Cisco Talos analizó los 14 principales grupos de ransomware entre 2023 y 2024 para exponer su cadena de ataque y destacar tácticas, técnicas y protocolos interesantes. La empresa de seguridad también expuso las vulnerabilidades más aprovechadas por los actores de ransomware.
Cadena de ataques de ransomware: lo que aprendieron los investigadores de Cisco Talos
Casi todos los actores de ransomware utilizan la misma cadena de ataque.
Primer paso para los actores del ransomware
El primer paso que debe dar el actor de la amenaza consiste en obtener acceso a la entidad atacada. Para lograr ese objetivo, los actores del ransomware utilizan diferentes técnicas; una de las técnicas más comunes es la ingeniería social de sus objetivos mediante el envío de correos electrónicos que contienen archivos o enlaces maliciosos que ejecutarán malware en el sistema atacado. El malware permitirá entonces al atacante implementar más herramientas y malware para alcanzar sus objetivos. La autenticación multifactor puede eludirse en este momento mediante diversas técnicas, ya sea por una mala implementación de MFA o por poseer credenciales válidas.
Talos también informó que un número cada vez mayor de afiliados de ransomware escanean los sistemas conectados a Internet en busca de vulnerabilidades o configuraciones incorrectas que podrían permitirles comprometer el sistema. El software heredado o sin parches es un riesgo particularmente alto.
Segundo paso para los actores del ransomware
El segundo paso es lograr persistencia en caso de que se descubra el vector inicial de ataque; esa persistencia en los sistemas se logra generalmente modificando las claves del registro de Windows o habilitando la ejecución automática del código malicioso al iniciar el sistema. También se pueden crear cuentas locales, de dominio o en la nube para lograr la persistencia.
Paso tres para los actores del ransomware
En el tercer paso, el actor de la amenaza escanea el entorno de la red para comprender mejor las partes internas de la infraestructura. En este paso se identifican los datos de valor que se pueden utilizar para pedir un rescate. Para acceder con éxito a todas las partes de la red, los atacantes suelen utilizar herramientas para elevar sus privilegios al nivel de administrador, además de utilizar herramientas que permiten el escaneo de la red. Las herramientas populares para estas tareas son Vivir de la tierra: binarios También conocidos como LOLbins, porque son archivos ejecutables nativos del sistema operativo y menos propensos a generar alertas.
Paso cuatro para los actores del ransomware
El atacante está listo para recopilar y robar datos confidenciales, que a menudo comprime con utilidades (como 7-Zip o WinRAR) antes de exfiltrar los datos a servidores controlados por el atacante mediante herramientas de administración y monitoreo remoto o más personalizadas, como StealBit o Exabyte, por ejemplo, creados por los grupos de ransomware LockBit y BlackByte.
Posible quinto paso para los actores del ransomware
Si el objetivo es el robo de datos o la extorsión, la operación ha terminado. Si el objetivo es cifrar datos, el atacante debe probar el ransomware en el entorno (es decir, comprobar los mecanismos de distribución y las comunicaciones entre el ransomware y el servidor C2) antes de ejecutarlo para cifrar la red y notificar a la víctima que ha sido violada y que debe pagar el rescate.
Las tres vulnerabilidades más abusadas
Cisco Talos informó que tres vulnerabilidades en aplicaciones públicas son comúnmente explotadas por actores de amenazas de ransomware.
- CVE-2020-1472 También conocido como Zerologon explota una falla en el protocolo remoto Netlogon que permite a los atacantes eludir la autenticación y cambiar las contraseñas de las computadoras dentro del Active Directory de un controlador de dominio. Este exploit es ampliamente utilizado por los actores de ransomware porque les permite obtener acceso a una red sin autenticación.
- CVE-2018-13379una vulnerabilidad de VPN SSL de Fortinet FortiOS, permite atravesar rutas que permiten a un atacante acceder a archivos del sistema mediante el envío de paquetes HTTP especialmente diseñados. De esta manera, se puede acceder a tokens de sesión VPN, que se pueden usar para obtener acceso no autenticado a la red.
- CVE-2023-0669una vulnerabilidad de GoAnywhere MFT, permite a los atacantes ejecutar código arbitrario en un servidor específico que utiliza el software GoAnywhere Managed File Transfer. Esta es la vulnerabilidad más reciente que Cisco Talos incluye en su informe.
Todas esas vulnerabilidades permiten a los actores de ransomware obtener acceso inicial y manipular los sistemas para ejecutar cargas más maliciosas, instalar persistencia o facilitar movimientos laterales dentro de redes comprometidas.
DESCARGAR: Beneficios y mejores prácticas de la ciberseguridad de TechRepublic Premium
TTP notables de 14 grupos de ransomware
Cisco Talos observó las TTP utilizadas por 14 de los grupos de ransomware más frecuentes en función de su volumen de ataque, impacto en los clientes y comportamiento atípico.
Uno de los hallazgos clave con respecto a las TTP indica que muchos de los grupos más destacados priorizan el establecimiento de un compromiso inicial y la evasión de defensas en sus cadenas de ataque.
Los actores de amenazas de ransomware suelen ocultar su código malicioso comprimiéndolo y modificando el registro del sistema para desactivar las alertas de seguridad en el punto final o el servidor. También pueden bloquear ciertas opciones de recuperación para los usuarios.
Los investigadores de Cisco Talos destacaron que la técnica de acceso a credenciales más frecuente es el volcado del contenido de la memoria LSASS para extraer contraseñas de texto simple, contraseñas en hash o tokens de autenticación almacenados en la memoria.
Otra tendencia en las actividades de C2 es el uso de herramientas disponibles comercialmente, como las aplicaciones RMM. Estas aplicaciones suelen ser de confianza para el entorno y permiten al atacante mimetizarse con el tráfico de la red corporativa.
Cómo mitigar la amenaza del ransomware
Para empezar, es obligatorio aplicar parches y actualizaciones a todos los sistemas y software; este mantenimiento constante es necesario para reducir el riesgo de ser comprometido por un exploit.
Se deben implementar políticas de contraseñas estrictas y autenticación de múltiples factores. Se deben establecer contraseñas complejas y únicas para cada usuario y se debe aplicar la autenticación de múltiples factores, de modo que un atacante que posea credenciales válidas no pueda acceder a la red objetivo.
Es necesario aplicar las mejores prácticas para reforzar todos los sistemas y entornos. Se deben desactivar los servicios y funciones innecesarios para reducir la superficie de ataque. Además, se debe reducir la exposición a Internet limitando al máximo la cantidad de servicios públicos.
Las redes deben segmentarse mediante VLAN o tecnologías similares. Los datos y sistemas confidenciales deben aislarse de otras redes para evitar movimientos laterales de un atacante.
Los puntos finales deben ser monitoreados por un sistema de gestión de eventos e información de seguridad, y se deben implementar herramientas de detección y respuesta de puntos finales o de detección y respuesta extendidas.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
GIPHY App Key not set. Please check settings