Mientras el ransomware sigue siendo el azote de los equipos de seguridad empresarial, el grupo de investigación de seguridad Talos Cisco Recientemente, Talos estudió grupos de ransomware para identificar técnicas comunes y brindar recomendaciones a los operadores. Talos examinó 14 grupos de ransomware entre 2023 y 2024 y estudió el volumen de ataques, su impacto en los clientes y el comportamiento atípico de los actores de amenazas. Su investigación incluye datos de los sitios de filtración públicos de los grupos de ransomware, la respuesta a incidentes de Talos IR, sus esfuerzos de monitoreo interno e informes de fuentes públicas.
Según su investigación, “los actores de ransomware más prolíficos priorizan obtener acceso inicial a las redes objetivo utilizando cuentas válidas (este es el mecanismo más común). El phishing para obtener credenciales a menudo precede a estos ataques, una tendencia observada en todas las intervenciones de respuesta a incidentes”. escribió el analista de Cisco Talos, James Nutland, en una publicación de blog“Durante el último año, muchos grupos han explotado cada vez más vulnerabilidades conocidas y de día cero en aplicaciones disponibles públicamente, lo que las convierte en un vector de acceso inicial muy común”.
Defensas de esquivar
Talos ha identificado algunos cambios importantes en el espacio del ransomware durante el año pasado, incluyendo “la aparición de varios grupos nuevos de ransomware, cada uno con objetivos, estructuras operativas y victimología únicos”. Esta diversificación destaca un cambio hacia actividades cibercriminales más específicas, con grupos como Hunters International, Cactus y Akira creando nichos específicos, centrándose en objetivos operativos distintos y elecciones estilísticas para diferenciarse”, escribió Nutland. “Los hallazgos clave indican que muchos de los grupos de ransomware más destacados están priorizando el establecimiento de acceso inicial y evadiendo defensas en sus cadenas de ataque, destacando estas fases como puntos focales estratégicos. Durante el año pasado, numerosos grupos han explotado vulnerabilidades críticas en aplicaciones, convirtiéndose en un vector de ataque predominante, que analizamos más adelante, lo que indica una mayor necesidad de controles de seguridad adecuados y gestión de parches”.
Para evitar ser detectados, los atacantes de ransomware utilizan “métodos de evasión de defensa”, como deshabilitar o modificar el software de seguridad, incluidos los programas antivirus y las soluciones de detección de endpoints. “También suelen intentar deshabilitar las funciones de seguridad en el sistema operativo para evitar la detección de la carga útil del ransomware”, dijo Nutland. “Los adversarios también suelen ofuscar el malware empaquetando y comprimiendo el código, que finalmente se descomprime en la memoria cuando se ejecuta. También modificarán el registro del sistema para deshabilitar las alertas de seguridad, configurar el software para que se ejecute al inicio o bloquear ciertas opciones de recuperación para los usuarios”.
Talos detectó varias tendencias adicionales de ransomware, entre ellas:
- **Exploits de MFA**: “Los atacantes pueden enviar correos electrónicos que contengan archivos adjuntos maliciosos o enlaces URL que ejecutarán código malicioso en el sistema de destino, implementarán malware y herramientas y explotarán la autenticación multifactor (MFA). Hay muchas formas en las que los atacantes pueden esperar eludir la MFA, ya sea debido a una mala implementación o porque ya tienen credenciales de cuenta válidas. En particular, hemos visto un número cada vez mayor de afiliados de ransomware que intentan explotar vulnerabilidades o configuraciones incorrectas en sistemas conectados a Internet, como en software heredado o sin parches”.
- **Búsqueda de acceso a largo plazo**: "... los atacantes buscarán establecer un acceso a largo plazo, lo que garantizará que sus operaciones tengan éxito incluso si se descubre y se soluciona su intrusión inicial. Los atacantes suelen utilizar mecanismos de persistencia de malware automatizados, como ejecutar AutoStart al iniciar el sistema o modificar las entradas del registro. También se pueden implementar herramientas de software de control remoto y la creación de cuentas locales, de dominio o en la nube para establecer un acceso secundario con credenciales".
- **Enumeración del entorno de destino**: “Después de establecer un acceso persistente, los atacantes intentarán enumerar el entorno de destino para comprender la estructura de la red, localizar recursos que puedan respaldar el ataque e identificar datos valiosos que puedan robarse como parte de una doble extorsión. Utilizando diversas utilidades locales y servicios legítimos, explotan los controles de acceso débiles y escalan privilegios al nivel de administrador para avanzar aún más en la cadena de ataque”.
- **Uso de herramientas de escáner de red**: "Hemos observado el uso popular de muchas herramientas de escáner de red junto con herramientas y utilidades del sistema operativo local (binarios que viven fuera de la tierra) como Certutil, Wevtutil, Net, Nltes y Netsh para integrarse con funciones típicas del sistema operativo, explotar aplicaciones y procesos confiables y ayudar en la distribución de malware".
- **Doble extorsión**: “Como parte del enfoque en un modelo de doble extorsión, muchos atacantes recopilan información sensible o confidencial para enviarla a un recurso controlado por un atacante externo o a través de un mecanismo C2. Las utilidades de compresión y cifrado de archivos WinRAR y 7-Zip se han utilizado para disfrazar archivos para la transferencia de datos no autorizada, mientras que los atacantes a menudo exfiltran archivos utilizando las herramientas de administración remota mencionadas anteriormente. Las operaciones RaaS más maduras han desarrollado y utilizado herramientas de exfiltración de datos personalizadas, que ofrecen herramientas personalizadas como Exbyte (BlackByte) y StealBit (LockBit) para facilitar el robo de datos”.
Recopilación de datos para preparar ataques
A principios de este año, Talos señaló que los actores que perpetran ataques de amenazas persistentes avanzadas (APT) no solo buscan obtener acceso a su red. Quieren colarse y quedarse para recopilar datos valiosos o prepararse para futuros ataques. Las amenazas posteriores a la vulneración están en aumento y se dirigen principalmente a la infraestructura de red antigua y a los dispositivos de borde que ya pasaron el final de su vida útil y pueden tener vulnerabilidades críticas sin parches. Algunas de las medidas que las organizaciones pueden tomar para combatir los ataques de ransomware incluyen la aplicación regular y constante de parches y actualizaciones a todos los sistemas y software para abordar las vulnerabilidades rápidamente y reducir el riesgo de explotación, según Nutland. “Implemente políticas de contraseñas sólidas que requieran contraseñas complejas y únicas para cada cuenta. Además, aplique la autenticación multifactor (MFA) para agregar una capa adicional de seguridad”, dijo Nutland.
Segmentar la red para aislar datos y sistemas sensibles, evitando el movimiento lateral en caso de una vulneración. Además de utilizar mecanismos de control de acceso a la red como 802.1X para autenticar los dispositivos antes de concederles acceso a la red, garantizando que solo se conecten los dispositivos autorizados, indicó el investigador. “Implementar un sistema de gestión de eventos e información de seguridad (SIEM) para monitorear y analizar continuamente los eventos de seguridad, además de implementar soluciones EDR/XDR en todos los clientes y servidores para proporcionar capacidades avanzadas de detección, investigación y respuesta ante amenazas”.
Otras noticias que te pueden interesar