Seguridad Integral

La realidad del ransomware: cinco señales de que estás a punto de ser atacado

Peter Mackenzie
Peter dirige el equipo de respuesta a incidentes de Sophos. Trabaja con un equipo experto de cazadores de amenazas para ayudar a las organizaciones objetivo de las ciberamenazas a investigar, contener y neutralizar los ataques. Peter trabaja en Sophos desde 2011 y se especializa en ataques de ransomware.


Posted in Seguridad de endpoints, Seguridad emailing, Seguridad en la nube, Seguridad Mobile, Soluciones de trabajo remoto, Sophos Intercept X on Sep 03, 2020

Siempre que trabajamos con víctimas de ransomware, pasamos algún tiempo mirando hacia atrás a través de nuestros registros de telemetría que abarcan la semana anterior o dos. Estos registros a veces incluyen anomalías de comportamiento que (por sí mismas) pueden no ser intrínsecamente maliciosas, pero en el contexto de un ataque que ya ha tenido lugar, podrían tomarse como un indicador temprano de un actor de amenazas que realiza operaciones en la red de la víctima.

Si vemos alguno de estos cinco indicadores, en particular, saltamos sobre ellos de inmediato. Cualquiera de estos encontrados durante una investigación es casi con certeza una indicación de que los atacantes han hurgado: para tener una idea de cómo se ve la red y para saber cómo pueden obtener las cuentas y el acceso que necesitan para lanzar un ataque de ransomware.

Los atacantes utilizan herramientas de administración legítimas para preparar el escenario para los ataques de ransomware. Sin saber qué herramientas utilizan normalmente los administradores en sus máquinas, fácilmente se podrían pasar por alto estos datos. En retrospectiva, estos cinco indicadores representan banderas rojas de investigación.

1. Un escáner de red, especialmente en un servidor

Los atacantes suelen comenzar obteniendo acceso a una máquina en la que buscan información: si se trata de una Mac o Windows, cuál es el nombre del dominio y de la empresa, qué tipo de derechos de administrador tiene la computadora, etc. A continuación, los atacantes querrán saber qué más hay en la red y a qué pueden acceder. La forma más sencilla de determinar esto es escanear la red. Si se detecta un escáner de red, como AngryIP o Advanced Port Scanner , pregunte al personal de administración. Si nadie intenta usar el escáner, es hora de investigar.

2. Herramientas para deshabilitar el software antivirus

Una vez que los atacantes tienen derechos de administrador, a menudo intentarán deshabilitar el software de seguridad utilizando aplicaciones creadas para ayudar con la eliminación forzada de software, como Process Hacker, IOBit Uninstaller, GMER y PC Hunter. Este tipo de herramientas comerciales son legítimas, pero en las manos equivocadas, los equipos de seguridad y los administradores deben preguntarse por qué han aparecido de repente.

3. La presencia de MimiKatz

Se debe investigar cualquier detección de MimiKatz en cualquier lugar. Si nadie en un equipo de administración puede responder por el uso de MimiKatz, esto es una señal de alerta porque es una de las herramientas de piratería más utilizadas para el robo de credenciales. Los atacantes también usan Microsoft Process Explorer , incluido en Windows Sysinternals, una herramienta legítima que puede volcar LSASS.exe de la memoria, creando un archivo .dmp. Luego pueden llevar esto a su propio entorno y usar MimiKatz para extraer de forma segura nombres de usuario y contraseñas en su propia máquina de prueba.

Mimikatz y los scripts de PowerShell relacionados utilizados para iniciarlo, que se encuentran entre un repositorio de herramientas utilizadas por los actores de amenazas de ransomware Netwalker.

4. Patrones de comportamiento sospechoso

Cualquier detección que ocurra a la misma hora todos los días, o en un patrón repetido, es a menudo una indicación de que algo más está sucediendo, incluso si se han detectado y eliminado archivos maliciosos. Los equipos de seguridad deben preguntarse "¿por qué vuelve?" Los respondedores de incidentes saben que normalmente significa que ha estado ocurriendo algo más malicioso que no se ha identificado (hasta ahora).

5. Prueba de ataques

Ocasionalmente, los atacantes implementan pequeños ataques de prueba en algunas computadoras para ver si el método de implementación y el ransomware se ejecutan correctamente o si el software de seguridad lo detiene. Si las herramientas de seguridad detienen el ataque, cambian de táctica y vuelven a intentarlo. Esto mostrará su mano y los atacantes sabrán que su tiempo ahora es limitado. A menudo, es cuestión de horas antes de que se lance un ataque mucho mayor.

Te recomendamos:

5 consejos para evitar ataques de spear-phishing
Síntomas de un correo electrónico comprometido
Home office de forma segura con Sophos Mobile
Seguridad de la nube pública
Guía de ciberseguridad para la pandemia del coronavirus


Déjanos un comentario: