HTCinside
Cuando una empresa está experimentando unataque de ransomware, muchos creen que los atacantes implementan y abandonan rápidamente el ransomware para que no los atrapen. Desafortunadamente, la realidad es muy diferente porque los actores de la amenaza no renuncian tan rápido a un recurso que han trabajado tanto para controlarlo.
En cambio, los ataques de ransomware se ejecutan día a mes a lo largo del tiempo, comenzando con la entrada de un operador de ransomware en una red.
Esta infracción se debe a servicios de escritorio remoto expuestos, vulnerabilidades en el software VPN o acceso remoto por parte de malware como TrickBot, Dridex y QakBot.
Una vez que tienen acceso, utilizan herramientas como Mimikatz, PowerShell Empire, PSExec y otras para recopilar información de conexión y difundirla lateralmente por la red.
Cuando acceden a las computadoras en la red, usan esta credencial para robar archivos sin cifrar de dispositivos y servidores de respaldo antes de que ocurra el ataque de ransomware.
Después de que tuvo lugar el ataque, las víctimas informaron a BleepingComputer que los operadores de ransomware no son visibles, pero aún así, su red está en riesgo.
La creencia está lejos de la verdad, como lo demuestra un ataque reciente de los operadores de Maze Ransomware.
Leer -Investigadores hackearon Siri, Alexa y Google Home apuntándoles con láseres
Los operadores de Maze Ransomware anunciaron recientemente en su sitio de fuga de datos que habían pirateado la red de una subsidiaria de ST Engineering llamada VT San Antonio Aerospace (VT SAA). Lo aterrador de esta filtración es que Maze ha publicado un documento que contiene el informe del departamento de TI de la víctima sobre su ataque de ransomware.
El documento robado muestra que Maze todavía estaba en su red y continuó espiando los archivos robados de la empresa mientras continuaba la investigación del ataque. Este acceso continuo no es raro para este tipo de ataque. John Fokker, ingeniero jefe y director de investigaciones cibernéticas de McAfee
le dijo a BleepingComputer que algunos atacantes leyeron los correos electrónicos de las víctimas mientras las negociaciones de ransomware estaban en curso.
“Somos conscientes de casos en los que los jugadores de ransomware permanecieron en la red de una víctima después de implementar su ransomware. En estos casos, los atacantes encriptaron las copias de seguridad de la víctima después del ataque inicial o durante las negociaciones que quedaron atrás. Por supuesto, el atacante aún podía acceder a él y leer el correo electrónico de la víctima.
Leer -Los piratas informáticos están explotando el miedo al coronavirus para engañar a los usuarios para que hagan clic en correos electrónicos maliciosos
Después de que se detecta un ataque de ransomware, una empresa primero debe apagar su red y las computadoras que se ejecutan en ella. Estas acciones evitan el cifrado continuo de datos y niegan el acceso de los atacantes al sistema.
Una vez que esto se complete, la empresa debe llamar a un proveedor de ciberseguridad para realizar una investigación exhaustiva del ataque y escanear todos los dispositivos internos y públicos.
Este análisis incluye escanear los dispositivos de la empresa para identificar infecciones persistentes, vulnerabilidades, contraseñas débiles y herramientas maliciosas dejadas por los operadores de ransomware.
El seguro cibernético de la víctima cubre la mayoría de las reparaciones e investigaciones en muchos de los casos.
Fokker y Vitali Kremez, presidente de Advanced Intel, también brindaron algunos consejos y estrategias adicionales para corregir un ataque.
“Los ataques de ransomware corporativos más importantes casi siempre involucran un compromiso completo de la red de la víctima, desde los servidores de respaldo hasta los controladores de dominio. Con control total sobre un sistema, los actores de amenazas pueden deshabilitar fácilmente la defensa e implementar su ransomware.
“Los equipos de respuesta a incidentes (IR) que están sujetos a una interferencia tan profunda deben asumir que el atacante todavía está en la red hasta que se demuestre su culpabilidad. Principalmente, esto significa elegir un canal de comunicación diferente (no visible para el actor de amenazas) para discutir los esfuerzos de IR en curso. ”
“Es importante tener en cuenta que los atacantes ya escanearon el Active Directory de la víctima para eliminar las cuentas de puerta trasera restantes. Deben hacer un escaneo AD completo”, dijo Fokker a BleepingComputer.
Kremez también propuso un canal de comunicación seguro separado y un canal de almacenamiento cerrado donde se pueden almacenar los datos relacionados con la encuesta.
Trate los ataques de ransomware como violaciones de datos, suponiendo que los atacantes aún puedan estar en la red, por lo que las víctimas deben trabajar de abajo hacia arriba, tratar de obtener evidencia forense que confirme o invalide la hipótesis. A menudo incluye un análisis forense completo de la infraestructura de la red, con un enfoque en las cuentas privilegiadas. Asegúrese de tener un plan de continuidad comercial para tener un canal de comunicación y almacenamiento seguro separado (infraestructura diferente) durante la evaluación forense”, dijo Kremez.
De abajo hacia arriba, trate de obtener evidencia forense que confirme o invalide la hipótesis. A menudo incluye un análisis forense completo de la infraestructura de la red, con un enfoque en las cuentas privilegiadas. Asegúrese de tener un plan de continuidad comercial para tener un canal de comunicación y almacenamiento seguro separado (infraestructura diferente) durante la evaluación forense”, dijo Kremez.
Kremez descubrió que se recomienda reinventar los dispositivos en una red vulnerable. Aún así, puede que no sea suficiente porque es probable que los atacantes tengan acceso completo a las credenciales de red que pueden usarse para otro ataque.
“Las víctimas tienen el potencial de reinstalar máquinas y servidores. Sin embargo, debe tener en cuenta que es posible que el delincuente ya haya robado las credenciales. Una simple reinstalación puede no ser suficiente. “Kremez continuó.
En última instancia, es esencial suponer que es probable que los atacantes continúen monitoreando los movimientos de la víctima incluso después de un ataque.
Esta escucha no solo podría dificultar la limpieza de una red dañada, sino que también podría afectar las tácticas de negociación si los atacantes leen el correo electrónico de la víctima y se adelantan.