateados y kits de explotación para entregar ransomware indiscriminadamente a tantos objetivos como fuera posible y exigieron un rescate relativamente modesto de tres dígitos para descifrar archivos. Era un juego de cantidad por encima de la calidad, y los atacantes no dedicaron mucho tiempo, si es que lo hicieron, a investigar las redes de las víctimas antes de implementar su ransomware.

Sin embargo, esto ha cambiado drásticamente en los últimos años a medida que los actores de amenazas se desplazaron hacia ataques posteriores al compromiso más selectivos y sofisticados. Si bien los métodos de distribución han permanecido prácticamente iguales (junto con el notable aumento de los ataques basados ​​en RDP), los actores maliciosos ahora dedican más tiempo a recopilar información sobre la red de destino antes de implementar cargas útiles de ransomware. El tiempo medio de permanencia del malware, definido como el período de tiempo entre el compromiso y la detección, es de 56 días, según un informe de la firma de inteligencia de amenazas FireEye.

El reconocimiento cuidadoso permite a los actores de amenazas maximizar el impacto de un ataque y el monto de rescate correspondiente. Pero, ¿qué están haciendo exactamente los atacantes durante estos 56 días?

• Estudiar la red comprometida para comprender mejor qué servidores y estaciones de trabajo atacar para maximizar el impacto.

• Instalar malware que permite a los atacantes comunicarse con las máquinas infectadas y controlarlas.

• Recolectar credenciales y escalar privilegios para moverse lateralmente a otras máquinas en la red.

• Exfiltrar datos corporativos, que se pueden utilizar para extorsionar a las víctimas o vender en el mercado negro.

• Averiguar qué mecanismos de respaldo existen y cómo garantizar que los respaldos se destruyan durante el ataque.

Es importante destacar que los ataques posteriores al compromiso también permiten a los actores de amenazas evaluar los sistemas de seguridad de un objetivo y deshabilitar los procesos de seguridad antes de que se entregue la carga útil del ransomware. Después de obtener privilegios de alto nivel, los atacantes pueden deshabilitar los procesos de seguridad a través del panel centralizado del producto de seguridad o simplemente incluir en la lista blanca los ejecutables del ransomware, lo que garantiza que la carga útil final del ransomware escape a la detección.

Los vectores de ataque más comunes para ransomware

El ransomware es un síntoma de un problema sistémico más grande, y debe verse como lo que realmente es: una forma actualmente popular de monetizar las redes comprometidas, tal como alguna vez lo fueron el cryptojacking, el robo de contraseñas y el fraude financiero.

Teniendo esto en cuenta, las organizaciones deberían centrarse en detectar y bloquear el punto inicial de compromiso en lugar de invertir en protección específica contra ransomware. Las organizaciones deben prestar especial atención a los principales vectores de ataque de ransomware, que incluyen:

• Credenciales débiles: las credenciales de inicio de sesión débiles son responsables de muchos incidentes de ransomware. Los actores de amenazas suelen utilizar herramientas de fuerza bruta para piratear conexiones de protocolo de escritorio remoto (RDP) mal protegidas y obtener acceso a la red interna de una organización.

• Vulnerabilidades: los atacantes se aprovechan con frecuencia de las vulnerabilidades conocidas del software para obtener acceso no autorizado a la red. El software que facilita el acceso remoto conlleva un nivel de riesgo particularmente alto.

• Error humano: los actores de amenazas suelen utilizar métodos de ingeniería social, como el spear phishing, para obtener acceso a las redes corporativas. Estos tipos de ataques suelen tener como objetivo engañar al usuario para que abra un adjunto malicioso integrado en una macro, que implementa malware que permite a los atacantes pasar a otras partes de la red después de la infección inicial.

Protección contra ataques de ransomware posteriores al compromiso

Las organizaciones no deben depender exclusivamente de productos especializados de protección contra ransomware porque, como hemos aprendido, el ransomware no es el problema principal. En cambio, las organizaciones deben enfocarse en prevenir el punto inicial de infección, utilizando prácticas de ciberseguridad probadas para minimizar el riesgo de compromiso.

A continuación se muestra una lista no exhaustiva de las mejores prácticas de ciberseguridad que pueden ayudar a proteger la red contra el riesgo y, por extensión, los ataques de ransomware posteriores al compromiso.

• Autenticación de múltiples factores (MFA): MFA requiere que los usuarios proporcionen más de una forma de autenticación para probar su identidad, lo que la convierte en una de las formas más efectivas de combatir las credenciales comprometidas. Idealmente, MFA debería implementarse siempre que sea posible, prestando especial atención a las cuentas de administrador, los sistemas conectados a Internet y los valiosos repositorios de datos. El acceso a la configuración del software antivirus también debe estar protegido con MFA, que se puede implementar fácilmente en plataformas de administración de antivirus basadas en la nube, como Emsisoft Cloud Console.

• Higiene de credenciales: para reducir el riesgo de que las credenciales se vean comprometidas, las organizaciones deben practicar una buena higiene de credenciales. Las contraseñas utilizadas en la red deben ser largas, únicas y aleatorias. Las organizaciones también deben tener sistemas para detectar y desafiar inicios de sesión riesgosos, como intentos de inicio de sesión provenientes de nuevas ubicaciones, dispositivos desconocidos o navegadores TOR.

• Administración de parches: los actores de amenazas con frecuencia aprovechan el software vulnerable para ejecutar de forma remota código malicioso o escalar privilegios después de comprometer una red. Todas las organizaciones deben tener una estrategia de administración de parches efectiva que garantice que las actualizaciones de seguridad se apliquen rápidamente (idealmente dentro de la primera semana del lanzamiento del parche).

• Fortalecimiento del sistema: el fortalecimiento del sistema es útil para reducir la superficie de ataque de un sistema y administrar posibles vulnerabilidades de seguridad. Dependiendo de las necesidades de la organización, puede ser posible bloquear o eliminar servicios superfluos y potencialmente explotables, como PowerShell, RDP, Windows Script Host, macros de Microsoft Office, etc.

• Protección contra malware de terminales: como se señaló anteriormente, la mayoría de las soluciones antivirus de terminales de buena reputación pueden detectar y detener de manera confiable la mayoría de las familias de ransomware. El software de protección contra malware debe instalarse y actualizarse periódicamente en todos los puntos finales de una organización.

• Principio de privilegio mínimo: El principio de privilegio mínimo estipula que cada usuario debe tener solo los privilegios de acceso necesarios para realizar su trabajo. La implementación de este principio en toda la red puede dificultar el movimiento lateral y evitar que los atacantes obtengan acceso a sistemas o datos críticos después de comprometer la cuenta o el dispositivo de un usuario.

• Segmentación de la red: la segmentación de la red permite una mejor seguridad y control de acceso, y puede ayudar a evitar que usuarios no autorizados accedan a recursos de red específicos. Si se rompe el perímetro, una buena segmentación de la red también puede detener la propagación del malware a través de la red y evitar que los atacantes pasen fácilmente de un sistema a otro.

Conclusión

El ransomware moderno generalmente se implementa después del compromiso, lo que permite a los actores de amenazas aprender más sobre el sistema objetivo, robar datos confidenciales, deshabilitar los procesos de seguridad y, en última instancia, maximizar el impacto de un ataque.

Reducir el riesgo de compromiso también reduce el riesgo de ransomware. Por lo tanto, la forma más eficiente y rentable de mitigar los ataques de ransomware es investigar y abordar las posibles vulnerabilidades de la red en lugar de invertir en protección específica de ransomware.