¿Qué es el ransomware?
El ransomware es un tipo de ataque de malware que encripta los archivos importantes de una víctima en demanda de un rescate para restaurar el acceso. Si no se realiza el pago del rescate, el actor malintencionado publica los datos en la web oscura o bloquea el acceso a los archivos a perpetuidad.
Una infección de ransomware generalmente se realiza a través de ingeniería social, como un ataque de phishing, que convence a la víctima de hacer clic en un archivo adjunto malicioso en un correo electrónico.
Protección contra ransomware: consejos para prevenir ataques de ransomware
Los siguientes consejos están respaldados por lo que CrowdStrike ha descubierto para prevenir y combatir con éxito el ransomware:
Practique una buena higiene de TI
Mejorar la resiliencia de las aplicaciones orientadas a Internet
Implementar y mejorar la seguridad del correo electrónico
Endpoints reforzados
Datos a prueba de ransomware con copias de seguridad sin conexión
Restringir el acceso a la infraestructura de gestión de virtualización
Implementar un programa de gestión de identidades y accesos (IAM)
Desarrollar y poner a prueba un plan de respuesta a incidentes
Sepa cuándo pedir ayuda
Consejo n. ° 1. Practique una buena higiene de TI
Minimizar la superficie de ataque es fundamental para todas las organizaciones; es fundamental que obtenga visibilidad de cada endpoint y carga de trabajo que se ejecutan en su entorno y luego mantenga actualizadas y protegidas las superficies de ataque vulnerables.
El principal beneficio de la higiene de TI es brindarle total transparencia en la red. Esta perspectiva proporciona una vista de pájaro, así como el poder de profundizar y limpiar de forma proactiva su entorno. Una vez que logre este nivel de transparencia, la comprensión de "quién, qué y dónde" que proporciona la higiene de TI tiene enormes beneficios para su organización.
Identifique las lagunas en su arquitectura de seguridad.
La claridad que proporciona la higiene de TI le permite ver qué hosts se están ejecutando en su entorno y si están protegidos. Tener una visibilidad completa le permite implementar eficazmente su arquitectura de seguridad y garantizar que no haya sistemas deshonestos operando detrás de sus paredes. Cuanto más grande y distribuido se vuelve su entorno, como cuando la fuerza de trabajo se vuelve cada vez más remota, más difícil es tener visibilidad en todos sus puntos finales e identidades (incluidas las cuentas de servicios y de usuarios). La identificación de los activos no administrados en su entorno le permite apuntar a las vulnerabilidades y proteger sus activos valiosos antes de que los atacantes puedan alcanzarlos.
Vea lo que se está ejecutando en su entorno.
Al identificar de manera proactiva las aplicaciones y los sistemas operativos desactualizados y sin parches, puede administrar su inventario de aplicaciones y resolver problemas de seguridad y costos simultáneamente. Los sistemas operativos y las aplicaciones sin parches tienen serias implicaciones de seguridad y costos: asegúrese de identificar qué aplicaciones se están ejecutando en su red e identifique las aplicaciones sin parches para adelantarse a los atacantes.
Vea quién está corriendo en su entorno.
El monitoreo de cuentas le permite ver quién está trabajando en su entorno y asegurarse de que no están violando sus permisos de credenciales (incluida la detección de herramientas o comportamientos que intentan subvertir esas políticas). Los administradores de sistemas siguen siendo muy específicos y, junto con políticas de renovación de contraseñas deficientes, el robo de credenciales es una dura realidad.
Con información sobre las actualizaciones de contraseñas, puede evitar el deslizamiento de credenciales eliminando las cuentas administrativas antiguas o asegurándose de que los usuarios actualicen sus contraseñas con regularidad. Llevando esto un paso más allá, la visibilidad del comportamiento inusual del administrador o la elevación de privilegios puede evitar fallas silenciosas al avisar a su equipo de seguridad tan pronto como ocurra algo sospechoso.
Garantice el cumplimiento del usuario.
Asegurarse de que sus usuarios cumplan con sus políticas de contraseñas más actualizadas mantiene a los administradores y usuarios cumpliendo con sus requisitos de seguridad. La educación constante y continua de los usuarios puede garantizar que se sigan las mejores prácticas de contraseñas, y deshacerse de su red de cuentas antiguas (incluidas las cuentas de servicio) puede mitigar el riesgo de que los ex empleados "arrastren las credenciales".
Agregue defensa en profundidad.
Implemente políticas de detección en tiempo real para monitorear el uso de comportamiento anómalo de las credenciales, incluida la detección de movimiento lateral incluso en estaciones de trabajo que pueden no tener un agente Falcon instalado. Además, habilite el acceso condicional basado en el riesgo para activar MFA para cuentas humanas y de servicios sin agregar una carga a los usuarios, lo que garantiza un mayor cumplimiento.
Una vez que tenga plena visibilidad y comprensión de su entorno, su organización puede identificar las deficiencias de seguridad relacionadas con la higiene y resolverlas de inmediato. A partir de ahí, los equipos de seguridad pueden girar rápidamente para abordar los elementos críticos de la protección integral de endpoints: prevención, detección, búsqueda e inteligencia de amenazas. Estas capacidades son clave para una solución completa que puede proteger a su organización de los atacantes más motivados y sofisticados. Con un enfoque de "higiene primero" y la solución de seguridad adecuada, puede proteger a su organización de los ataques de ransomware y detener las infracciones.
Consejo n.°2. Mejorar la resiliencia de las aplicaciones orientadas a Internet
CrowdStrike ha observado que los actores de amenazas de eCrime explotan la autenticación de un solo factor y las aplicaciones de Internet sin parches. BOSS SPIDER, uno de los actores iniciales de amenazas de ransomware de caza mayor (BGH), atacaba de forma rutinaria los sistemas con el Protocolo de escritorio remoto (RDP) accesible desde Internet. Actores de amenazas menos sofisticados que operan variantes de ransomware como Dharma, Phobos y GlobeImposter con frecuencia obtienen acceso a través de ataques de fuerza bruta RDP.
Consejo n.°3. Implementar y mejorar la seguridad del correo electrónico
Lograr un punto de apoyo inicial en una organización víctima a través de un correo electrónico de phishing es la táctica más común para los grupos de ransomware BGH. Por lo general, estos correos electrónicos sospechosos contienen un enlace o URL malicioso que envía la carga útil del ransomware a la estación de trabajo del destinatario.
CrowdStrike recomienda implementar una solución de seguridad de correo electrónico que realice el filtrado de URL y también el sandboxing de archivos adjuntos. Para optimizar estos esfuerzos, se puede utilizar una capacidad de respuesta automatizada que permita la cuarentena retroactiva de los correos electrónicos entregados antes de que el usuario interactúe con ellos. Además, es posible que las organizaciones deseen impedir que los usuarios reciban archivos zip, ejecutables, javascripts o archivos de paquetes de instalación de Windows protegidos con contraseña, a menos que exista una necesidad comercial legítima. Agregar una etiqueta "[Externo]" a los correos electrónicos que se originan desde fuera de la organización y un mensaje de advertencia en la parte superior del cuerpo del correo electrónico puede ayudar a recordar a los usuarios que deben usar la discreción al manejar dichos correos electrónicos.
Consejo n.°4 Endpoints reforzados
A lo largo del ciclo de vida de un ataque que finalmente culmina en una implementación de ransomware, los actores de amenazas a menudo aprovecharán una serie de técnicas de explotación de endpoints. Estas técnicas de explotación varían desde la explotación de configuraciones de AD deficientes hasta el aprovechamiento de exploits disponibles públicamente contra sistemas o aplicaciones sin parches.
La lista a continuación incluye algunas acciones clave para fortalecer el sistema que deben implementar los defensores. Es importante tener en cuenta que esta no es una lista exhaustiva y el fortalecimiento del sistema debe ser un proceso iterativo.
Garantizar una cobertura total en todos los puntos finales de la red para los productos de seguridad de punto final, y para la detección de punto final y la protección de plataforma (EDR). Cada plataforma de seguridad de punto final debe tener protecciones estrictas contra la manipulación y alertas en caso de que un sensor se desconecte o se desinstale.
Desarrolle un programa de administración de parches y vulnerabilidades. Si lo hace, garantizará que todas las aplicaciones de punto final y los sistemas operativos se mantengan actualizados. Los actores de ransomware aprovechan las vulnerabilidades de los endpoints para muchos propósitos, incluidos, entre otros, la escalada de privilegios y el movimiento lateral . Los clientes actuales de Falcon pueden aprovechar la gestión de vulnerabilidades de CrowdStrike Falcon Spotlight ™ para una forma casi en tiempo real de comprender la exposición a una vulnerabilidad particular en todo el entorno, sin la necesidad de implementar agentes y herramientas de seguridad adicionales.
Siga las mejores prácticas de seguridad de Active Directory. En función de algunas de las fallas de AD más comunes observadas por CrowdStrike Services durante las interacciones de ransomware , recomendamos estos pasos:
Evite contraseñas fáciles de adivinar con métodos de autenticación débiles.
Evite tener usuarios de dominio habituales con privilegios de administrador local y cuentas de administrador local con las mismas contraseñas en toda la empresa o en una gran parte de la empresa.
Limite la comunicación de una estación de trabajo a otra. Si bien esto se puede lograr utilizando objetos de política de grupo (GPO), también se puede lograr a través de una serie de opciones de software de microsegmentación.
Evite compartir credenciales privilegiadas. Las malas prácticas de seguridad incluyen cuentas administrativas compartidas y el uso de cuentas de administrador para actividades comerciales personales o diarias que no requieren privilegios de administrador.
Tenga en cuenta que los dos primeros puntos anteriores se pueden lograr utilizando AD con poco o ningún costo adicional. Con un costo adicional, una solución de administración de acceso privilegiado (PAM) puede proporcionar una solución mucho más escalable y robusta para el mismo problema y se analiza más adelante en esta publicación de blog.
Consejo n.°5. Datos a prueba de ransomware con copias de seguridad sin conexión
En los últimos años, y desde la aparición del ransomware como método principal para monetizar los ataques, los desarrolladores detrás del código malicioso se han vuelto muy efectivos para garantizar que las víctimas y los investigadores de seguridad no puedan descifrar los datos afectados sin pagar el rescate por la clave de descifrado. Además, al desarrollar una infraestructura de copia de seguridad a prueba de ransomware, la idea más importante a tener en cuenta es que los actores de amenazas se han centrado en las copias de seguridad en línea antes de implementar el ransomware en el medio ambiente.
Por estas razones, la única forma segura de recuperar datos durante un ataque de ransomware es a través de copias de seguridad a prueba de ransomware. Por ejemplo, mantener copias de seguridad de sus datos fuera de línea permite una recuperación más rápida en caso de emergencia. Se deben considerar los siguientes puntos al desarrollar una infraestructura de respaldo fuera de línea a prueba de ransomware:
Las copias de seguridad sin conexión, así como los índices (que describen qué volúmenes contienen qué datos) deben estar completamente separados del resto de la infraestructura.
El acceso a dichas redes debe controlarse mediante estrictas listas de control de acceso (ACL), y todas las autenticaciones deben realizarse mediante autenticación multifactor (MFA).
Los administradores con acceso a infraestructuras en línea y fuera de línea deben evitar reutilizar las contraseñas de las cuentas y usar un cuadro de salto cuando accedan a la infraestructura de respaldo fuera de línea.
Los servicios de almacenamiento en la nube, con reglas y ACL estrictas, también pueden servir como infraestructura de respaldo fuera de línea.
Las situaciones de emergencia, como un ataque de ransomware, deberían ser el único momento en el que la infraestructura fuera de línea pueda conectarse a la red en vivo.
Consejo n.° 6. Restringir el acceso a la infraestructura de gestión de virtualización
Como se mencionó anteriormente, los actores de amenazas involucrados en campañas de ransomware de caza mayor están innovando continuamente para aumentar la efectividad de sus ataques. El desarrollo más reciente de este tipo incluye la capacidad de atacar directamente la infraestructura virtualizada. Este enfoque permite apuntar a hipervisores que implementan y almacenan máquinas virtuales (VMDK). Como resultado, los productos de seguridad para endpoints instalados en las máquinas virtualizadas son ciegos a las acciones maliciosas tomadas en el hipervisor.
Para comprender mejor cómo se desarrollaría este ataque, utilizaremos algunas de las convenciones de nomenclatura de VMware, ya que es el producto de virtualización más común que se encuentra en los entornos empresariales actuales.
Muchos sistemas ESXi (hipervisores VMware) no tienen el protocolo Secure Shell (SSH) habilitado de forma predeterminada y generalmente se administran a través de vCenter. Si SSH está deshabilitado, las credenciales administrativas robadas anteriormente se utilizan para habilitar SSH en todos los sistemas ESXi. Una vez que se completa, se utiliza una cuenta válida para SSH en cada sistema ESXi al que se dirige. Antes de que el actor de amenazas implemente el ransomware basado en Linux, los VMDK alojados en ESXi se detienen para permitir que el binario del ransomware acceda a los archivos con fines de cifrado. Los sistemas afectados por el ransomware a través de este método de implementación estarán completamente fuera de línea y serán inaccesibles para los usuarios.
Consejo n.° 7. Implementar un programa de protección de identidad sólido
Las organizaciones pueden mejorar su postura de seguridad mediante la implementación de un programa de protección de identidad sólido para comprender la higiene del almacén de identidad local y en la nube (por ejemplo, Active Directory, Azure AD). Determine las brechas y analice el comportamiento y las desviaciones para cada cuenta de la fuerza laboral (usuarios humanos, cuentas privilegiadas, cuentas de servicio), detecte movimientos laterales e implemente acceso condicional basado en riesgos para detectar y detener las amenazas de ransomware.
Consejo n.° 8. Desarrollar y poner a prueba un plan de respuesta a incidentes
Las organizaciones a veces se dan cuenta de la actividad de los actores de amenazas dentro de su entorno, pero carecen de la visibilidad para abordar el problema o de la inteligencia adecuada para comprender la naturaleza de la amenaza. Reconocer la amenaza y responder rápida y eficazmente puede marcar la diferencia entre un incidente importante y un cuasi accidente.
Los planes de respuesta a incidentes y los libros de jugadas ayudan a facilitar esa rápida toma de decisiones. Los planes deben cubrir todas las partes del esfuerzo de respuesta en toda la organización. Para el equipo de seguridad, deben proporcionar ayuda para la toma de decisiones para que los socorristas de primera línea no pasen por alto detalles importantes mientras clasifican las alertas. También deben describir el alcance de la autoridad del equipo de seguridad para tomar acciones decisivas, como cerrar los servicios esenciales para la empresa, si un ataque de ransomware parece inminente.
Para el equipo de gestión de crisis, los planes deben identificar quiénes estarán involucrados y cuáles son sus funciones y responsabilidades. También debe tomar decisiones importantes, como cuándo activar un retenedor de respuesta a incidentes, si notificar a las compañías de seguros, cuándo y cómo involucrar a un abogado interno o externo, y cómo discutir las demandas de rescate con los ejecutivos.
Considere la posibilidad de realizar ejercicios de mesa con regularidad para probar el plan y los procesos de respuesta a incidentes. Algunas organizaciones pueden beneficiarse de ejercicios simulados como los compromisos del “equipo púrpura”, donde los equipos rojos imitan las acciones de los operadores de ransomware sobre los objetivos, incluida la exfiltración de datos y, en última instancia, la implementación de ransomware. CrowdStrike también recomienda el ejercicio regular de su plan de respuesta a incidentes, tanto planificado como no planificado, como utilizar un equipo rojo para realizar una operación de ataque simulado.
Consejo n.° 9. Sepa cuándo pedir ayuda
En caso de que crea que su organización puede verse afectada por el ransomware , llamar a expertos para que lo ayuden a investigar, comprender y mejorar la situación puede marcar la diferencia entre un incidente menor y una infracción importante. En algunos casos, las organizaciones se dan cuenta de la actividad de los actores de amenazas dentro de su entorno, pero pueden carecer de la visibilidad para abordar el problema o de la inteligencia adecuada para comprender la naturaleza de la amenaza. Obtener información sobre las amenazas más recientes y buscar ayuda activando un equipo de respuesta a incidentes o un retenedor, como los que ofrecen CrowdStrike Services, puede permitir la detección y reparación antes de que el actor de la amenaza pueda implementar ransomware o exfiltrar datos del entorno.
Es mejor buscar la asistencia de un experto antes de que realmente la necesite. Una evaluación técnica puede ayudarlo a identificar y comprender de manera proactiva los factores de la red de su organización que podrían hacer que los incidentes de ransomware en el futuro sean más o menos probables. Puede tomar diferentes formas, dependiendo de sus necesidades actuales y madurez de seguridad. Por ejemplo, si experimenta una intrusión que se limitó a un segmento de red específico o una unidad de negocio específica, una evaluación de compromiso en toda la empresa puede brindarle la confianza de que el atacante no se movió a partes del entorno que estaban más allá del alcance de la investigación inicial. . Alternativamente, una evaluación de higiene de TI puede identificar contraseñas débiles, configuraciones de Active Directory o parches perdidos que podrían abrir la puerta al próximo atacante.
Soluciones de ransomware de CrowdStrike
CrowdStrikes ofrece un conjunto de soluciones de ciberseguridad que ayudan a las organizaciones a prevenir el ransomware:
Por. Kurt Baker
https://www.crowdstrike.com/cybersecurity-101/ransomware/how-to-prevent-ransomware/
留言