Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Detección - Amenazas - Ransomware
Detección - Amenazas - Ransomware
Ransomware
Principales ventajas Una nueva era de Ransomware organización con el fin de reconocer las discretas desviaciones
que indican que se está produciendo una amenaza.
Debido a que las normas de los recursos y las innovaciones
✔ La Cyber AI de autoaprendizaje
técnicas actuales evolucionan rápidamente, los ataques de El Enterprise Immune System utiliza el conocimiento evolutivo de
neutraliza el ransomware
ransomware cada vez son más sofisticados y más extendidos. la Cyber AI acerca de la ‘forma de ser’ de su negocio para señalar
emergente –sin depender de
todas las ciberamenazas, incluyendo el ransomware nunca visto
reglas ni firmas de amenazas Están surgiendo nuevas cepas de ransomware para aprovechar
antes que elude todas las demás estrategias defensivas. Como
el malware sin archivos y los métodos de filtración de datos,
✔ El Enterprise Immune System parte clave del enfoque del sistema inmune, el Cyber AI Analyst
mientras que los atacantes oportunistas utilizan cualquier cambio
identifica incluso las cepas de investiga automáticamente todas las amenazas, ayudando a
en las circunstancias para lanzar campañas más eficaces. Las
ransomware nuevas y muy identificar fácilmente cada dispositivo afectado y comunicar el
herramientas de seguridad convencionales, que solamente
focalizadas alcance total de un incidente de ransomware.
detectan las ciberamenazas conocidas mediante reglas y firmas,
✔ Antigena responde de forma son incapaces de detectar las cepas de ransomware cada vez Al marcar un ataque grave, Darktrace Antigena –la tecnología
autónoma en tiempo real–sin más evolucionadas para las que no existen dichas firmas. de Respuesta Autónoma de la plataforma– detiene la actividad
importar dónde, cuándo ni cómo maliciosa en cuestión de segundos, neutralizando quirúrgicamente
Los equipos de seguridad no pueden mantenerse al día frente a
se inicie el ataque los ataques al mismo tiempo que permite que continúen con
estas amenazas utilizando únicamente los controles tradicionales,
normalidad las operaciones del negocio. La tecnología se adapta
✔ El Cyber AI Analyst investiga especialmente cuando no tienen suficiente personal o están fuera
de forma inteligente a las amenazas a medida que se desarrollan
automáticamente los incidentes de la oficina. En su lugar, los negocios deben utilizar tecnología de
y proporciona una cobertura de 24 horas al día, durante los 7 días
de ransomware, reuniendo la seguridad que pueda detener el ransomware en cuanto aparece,
de la semana para todos sus recursos, cuando los equipos de
información clave que necesita antes de que pueda causar algún daño.
seguridad están desbordados o simplemente no están cerca.
para solucionarlo
Plataforma de Cyber AI de Darktrace: La resistencia a velocidad de máquina resulta fundamental para
identificación y respuesta al ransomware minimizar el impacto del ransomware, que a menudo puede
emergente cifrar la infraestructura de una empresa en cuestión de minutos.
La Cyber AI se percató entonces de la descarga del terrible troyano bancario TrickBot, Acción de Antigena: Esta anomalía por sí sola no solicita ninguna acción, pero
después de lo cual se observó tráfico de comando y control. Aunque muchos dispositivos aumenta el nivel de alerta.
mostraron un comportamiento anómalo, la Cyber AI identificó un dispositivo en origen.
Nuevas credenciales de administrador en el client: El atacante utilizó varias
Cuando finalmente se implementó el ransomware Ryuk, se cifraron más de 200.000 archivos credenciales de administrador nuevas en el dispositivo
en solo 12 horas. Durante este período lleno de interferencias por numerosas actividades de
Acción de Antigena: Ahora, con pruebas muy fiables de que se está produciendo
SMB sospechosas, la Cyber AI indicó aún más claramente el alcance del ataque.
una amenaza, Antigena impondría los ‘patrones de vida’ de inicio de sesión
A pesar de que el equipo no activó las alertas de Darktrace hasta después del cifrado, normales del dispositivo; todos los administradores que normalmente inician
este ataque de ransomware podría haberse detenido en cuanto el Enterprise Immune sesión en este dispositivo podrían continuar haciéndolo, mientras que los nuevos
System detectó el primer signo de que se estaba produciendo un ataque. inicios de sesión se bloquearían durante una hora.
Acción de Antigena: Este servidor nunca ha escaneado la red antes –solo los
dispositivos del administrador lo hacen. Por lo tanto, Antigena evitaría que el
dispositivo escaneara la red durante dos horas.
Archivo EXE desde una ubicación externa extraña: Cargas de etapas posteriores
descargadas para una mayor infección
Con la potencia de la Cyber AI, Antigena Email crea una comprensión profunda de la
persona que hay detrás de la dirección de correo electrónico. La tecnología se adapta
a sus recursos dinámicos con el fin de reconocer los cambios con matices en el
comportamiento que indican una campaña de ransomware.
Si el ransomware pasa por la bandeja de entrada y entra en la red, Antigena Email tiene
Figura 3: Antigena Email detecta una serie de correos electrónicos
la capacidad única de trabajar con el Enterprise Immune System para rastrear el origen
asociados a una campaña de ransomware
del ataque y evitar la propagación lateral.
Al correlacionar los patrones de actividad del resto del negocio con el entorno del correo
electrónico, la Cyber AI puede realizar un análisis de la causa principal para identificar
la fuente del correo electrónico y otra actividad del correo electrónico que pueda estar
relacionada con el incidente. A continuación, Antigena Email recuperará cualquier
correo electrónico malicioso adicional de las bandejas de entrada de otros empleados,
minimizando el alcance de un ataque de ransomware.
Detección de Amenazas | 5
Aunque cada correo electrónico parecía inofensivo, todos los mensajes contenían una
carga maliciosa oculta tras un botón camuflado de distintas formas como un enlace de
Netflix, Amazon y otros servicios de confianza. Figura 4: Antigena Email marcó cada correo electrónico como muy anómalo.
Antigena Email fue capaz de analizar estos enlaces ocultos en relación con los ‘patrones
de vida’ normales de los destinatarios a los que iban dirigidos. Cuando llegó el primer
correo electrónico, Antigena reconoció inmediatamente que ni el destinatario ni nadie de
su grupo de mismo nivel ni el resto de los empleados de la ciudad habían visitado antes
el dominio del remitente. “El ransomware se puede propagar por toda la red rápidamente,
por lo que necesitamos herramientas que puedan evitar que
La tecnología lanzó inmediatamente una alerta de alta confianza y sugirió bloquear de
forma autónoma cada enlace en cuanto entró en la red.
eso ocurra. La IA puede asumir el control de forma autónoma y
reaccionar en una fracción de segundo, lo que resulta muy útil
Debido a que Antigena se había implementado en ‘Modo pasivo’, no pudo actuar por su
para evitar daños.”
cuenta para detener la amenaza a velocidad de máquina –pero sí demostró la eficacia de
la Cyber AI y la Respuesta Autónoma. Mientras que Antigena detectó y trató de neutralizar
CIO, Ciudad de Las Vegas
la campaña en la letra ‘A’, las herramientas de seguridad antiguas del equipo se dieron
cuenta de la amenaza en la letra ‘R’.
En el ‘Modo activo’, Antigena habría neutralizado el ataque antes de que pudiera llegar
a un solo usuario, defendiendo a la importante organización de un posible ataque de
ransomware muy extendido.
Detección de Amenazas | 6
En solo nueve segundos, la Cyber AI generó una alerta priorizada que significaba que era
necesario investigar inmediatamente el comportamiento extraño.
A pesar de que el equipo de seguridad estuvo fuera de la oficina durante el fin de semana, Figura 5: Ejemplo de la interfaz de usuario mostrando cómo la Cyber AI
Antigena Network pudo detener el ataque por su cuenta, interrumpiendo todos los intentos informa de actividades de SMB anómalas similares.
de escribir archivos cifrados en recursos compartidos de red.
Solo con una comprensión evolutiva y profunda del ADN de su organización, Antigena
Email y toda la plataforma Cyber AI de Darktrace pueden proporcionar dicha detección y
respuesta en tiempo real ante sofisticados ataques de ransomware.
Detección de Amenazas | 7
El Cyber AI Analyst, un elemento clave del enfoque del sistema inmune, investiga
automáticamente cada evento anómalo detectado. Para las campañas de ransomware,
puede señalar cada dispositivo afectado, la fuente de infección y toda la información
contextual que necesita para iniciar la respuesta.
Análisis experto de un ataque de Dharma El Enterprise Immune System detectó cada paso de esta campaña basándose en un
comportamiento anormal en el contexto de esta empresa –sin depender de firmas de
Cuando se lanzó una campaña de ransomware focalizado Dharma en una empresa del
amenazas que coincidieran.
Reino Unido, el Enterprise Immune System resultó vital para detectar dicha amenaza –y
demostró la potente capacidad del Cyber AI Analyst para reconocer e informar acerca Cuando se trata de un ataque como este, realizado durante un largo período de tiempo
de un ataque emergente. con distintos indicadores de actividad maliciosa, el Cyber AI Analyst resulta vital para
mostrar claramente la naturaleza y el alcance de la amenaza.
La Cyber AI detectó al instante el riesgo cuando un servidor RDP recibió una gran cantidad
de conexiones desde direcciones IP extrañas. Una investigación posterior reveló que la Con un Informe de incidentes del Cyber AI Analyst, el equipo pudo analizar fácilmente
credencial RDP probablemente había sido atacada en algún momento antes de dicho ataque. tanto un resumen de alto nivel acerca del ataque de ransomware como información
detallada de cada etapa del incidente.
Al día siguiente, la Cyber AI observó que el ciberdelincuente estaba abusando del protocolo
SMB versión 1. Entonces, se observó una conexión externa inusual a una IP marroquí extraña
y una sesión de SMB que no se pudo iniciar con la IP a través de un puerto muy inusual. Dos
horas después, el ciberdelincuente estableció unos canales de comando y control más
potentes, conectándose a destinos extraños en la India, China e Italia.
A pesar de que el equipo olvidó activar antes las alertas de Darktrace, la Cyber AI aun
así pudo reconocer cada paso de este ataque avanzado, lo que permitió al equipo
responder eficazmente y evitar más daños.
El dispositivo procedió a realizar una serie de consultas de directorio SMB, más actividad
que la Cyber AI reconoció como desviada en función de su comprensión del dispositivo
en particular.