En noviembre de 2019, alcanzamos un triste nuevo hito en la evolución del ransomware.

La banda cibernética detrás de Maze, el mismo grupo responsable del reciente ataque de ransomware en Pensacola, Florida, siguió adelante con sus amenazas y publicó los datos de su víctima, Allied Universal, después de que la empresa de personal de seguridad no cumplió con la fecha límite de pago del rescate.

Esta es la primera vez que un grupo de ransomware ha robado y publicado una cantidad significativa de datos de sus víctimas. Si la estrategia demuestra ser más rentable que los ataques tradicionales de solo cifrado, es probable que la exfiltración se convierta en un precursor cada vez más común del cifrado.

En este artículo, discutiremos cómo funciona la exfiltración de datos y qué pueden hacer las organizaciones para proteger sus datos y la información confidencial de sus clientes.

¿Cómo funciona la exfiltración de datos?

La exfiltración de datos es el término utilizado para describir la transferencia no autorizada de datos desde una computadora.

Ganar entrada

Para extraer datos, los atacantes primero necesitan obtener acceso a la red objetivo. Algunos de los vectores de ataque más comunes incluyen:

• Phishing: los atacantes envían correos electrónicos cuidadosamente elaborados a una organización o persona específica o personas dentro de una organización. Los atacantes pueden pretender ser alguien que se considera "por encima de toda sospecha", por ejemplo, el jefe del destinatario, un cliente importante o un socio de gran prestigio. Los atacantes usan un texto evocador para alentar al destinatario a abrir un archivo adjunto de correo electrónico malicioso o hacer clic en un enlace en el cuerpo del correo electrónico, lo que puede alentar al usuario a instalar software malicioso o dirigirlo a un sitio web comprometido que descarga automáticamente software malicioso. El malware puede instalar una puerta trasera, lo que permite a los atacantes robar datos directamente, o puede permitir la instalación de malware adicional como keyloggers o rootkits, lo que podría ayudar con la futura filtración.

• Protocolo de escritorio remoto pirateado (RDP): desarrollado por Microsoft, RDP es un protocolo de comunicaciones que permite a los usuarios acceder y administrar una computadora de forma remota a través de una conexión de red. Los atacantes utilizan herramientas de escaneo ampliamente accesibles para escanear Internet en busca de máquinas con rangos de puertos IP y TCP que usan los servidores RDP (generalmente el puerto 3389). Después de identificar una máquina adecuada, los atacantes intentan obtener acceso a la máquina utilizando herramientas de fuerza bruta, que intentan iniciar sesión automáticamente una y otra vez utilizando millones de combinaciones de caracteres para adivinar las credenciales de inicio de sesión de la máquina. Una vez que la herramienta descifra las credenciales de inicio de sesión, los atacantes pueden hacer cualquier cosa dentro de los límites de privilegios de la cuenta pirateada.

• MSP y RMM: los atacantes suelen apuntar al software de administración y monitoreo remoto utilizado por los proveedores de servicios administrados. Con un solo ataque exitoso a un MSP, los atacantes pueden obtener acceso a toda la base de clientes del MSP, lo que ejerce una enorme presión sobre la víctima para que pague el rescate.

Exfiltración

Una vez que un atacante se ha afianzado en una red, la extracción de datos es un proceso relativamente sencillo.

Las estrategias de exfiltración pueden variar significativamente en términos de alcance. Los atacantes pueden robar archivos indiscriminadamente y procesar los datos más tarde; alternativamente, la exfiltración puede ser un proceso cuidadoso y selectivo en el que los atacantes extraen solo archivos de alto valor.

• El enfoque sutil: Dependiendo de la naturaleza del ataque, los actores de la amenaza pueden intentar evitar la detección de sistemas de monitoreo de red al ofuscar los datos que están robando. Dado que muchos sistemas de prevención de pérdida de datos dependen de mecanismos simples de coincidencia de patrones para detectar la exfiltración, incluso las técnicas de cifrado simples pueden ser suficientes para escapar de la detección. Los canales comunes de exfiltración encubierta incluyen SSL / TLS, así como la tunelización de protocolos y la esteganografía.

• El enfoque rápido y furioso: Alternativamente, los atacantes pueden favorecer la velocidad sobre la sutileza y usar canales de gran ancho de banda para robar archivos lo más rápido posible. FTP, HTTP y HTTPS son los canales de exfiltración más utilizados, ya que el tráfico filtrado a través de estas conexiones a menudo es difícil de distinguir del tráfico legítimo. Con menos frecuencia, se pueden usar aplicaciones de correo electrónico y mensajería instantánea. Estos canales se monitorean fácilmente, pero también tienden a estar menos restringidos que otras conexiones porque se usan con tanta frecuencia para actividades comerciales legítimas.

Exfiltración de ransomware

Esperamos que la exfiltración se convierta en un componente cada vez más común en los ataques de ransomware. El método exacto utilizado por los grupos de ransomware varía. Por ejemplo, el ransomware en sí mismo puede no necesitar tener capacidades de exfiltración. Dependiendo del método utilizado para obtener acceso a la red, la exfiltración puede ser tan simple como que los atacantes copien y peguen los archivos sobre RDP. Alternativamente, los atacantes pueden ejecutar un script que carga una unidad completa en una ubicación remota, o pueden ser más selectivos y escribir una aplicación simple que busca ciertos archivos en ubicaciones específicas y los carga en un archivo ZIP en un servidor remoto. En el caso del ataque Maze, se cree que los operadores extrajeron datos usando PowerShell para conectarse a un servidor FTP remoto, y todos los archivos afectados se copiaron automáticamente en el servidor de los atacantes.

Para los grupos de ransomware, la exfiltración de datos es un juego algo arriesgado. Robar archivos lleva tiempo, ancho de banda y espacio en el servidor. Si el objetivo nota que algo anda mal, es posible que pueda tomar medidas para interrumpir el ataque antes de que los actores de la amenaza puedan completar tanto la exfiltración como el cifrado. Esto le quita influencia a los actores de la amenaza y podría hacer que la operación, que puede haber sido semanas, meses o incluso años en la realización, sea un fracaso total.

Técnicas de mitigación de exfiltración de datos

Prevenir el punto inicial de compromiso es favorable, por supuesto, pero las organizaciones deben operar bajo el supuesto de que su perímetro se violará en algún momento y planificar en consecuencia.

Dadas las necesidades extremadamente diversas de las organizaciones y la amplia gama de métodos técnicos utilizados para filtrar datos, es imposible proporcionar una lista de verificación definitiva para proteger la red de una empresa.

Detección

• Filtros de contenido: cuanto más rápido pueda detectar una organización una posible exfiltración, más posibilidades tiene de interrumpir el ataque. Las organizaciones deberían implementar filtros de contenido para el tráfico saliente en canales de exfiltración conocidos, como correo electrónico, HTTP y FTP. Ciertos filtros se pueden configurar para controlar la transferencia de datos confidenciales en función de patrones de datos personalizables. Cuando los datos que se ajustan al patrón de datos se transfieren desde la red, el filtro marca el evento y notifica a un administrador. Algunos filtros se pueden configurar para interrumpir automáticamente la transferencia. Los filtros de contenido se pueden eludir al ofuscar los datos transferidos para que no coincidan con ningún patrón conocido.

• Marca de agua: la marca de agua es una herramienta infrautilizada que puede ser útil para detectar la exfiltración e identificar posibles debilidades de la infraestructura. Una marca de agua digital es un marcador que está incrustado de forma encubierta en un archivo. El marcador contiene una firma que puede notificar a un producto de inspección profunda de paquetes en tiempo real cuando el archivo se extrae. Las marcas de agua persisten incluso si el archivo se ha copiado y pegado, y son particularmente útiles para identificar fugas internas en la cadena de manejo de datos de una organización.

• Información de seguridad y gestión de eventos: El software de información de seguridad y gestión de eventos puede ser muy útil para recopilar datos de eventos generados por la infraestructura de seguridad de una organización y cotejarlos en una plataforma centralizada. Combina resultados de múltiples fuentes y proporciona a los equipos de TI una visión holística de la red.

Mitigación

Definir respuestas: muchos de los sistemas de detección de exfiltración mencionados en la sección anterior son capaces no solo de identificar actividades sospechosas sino también de responder a ellas. Dependiendo de la situación, las respuestas pueden ser mucho más sofisticadas que simplemente permitir o denegar el acceso. Por ejemplo, un sistema de detección de intrusos (IDS) activado podría reemplazar la transferencia de datos solicitada con datos señuelo, protegiendo los archivos reales y brindando a los administradores la oportunidad de recopilar información sobre la amenaza.

• Principio de privilegio mínimo: toda organización debe hacer cumplir el principio de privilegio mínimo, que estipula que cada usuario y aplicación debe tener solo los privilegios mínimos necesarios para realizar su función. Minimizar los privilegios reduce el volumen y el valor de los datos que potencialmente pueden ser robados si se compromete un punto final. Forrester Research estima que el 80 por ciento de las violaciones de seguridad involucran credenciales privilegiadas.

• Filtrado de egresos: si bien muchas organizaciones están preocupadas por los ataques externos en el perímetro de su red, relativamente pocas se centran en los datos que salen de su red. El filtrado de egreso puede ser una forma efectiva de restringir el tráfico saliente. Con el filtrado de salida, una conexión de salida debe cumplir con ciertas políticas establecidas por el administrador antes de que se permita. Las organizaciones conscientes de la seguridad pueden querer implementar una política de denegación predeterminada, que bloquea todo el tráfico saliente (incluidos el correo electrónico, los navegadores web, la mensajería instantánea y más) a menos que lo permita la política. La implementación de una política de denegación predeterminada puede requerir mucho trabajo y mucho tiempo, ya que hay muchos tipos de tráfico saliente que una empresa necesita para funcionar, cada uno de los cuales requiere su propia política de filtro de salida.

• Aplicación de políticas de seguridad: las políticas de seguridad estrictas no tienen sentido si no se observan y se aplican. La aplicación manual no es factible o efectiva, por lo que las organizaciones deben invertir en un software de aplicación de políticas que garantice que los usuarios se adhieran a las políticas de seguridad. Muchas soluciones permiten a las organizaciones definir una política de seguridad, verificar el cumplimiento y, en algunos escenarios, resolver problemas automáticamente.

Conclusión

A medida que los grupos de ransomware buscan obtener una mayor influencia sobre sus víctimas, es probable que veamos más eventos de exfiltración en las próximas semanas y meses. Las estrategias de exfiltración son variadas y diversas; para las organizaciones, esto significa que no existe una solución única para prevenir el robo de datos. Identificar actividades sospechosas en canales abiertos y encubiertos, definir y hacer cumplir políticas de seguridad e invertir en sistemas que puedan responder de manera inteligente a las amenazas detectadas puede ser útil para reducir el riesgo de filtración de datos.