Detección de Amenazas

Ransomware
Principales ventajas
✔ La Cyber AI de autoaprendizaje
neutraliza el ransomware
emergente –sin depender de
reglas ni firmas de amenazas
✔ El Enterprise Immune System
identifica incluso las cepas de
ransomware nuevas y muy
focalizadas
✔ Antigena responde de forma
autónoma en tiempo real–sin
importar dónde, cuándo ni cómo
se inicie el ataque
✔ El Cyber AI Analyst investiga
automáticamente los incidentes
de ransomware, reuniendo la
información clave que necesita
para solucionarlo
Una nueva era de Ransomware
Debido a que las normas de los recursos y las innovaciones
técnicas actuales evolucionan rápidamente, los ataques de
ransomware cada vez son más sofisticados y más extendidos.
Están surgiendo nuevas cepas de ransomware para aprovechar
el malware sin archivos y los métodos de filtración de datos,
mientras que los atacantes oportunistas utilizan cualquier cambio
en las circunstancias para lanzar campañas más eficaces. Las
herramientas de seguridad convencionales, que solamente
detectan las ciberamenazas conocidas mediante reglas y firmas,
son incapaces de detectar las cepas de ransomware cada vez
más evolucionadas para las que no existen dichas firmas.
Los equipos de seguridad no pueden mantenerse al día frente a
estas amenazas utilizando únicamente los controles tradicionales,
especialmente cuando no tienen suficiente personal o están fuera
de la oficina. En su lugar, los negocios deben utilizar tecnología de
seguridad que pueda detener el ransomware en cuanto aparece,
antes de que pueda causar algún daño.
Plataforma de Cyber AI de Darktrace:
identificación y respuesta al ransomware
emergente
organización con el fin de reconocer las discretas desviaciones
que indican que se está produciendo una amenaza.
El Enterprise Immune System utiliza el conocimiento evolutivo de
la Cyber AI acerca de la ‘forma de ser’ de su negocio para señalar
todas las ciberamenazas, incluyendo el ransomware nunca visto
antes que elude todas las demás estrategias defensivas. Como
parte clave del enfoque del sistema inmune, el Cyber AI Analyst
investiga automáticamente todas las amenazas, ayudando a
identificar fácilmente cada dispositivo afectado y comunicar el
alcance total de un incidente de ransomware.
Al marcar un ataque grave, Darktrace Antigena –la tecnología
de Respuesta Autónoma de la plataforma– detiene la actividad
maliciosa en cuestión de segundos, neutralizando quirúrgicamente
los ataques al mismo tiempo que permite que continúen con
normalidad las operaciones del negocio. La tecnología se adapta
de forma inteligente a las amenazas a medida que se desarrollan
y proporciona una cobertura de 24 horas al día, durante los 7 días
de la semana para todos sus recursos, cuando los equipos de
seguridad están desbordados o simplemente no están cerca.
La resistencia a velocidad de máquina resulta fundamental para
minimizar el impacto del ransomware, que a menudo puede
cifrar la infraestructura de una empresa en cuestión de minutos.

Más de 4.000 ataques La plataforma Cyber AI de Darktrace es claramente capaz

La Plataforma de Cyber AI también tiene la capacidad única de
correlacionar los patrones de toda la empresa, proporcionando
de ransomware de neutralizar el ransomware avanzado en tiempo real –
control y conocimientos unificados cuando los ataques de
sin depender de ninguna firma o información de amenazas
ocurren cada día conocidas. Basada en el machine learning no supervisado y en
ransomware afectan a distintas partes del ecosistema digital:
desde plataformas de SaaS o de correo electrónico, hasta redes
las técnicas de aprendizaje profundo, la Cyber AI aprende los
Fuente: FBI corporativas o sistemas industriales.
‘patrones de vida’ normales de cada usuario y tecnología de la
 Detección de Amenazas | 2

Antigena Network: Neutralización de ataques a velocidad de máquina

Cuando aparece el ransomware, Antigena Network es la única solución que puede

interrumpir el ataque a velocidad de máquina con precisión quirúrgica, incluso aunque la
amenaza sea muy focalizada o totalmente desconocida. Responde de forma autónoma con 381 millones de dólares en pérdidas combinadas por
acciones inteligentes y proporcionadas–desde cortar una conexión hasta imponer un ‘patrón ransomware en el último año en tan solo 350 empresas
de vida’ normal a un dispositivo concreto. Cuando su equipo de seguridad está desbordado
Fuente: Hiscox, 2020
o fuera de la oficina, Antigena Network le proporciona la tranquilidad de saber que todo su
negocio está siempre protegido, las 24 horas al día, durante los 7 días de la semana.

Darktrace creadora de la tecnología de Respuesta Autónoma Antigena, la cual utiliza

el conocimiento evolutivo de la Cyber AI acerca de la organización para adaptarse a las
amenazas en tiempo real y ejecutar la acción más adecuada basándose en su contexto “Confiamos en la IA de Darktrace para combatir ataques de
específico. En lugar de aplicar un bloque binario (por ejemplo, poner en cuarentena todo el correo electrónico con total autonomía y a una velocidad
dispositivo) como lo harían las herramientas antiguas, Antigena actúa quirúrgicamente para vertiginosa, antes de que se produzcan daños.”
detener el ataque, garantizando que todas las operaciones comerciales puedan continuar
CIO, McLaren Group
con normalidad. La tecnología también puede integrarse con sus inversiones de seguridad
existentes para mejorar todo su portafolio de seguridad, proporcionando acciones y
conocimientos mediante inteligencia artificial a firewalls, SIEM y otras herramientas.

Figura 1: La Cyber AI identifica un ataque de ransomware


Interrupción del ransomware Ryuk
durante una prueba de Darktrace
Cuando el ransomware Ryuk atacó a una empresa que estaba probando Darktrace,
el Enterprise Immune System lo detectó al instante –y mostró cómo Antigena Network
podría haberlo detenido por completo.
Primero, la Cyber AI detectó una actividad del administrador muy inusual que no se había
visto anteriormente en la red. Después del incidente, la empresa rastreó el ataque inicial
hasta una parte de su red de la que Darktrace no tenía visibilidad durante dicho período de
prueba.
La Cyber AI se percató entonces de la descarga del terrible troyano bancario TrickBot,
después de lo cual se observó tráfico de comando y control. Aunque muchos dispositivos
mostraron un comportamiento anómalo, la Cyber AI identificó un dispositivo en origen.
Cuando finalmente se implementó el ransomware Ryuk, se cifraron más de 200.000 archivos
en solo 12 horas. Durante este período lleno de interferencias por numerosas actividades de
SMB sospechosas, la Cyber AI indicó aún más claramente el alcance del ataque.
A pesar de que el equipo no activó las alertas de Darktrace hasta después del cifrado,
este ataque de ransomware podría haberse detenido en cuanto el Enterprise Immune
System detectó el primer signo de que se estaba produciendo un ataque.
Figura 2: El gráfico de la interfaz de usuario muestra un ejemplo de un ataque
de ransomware: cada punto representa una alerta de Darktrace.
Detección de Amenazas | 3
Respuesta Autónoma en solo unos segundos
Si la empresa hubiera implementado la tecnología de Respuesta Autónoma Antigena Network,
la falta de atención prestada a las alertas de Darktrace no habría importado: aunque pasaron
cuatro horas desde la descarga del ejecutable hasta el primer archivo cifrado, Antigena
habría neutralizado la amenaza en cuestión de segundos. Las acciones que Antigena habría
realizado en respuesta a algunas de las alertas de este incidente incluyen:
 Sesión inusual en SMB del administrador: Ataques a credenciales utilizadas para
iniciar sesión en el servidor
Acción de Antigena: Esta anomalía por sí sola no solicita ninguna acción, pero
aumenta el nivel de alerta.
 Nuevas credenciales de administrador en el client: El atacante utilizó varias
credenciales de administrador nuevas en el dispositivo
Acción de Antigena: Ahora, con pruebas muy fiables de que se está produciendo
una amenaza, Antigena impondría los ‘patrones de vida’ de inicio de sesión
normales del dispositivo; todos los administradores que normalmente inician
sesión en este dispositivo podrían continuar haciéndolo, mientras que los nuevos
inicios de sesión se bloquearían durante una hora.
 Escaneo de red: El atacante escaneó la red para identificar a más víctimas
Acción de Antigena: Este servidor nunca ha escaneado la red antes –solo los
dispositivos del administrador lo hacen. Por lo tanto, Antigena evitaría que el
dispositivo escaneara la red durante dos horas.
 Archivo EXE desde una ubicación externa extraña: Cargas de etapas posteriores
descargadas para una mayor infección
Acción de Antigena: Antigena seguiría permitiendo que el dispositivo realizara
descargas normales mientras que bloquearía las descargas de ubicaciones extrañas.
 Detección de Amenazas | 4

Antigena Email: Detención del ransomware en la fuente

Muchos ataques de ransomware se producen a través de plataformas de correo electrónico,
lo que demuestra que los enfoques de detección antiguos y las puertas de enlace de
correo electrónico tradicionales que se basan en reglas y firmas no son lo suficientemente
potentes como para detectar siempre el ransomware avanzado. Además, estas soluciones
tradicionales tienen un alcance limitado y no asocian la actividad del correo electrónico con
las acciones maliciosas relacionadas en toda la infraestructura digital.

Con la potencia de la Cyber AI, Antigena Email crea una comprensión profunda de la
persona que hay detrás de la dirección de correo electrónico. La tecnología se adapta
a sus recursos dinámicos con el fin de reconocer los cambios con matices en el
comportamiento que indican una campaña de ransomware.

Entonces, responde de forma autónoma y proporcional para detener la amenaza

a velocidad de máquina y proteger su organización de la exposición –aunque eso
signifique detener el correo electrónico por completo, bloquear un enlace o convertir los
archivos adjuntos en un tipo de archivo inofensivo.

Si el ransomware pasa por la bandeja de entrada y entra en la red, Antigena Email tiene
Figura 3: Antigena Email detecta una serie de correos electrónicos
la capacidad única de trabajar con el Enterprise Immune System para rastrear el origen
asociados a una campaña de ransomware
del ataque y evitar la propagación lateral.

Al correlacionar los patrones de actividad del resto del negocio con el entorno del correo
electrónico, la Cyber AI puede realizar un análisis de la causa principal para identificar
la fuente del correo electrónico y otra actividad del correo electrónico que pueda estar
relacionada con el incidente. A continuación, Antigena Email recuperará cualquier
correo electrónico malicioso adicional de las bandejas de entrada de otros empleados,
minimizando el alcance de un ataque de ransomware.
 Detección de Amenazas | 5

Enlaces maliciosos neutralizados en un gobierno municipal

Recientemente, el gobierno de un conocido municipio de los Estados Unidos fue víctima
de un ataque dirigido por correo electrónico que pudo haber sido un intento de introducir
un ransomware en la organización. Sin embargo, Antigena Email detectó la amenaza en
cuanto se produjo y se aseguró de que no se pudieran descargar cargas maliciosas,
ransomware o de otro tipo.

El ciberdelincuente parecía tener acceso a la libreta de direcciones del gobierno, ya que

cada correo electrónico estaba bien diseñado y personalizado para el destinatario al que
iba dirigido y fue enviado por orden alfabético, de la A a la Z.

Aunque cada correo electrónico parecía inofensivo, todos los mensajes contenían una
carga maliciosa oculta tras un botón camuflado de distintas formas como un enlace de
Netflix, Amazon y otros servicios de confianza. Figura 4: Antigena Email marcó cada correo electrónico como muy anómalo.
Antigena Email fue capaz de analizar estos enlaces ocultos en relación con los ‘patrones
de vida’ normales de los destinatarios a los que iban dirigidos. Cuando llegó el primer
correo electrónico, Antigena reconoció inmediatamente que ni el destinatario ni nadie de
su grupo de mismo nivel ni el resto de los empleados de la ciudad habían visitado antes
el dominio del remitente. “El ransomware se puede propagar por toda la red rápidamente,
por lo que necesitamos herramientas que puedan evitar que
La tecnología lanzó inmediatamente una alerta de alta confianza y sugirió bloquear de
forma autónoma cada enlace en cuanto entró en la red.
eso ocurra. La IA puede asumir el control de forma autónoma y
reaccionar en una fracción de segundo, lo que resulta muy útil
Debido a que Antigena se había implementado en ‘Modo pasivo’, no pudo actuar por su
para evitar daños.”
cuenta para detener la amenaza a velocidad de máquina –pero sí demostró la eficacia de
la Cyber AI y la Respuesta Autónoma. Mientras que Antigena detectó y trató de neutralizar
CIO, Ciudad de Las Vegas
la campaña en la letra ‘A’, las herramientas de seguridad antiguas del equipo se dieron
cuenta de la amenaza en la letra ‘R’.

En el ‘Modo activo’, Antigena habría neutralizado el ataque antes de que pudiera llegar
a un solo usuario, defendiendo a la importante organización de un posible ataque de
ransomware muy extendido.
 Detección de Amenazas | 6

Ransomware rastreado hasta una cuenta

de correo electrónico personal
Cuando un ransomware llegó a la bandeja de entrada de una gran empresa de
telecomunicaciones, la plataforma Cyber AI de Darktrace pudo detectar y contener de
forma autónoma el ataque antes de que pudiera cifrar un solo archivo.

El ataque inicial se produjo cuando un empleado accedió a su correo electrónico personal

desde un smartphone corporativo y fue engañado para que descargara un archivo malicioso
que contenía un ransomware. Segundos más tarde, el dispositivo empezó a conectarse a
un servidor externo en la red Tor y comenzaron las actividades de cifrado de SMB.

En solo nueve segundos, la Cyber AI generó una alerta priorizada que significaba que era
necesario investigar inmediatamente el comportamiento extraño.

Como el comportamiento continuó durante los siguientes segundos, la Cyber AI revisó su

valoración y Antigena respondió de forma autónoma.

A pesar de que el equipo de seguridad estuvo fuera de la oficina durante el fin de semana, Figura 5: Ejemplo de la interfaz de usuario mostrando cómo la Cyber AI
Antigena Network pudo detener el ataque por su cuenta, interrumpiendo todos los intentos informa de actividades de SMB anómalas similares.
de escribir archivos cifrados en recursos compartidos de red.

Si la empresa hubiera implementado Antigena Email, probablemente el ransomware

nunca se habría descargado. Ninguna herramienta es una solución milagrosa –pero “Darktrace ha reducido significativamente el tiempo que le lleva
incluso si el ransomware llegara a la red a través de la bandeja de entrada, Antigena
a nuestra empresa identificar amenazas”
Email correlacionaría la actividad maliciosa detectada en la red con el correo electrónico
original que había sido atacado. Después, la tecnología recuperaría otros correos Director Sénior de TI, Pacific Dental Services
electrónicos igualmente peligrosos de todos los recursos.

Solo con una comprensión evolutiva y profunda del ADN de su organización, Antigena
Email y toda la plataforma Cyber AI de Darktrace pueden proporcionar dicha detección y
respuesta en tiempo real ante sofisticados ataques de ransomware.
 Detección de Amenazas | 7

El Enterprise Immune System con el Cyber AI Analyst: compren-

sión del alcance total de un incidente de ransomware

La Cyber AI de autoaprendizaje permite que el Enterprise Immune System detecte

los cambios con matices en la actividad que indican un ransomware emergente –sin
depender de la información de amenazas conocidas. Con su comprensión evolutiva y
personalizada de los ‘patrones de vida’ normales de toda su infraestructura, el Enterprise
Immune System destaca incluso las desviaciones más discretas, asegurándose de que su
equipo de seguridad lo sepa en cuanto se produzca un ataque a velocidad de máquina.

El Cyber AI Analyst, un elemento clave del enfoque del sistema inmune, investiga
automáticamente cada evento anómalo detectado. Para las campañas de ransomware,
puede señalar cada dispositivo afectado, la fuente de infección y toda la información
contextual que necesita para iniciar la respuesta.

Se sabe que el Cyber AI Analyst reduce el tiempo de clasificación en un 92% y puede

destacar competentemente el ransomware emergente como una amenaza crítica que
requiere la valoración humana. Un ‘Informe de Incidentes’ generado por la inteligencia
artificial ofrecerá una línea de tiempo interactiva y un resumen narrativo conciso de la
campaña, así como los datos detallados del comportamiento del usuario o del dispositivo Figura 6: Ejemplo de la interfaz de usuario mostrando cómo el Cyber AI
relacionado. Analyst informa sobre un ataque de ransomware.

Dichos informes se actualizan de forma autónoma a medida que evoluciona la amenaza

y resultan cruciales para ayudar a los expertos en seguridad a obtener un conocimiento
de la situación, así como para compartir información clave incluso con partes interesadas
no técnicas. Cyber AI Analyst reduce el tiempo de clasificación
de una amenaza en un 92%.
 Detección de Amenazas | 8

Análisis experto de un ataque de Dharma El Enterprise Immune System detectó cada paso de esta campaña basándose en un
comportamiento anormal en el contexto de esta empresa –sin depender de firmas de
Cuando se lanzó una campaña de ransomware focalizado Dharma en una empresa del
amenazas que coincidieran.
Reino Unido, el Enterprise Immune System resultó vital para detectar dicha amenaza –y
demostró la potente capacidad del Cyber AI Analyst para reconocer e informar acerca Cuando se trata de un ataque como este, realizado durante un largo período de tiempo
de un ataque emergente. con distintos indicadores de actividad maliciosa, el Cyber AI Analyst resulta vital para
mostrar claramente la naturaleza y el alcance de la amenaza.
La Cyber AI detectó al instante el riesgo cuando un servidor RDP recibió una gran cantidad
de conexiones desde direcciones IP extrañas. Una investigación posterior reveló que la Con un Informe de incidentes del Cyber AI Analyst, el equipo pudo analizar fácilmente
credencial RDP probablemente había sido atacada en algún momento antes de dicho ataque. tanto un resumen de alto nivel acerca del ataque de ransomware como información
detallada de cada etapa del incidente.
Al día siguiente, la Cyber AI observó que el ciberdelincuente estaba abusando del protocolo
SMB versión 1. Entonces, se observó una conexión externa inusual a una IP marroquí extraña
y una sesión de SMB que no se pudo iniciar con la IP a través de un puerto muy inusual. Dos
horas después, el ciberdelincuente estableció unos canales de comando y control más
potentes, conectándose a destinos extraños en la India, China e Italia.

La Cyber AI detectó además un reconocimiento interno cuando las conexiones RDP

entrantes empezaron a escanear la red y se transfirió una gran cantidad de datos a una
IP inusual de Panamá.

Por último, se ejecutó la carga de Dharma. De forma paralela a la actividad de cifrado,

el ransomware intentó infectar a otros equipos utilizando una credencial de administrador
observada durante el reconocimiento interno. Cuando comenzó el cifrado, el personal de
IT desconectó de la corriente el servidor RDP.

A pesar de que el equipo olvidó activar antes las alertas de Darktrace, la Cyber AI aun
así pudo reconocer cada paso de este ataque avanzado, lo que permitió al equipo
responder eficazmente y evitar más daños.

Figura 7: El ejemplo de la UI muestra a Cyber AI Analyst

reportando sobre un ataque de ransomware.
 Detección de Amenazas | 9

El Industrial Immune System:

defensa de los sistemas operativos frente al ransomware
Cuando se trata de defenderse contra ransomware, el Industrial Immune System es la
solución más poderosa para la seguridad del entorno operativo moderno. Especialmente
frente a amenazas como el ransomware EKANS, que es el primer ransomware conocido
que apunta a maquinaria específica de ICS, es vital aprovechar las herramientas de
seguridad que pueden adaptarse continuamente a los entornos de OT y defender estos
sistemas incluso contra ataques de día cero.

Muchas campañas de ransomware también apuntan a entornos industriales a través de

vulnerabilidades en la infraestructura de TI. El riesgo indirecto representa una amenaza
adicional, ya que los sistemas OT pueden convertirse en daños colaterales durante los
ataques centrados en TI. Dado el daño potencial a la infraestructura crítica, la necesidad
de una tecnología de seguridad que pueda correlacionar patrones en distintas
infraestructuras es cada vez más urgente.

La IA de autoaprendizaje permite que el Industrial Immune System identifique claramente

las amenazas, incluso cuando son tan avanzadas como el ransomware más novedoso.
La tecnología puede aprender "patrones de vida" "normales" para tecnologías y tipos de
Figura 8: El panel de OT Engineer que muestra
implementación radicalmente diferentes, desde PLC de décadas de antigüedad hasta
una transferencia de archivo sospechosa
sensores distribuidos e Internet Industrial de las Cosas.

Además, con su visión unificada, la Cyber AI comprende la conexión entre la actividad

maliciosa en los sistemas de TI y el comportamiento en los sistemas OT, lo que la hace
claramente capaz de detener las amenazas que se mueven entre lo que tradicionalmente “Darktrace nos ayuda a estar un paso adelante de las amenazas
han sido silos de seguridad. emergentes y a defender mejor nuestros sistemas principales.”
Director de seguridad del grupo, Drax
 Detección de Amenazas | 10

Encuentro de ransomware en una refinería de petróleo

En una refinería y proveedor de petróleo integrado, el Industrial Immune System de
Darktrace fue crucial para detener un ataque de ransomware que se originó en la red
corporativa.

La Cyber AI identificó los primeros signos de una infección de ransomware en un

dispositivo de escritorio en la red. Además de escribir sus propios archivos de notas de
ransom, se descubrió que el dispositivo realizaba una serie de conexiones a destinos
externos raros a través de un servidor proxy interno y luego descargaba archivos
potencialmente maliciosos, actividades que Darktrace podría detectar y correlacionar
según su conocimiento granular de la “forma de ser” para la empresa.

El dispositivo procedió a realizar una serie de consultas de directorio SMB, más actividad
que la Cyber AI reconoció como desviada en función de su comprensión del dispositivo
en particular.

El Industrial Immune System marcó esta actividad y la destacó como probable

ransomware, alertando al equipo de seguridad del cliente antes de que la infección
pudiera propagarse a los entornos OT.
Figure 9: Un dispositivo infectado con ransomware identificado por Cyber AI
Gracias a la capacidad de la Cyber AI para conectar patrones de diversas infraestructuras,
el sistema industrial se defendió de este ataque a toda velocidad.

Acerca de Darktrace Para más información

Darktrace es una empresa líder en IA de ciberseguridad autónoma y creadora de la tecnología Autonomous
Response. La IA de autoaprendizaje es modelada en el sistema inmunológico humano y es utilizada por más  Visite darktrace.com
de 4.700 organizaciones para protegerse contra las amenazas dirigidas hacia la nube, correo electrónico, SaaS,  Agende una demo
redes traditionales, IoT (Internet de las cosas), endpoints, y sistemas industriales.
 YOUTUBE Visite nuestro canal YouTube
La empresa tiene más de 1.500 empleados y tiene su sede central en Cambridge, Reino Unido. Cada segundo, la
IA de Darktrace defiende contra una amenaza cibernética, evitando que causen daños.  TWITTER Síganos en Twitter
 Linkedin-In Síganos en LinkedIn
Darktrace © Copyright 2021 Darktrace Limited. Todos los derechos reservados. Darktrace es una marca registrada de
Darktrace Limited. Enterprise Immune System y Threat Visualizer son marcas comerciales no registradas de Darktrace
Limited. Otras marcas comerciales incluidas en este documento son propiedad de sus respectivos dueños.