Seguimos viendo cómo las organizaciones se ven afectadas, de alguna manera
enfermiza, por el rasnowmare. Creo que algunos de mis amigos en la industria y
yo estamos aburridos con las respuestas tan dramáticas de «sofisticado»,
«avanzado» e «imprevisible», porque la mayoría de las veces las cadenas de
destrucción simplemente no son así.
Ransomware 101
No se trata sólo de que sus datos se cifrarán, sino que probablemente serán
exfiltrados y vendidos.
Es probable que le vendan el acceso, le vendan los datos y le extorsionen. El
modelo de negocio de Ransomware se está adaptando a las respuestas de los
defensores. Incluso si puedes restaurar desde la copia de seguridad, es
probable que intenten extorsionarte.
Esto trae un punto clave en esta ecuación: la mejor posición es NO ser
vulnerados (pwn3d) para empezar. Puede parecer una tontería decirlo,
pero cuando miramos las cadenas de infección, es posible ver el mundo un poco
desde la perspectiva de la prevención proactiva y no desde el post-incidente.
Acceso inicial
Las rutas de acceso inicial típicas del ransomware incluyen:
Diccionarios: ataques a servicios de acceso remoto expuestos (a menudo
RDP expuesto en TCP 3389 o puertos cercanos) que no están configurados de
forma segura. A menudo tienen NLA deshabilitado y muchas veces no hay bloqueos
de cuentas, MFA o monitoreo. El ransomware RDP,
según Coveware, representa aproximadamente el 50% de todos los vectores de acceso inicial
históricamente, aunque esta cantidad disminuyó en el cuarto trimestre de 2020
con preferencia al phishing:
Las vulnerabilidades de ejecución remota de código (RCE) de los servicios
expuestos son otro vector importante. Existe una variedad de CVE relacionados
con esto, pero incluyen:
Servidor de intercambio
VPN de pulso
Vmware
Citrix
Varios productos VPN y Firewall
Estos vectores tiende a reducirse en gran medida a favor del phishing, porque
el mismo puede conducir al acceso remoto por parte de los delincuentes de
varias maneras. Las partes clave aquí pueden incluir:
Recolección de credenciales que conduce al acceso remoto
Ejecución de malware en el dispositivo de destino.
Ingeniería social para brindar a los delincuentes acceso remoto asistido por
el usuario (por ejemplo, utilizando software como TeamViewer o asistencia
remota de Windows)
Entonces, ¿qué podemos hacer aquí para identificar, prevenir y detectar?
Bueno, mira la lista de verificación:
Lista de verificación de prevención de acceso inicial.
Auditar la superficie de ataque frente a Internet.
Auditar la configuración de los servicios de acceso remoto.
Garantizar que los servicios de seguridad perimetral estén actualizados y
funcionando en una configuración reforzada y segura.
Implementar controles de autenticación sólidos.
Implementar buenas políticas y controles de contraseñas.
Bloqueos y deshabilitación de cuentas estén habilitados.
Realizar auditorías de contraseñas.
Asegurar que los registros de eventos se envíen y supervisen.
Implementar la autenticación multifactor.
Agregue capas de protección, por ejemplo una VPN con MFA (esto no es una
solución mágica)
Habilitar servicios de seguridad de correo (por ejemplo, antiphishing)..
Deshabilitar las macros en los dispositivos de punto final.
Ejecutar servicios antimalware/EDR.
Habilitar el registro de operaciones de usuarios normales y privilegiados.
Implementar configuraciones reforzadas.
Implementar listas de aplicaciones/binarios permitidas (por ejemplo,
Applocker)
Deshabilitar las extensiones de archivos no seguras (por ejemplo, MSHTA,
VBS, WSH, JS, etc.)
Deshabilitar Powershell, WMI, etc.
Bloquear extensiones riesgosas (por ejemplo, ISO, VHD/VHDX, etc).
Restringir el tráfico de salida riesgoso.
Aprovechar servicios de DNS protector (por ejemplo, Cloudflare o similar).
Filtrar el tráfico para permitir solo los tipos de archivos y sitios que se
esperaría recibir.
Bloquear sitios web que se sabe que son maliciosos.
Inspeccionar activamente el contenido.
Usar firmas para bloquear código malicioso conocido.
Deshabilitar RDP si no es necesario.
Habilitar MFA en todos los puntos de acceso remoto a la red y aplicar listas
de permisos de IP mediante firewalls de hardware.
Utilizar el modelo de privilegios mínimos para proporcionar acceso remoto:
utilizar cuentas con privilegios bajos para autenticarse y proporcione un
proceso auditado para permitir que un usuario escale sus privilegios dentro
de la sesión remota cuando sea necesario.
Parchear las vulnerabilidades conocidas en todos los dispositivos de acceso
remoto y externos de inmediato (consultar la guía sobre
cómo administrar las vulnerabilidades dentro de su organización) y seguir las instrucciones de solución del proveedor, incluida la
instalación de nuevos parches tan pronto como estén disponibles.
Administrar dispositivos de forma centralizada para permitir que solo las
aplicaciones en las que la empresa confía se ejecuten en los dispositivos,
utilizando tecnologías que incluyen AppLocker o desde tiendas de
aplicaciones confiables (u otras ubicaciones confiables).
Proporcionar educación sobre seguridad y capacitación en concientización a
su personal, por ejemplo, los mejores
consejos para el personal del NCSC.
Deshabilitar o restringir entornos de secuencias de comandos y macros.
Deshabilitar la ejecución automática para medios automontados (se debe evirar uso de medios extraíbles USB si no es necesario).
Para obtener más orientación sobre rescates, se puede consultar el de
NCSC
de UK.
Fuente:
PwnDefend
