Cisco Talos analizó los 14 principales grupos de ransomware entre 2023 y 2024 para exponer su cadena de ataque y resaltar tácticas, técnicas y protocolos interesantes. La empresa de seguridad también expuso las vulnerabilidades más aprovechadas que son activadas por los actores de ransomware.
Cadena de ataque de ransomware: Lo que aprendieron los investigadores de Cisco Talos
Los actores de ransomware casi siempre utilizan la misma cadena de ataque. Imagen típica de la cadena de ataque de ransomware. Paso uno para los actores de ransomware
El primer paso para el actor de amenazas consiste en obtener acceso a la entidad objetivo. Para lograr ese objetivo, los actores de ransomware utilizan diferentes técnicas, una de las técnicas más comunes es engañar a sus objetivos enviando correos electrónicos que contienen archivos o enlaces maliciosos que ejecutarán malware en el sistema objetivo. El malware permitirá al atacante desplegar más herramientas y malware para alcanzar sus objetivos. La autenticación multifactor puede ser evitada en este momento utilizando diversas técnicas, ya sea por una implementación deficiente de MFA o por poseer credenciales válidas ya.
Talos también informó que un número creciente de afiliados de ransomware escanean sistemas expuestos a Internet en busca de vulnerabilidades o configuraciones incorrectas que podrían permitirles comprometer el sistema. El software sin parches o heredado es particularmente arriesgado. Paso dos para los actores de ransomware
El segundo paso es obtener persistencia en caso de que el vector inicial de compromiso sea descubierto; esa persistencia en los sistemas se logra típicamente modificando claves del registro de Windows o habilitando la ejecución automática del código malicioso al arrancar el sistema. También se pueden crear cuentas locales, de dominio y/o en la nube para la persistencia. Paso tres para los actores de ransomware
En el tercer paso, el actor de amenazas escanea el entorno de la red para comprender mejor las partes internas de la infraestructura. En este paso se identifican datos de valor que pueden ser utilizados para el rescate. Para acceder con éxito a todas las partes de la red, los atacantes suelen usar herramientas para elevar sus privilegios al nivel de administrador, además de utilizar herramientas que permitan el escaneo de la red. Las herramientas populares para estas tareas son los archivos ejecutables de Living Off the Land AKA LOLbins, porque son archivos ejecutables nativos del sistema operativo y menos propensos a generar alertas. Paso cuatro para los actores de ransomware
El atacante está listo para recopilar y robar datos sensibles, que a menudo comprimen con utilidades (como 7-Zip o WinRAR) antes de extraer los datos a servidores controlados por el atacante utilizando herramientas de Monitoreo y Gestión Remota o herramientas más personalizadas, como StealBit o Exabyte, por ejemplo, creadas por los grupos de ransomware LockBit y BlackByte. Posible paso cinco para los actores de ransomware
Si el objetivo es el robo de datos o la extorsión, la operación ha terminado. Si el objetivo es cifrar datos, el atacante necesita probar el ransomware en el entorno, es decir, verificar los mecanismos de entrega y las comunicaciones entre el ransomware y el servidor C2, antes de lanzarlo para cifrar la red y notificar a la víctima que han sido comprometidos y necesitan pagar el rescate.
Cobertura de seguridad imprescindible
Las tres vulnerabilidades más explotadas
Cisco Talos informó que tres vulnerabilidades en aplicaciones expuestas al público son comúnmente explotadas por actores de amenazas de ransomware.
CVE-2020-1472 AKA Zerologon explota una falla en el Protocolo Remoto Netlogon que permite a los atacantes evadir la autenticación y cambiar las contraseñas de las computadoras dentro del Directorio Activo de un controlador de dominio. Este exploit es ampliamente utilizado por los actores de ransomware porque les permite acceder a una red sin autenticación. CVE-2018-13379, una vulnerabilidad de Fortinet FortiOS SSL VPN, permite la travesía de ruta que permite a un atacante acceder a archivos del sistema enviando paquetes HTTP especialmente diseñados. De esta manera, se pueden acceder a tokens de sesión VPN, que se pueden utilizar para obtener acceso no autenticado a la red. CVE-2023-0669, una vulnerabilidad de GoAnywhere MFT, permite a los atacantes ejecutar código arbitrario en un servidor objetivo que utiliza el software GoAnywhere Managed File Transfer. Esta es la vulnerabilidad más reciente mencionada por Cisco Talos en su informe.
Todas esas vulnerabilidades permiten a los actores de ransomware obtener acceso inicial y manipular sistemas para ejecutar cargas maliciosas adicionales, instalar persistencia o facilitar movimientos laterales dentro de redes comprometidas.
DESCARGAR: Beneficios y Mejores Prácticas de Ciberseguridad de TechRepublic Premium
TTPs notables de 14 grupos de ransomware
Cisco Talos observó las TTPs utilizadas por 14 de los grupos de ransomware más prevalentes basados en su volumen de ataque, impacto en los clientes y comportamiento atípico.
Grupos de ransomware clasificados por número de víctimas en sus sitios de filtración. Imagen: Cisco Talos
Uno de los hallazgos clave con respecto a las TTPs indica que muchos de los grupos más prominentes priorizan el establecimiento de compromisos iniciales y la evasión de defensas en sus cadenas de ataque.
Los actores de amenazas de ransomware a menudo ocultan su código malicioso empacándolo y comprimiéndolo y modificando el registro de los sistemas para desactivar las alertas de seguridad en el punto final o el servidor. También pueden bloquear ciertas opciones de recuperación para los usuarios.
Los investigadores de Cisco Talos destacaron que la técnica de acceso a credenciales más prevalente es el volcado del contenido de memoria LSASS para extraer contraseñas en texto plano, contraseñas hash o tokens de autenticación almacenados en la memoria.
Otra tendencia en las actividades de C2 es el uso de herramientas comercialmente disponibles como aplicaciones RMM. Esas aplicaciones suelen ser confiables para el entorno y permiten al atacante mezclarse con el tráfico de la red corporativa.
Cómo mitigar la amenaza de ransomware
Para empezar, es obligatorio aplicar parches y actualizaciones a todos los sistemas y software; este mantenimiento constante es necesario para reducir el riesgo de ser comprometido por una explotación.
Se deben implementar políticas de contraseñas estrictas y MFA. Se deben establecer contraseñas complejas y únicas para cada usuario y aplicar MFA, para que un atacante que posea credenciales válidas aún no pueda acceder a la red objetivo.
Se deben aplicar las mejores prácticas para endurecer todos los sistemas y entornos. Los servicios y funciones innecesarios deben ser desactivados para reducir la superficie de ataque. Además, la exposición a Internet debe reducirse limitando al máximo el número de servicios expuestos al público.
Las redes deben segmentarse utilizando VLAN u otras tecnologías similares. Los datos y sistemas sensibles deben estar aislados de otras redes para evitar movimientos laterales por parte de un atacante.
Los puntos finales deben ser monitoreados por un sistema de Gestión de Información y Eventos de Seguridad, y se deben implementar herramientas de Detección y Respuesta de Endpoints o Detección y Respuesta Extendida.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.