Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sophos Hindsight Cybersecurity Wpes
Sophos Hindsight Cybersecurity Wpes
retrospectiva
Siete lecciones clave aprendidas por las víctimas de filtraciones
"Locura es hacer lo mismo una y otra vez esperando obtener resultados diferentes" – Albert Einstein
En todos los ámbitos de la vida, cometer un error es una oportunidad para aprender y asegurarse de que
no vuelva a ocurrir lo mismo. La ciberseguridad no es una excepción.
Este informe, elaborado por Rob Collins, ingeniero especialista en sistemas de Sophos Managed Threat
Response y Rapid Response, comparte siete lecciones clave aprendidas por las víctimas de filtraciones.
Cada lección incluye recomendaciones y consejos sencillos, muchos de los cuales no requieren que las
organizaciones compren ninguna herramienta. Al disponer de esta información, podrá proteger mejor
su organización y evitar ser víctima de una filtración.
Contenido
Lección aprendida n.º 1:
Imponer la MFA para la administración del sistema y las consolas de seguridad 3
Todo administrador conoce las ventajas de la MFA para acceder a las aplicaciones empresariales. Protegen nuestros datos de
Office365 y Salesforce, incluso si un adversario obtiene, adivina, compra o consigue por fuerza bruta un nombre de usuario y
una contraseña.
Sin embargo, cuando las aplicaciones se trasladan a la nube, las consolas de inicio de sesión de esas aplicaciones también
quedan expuestas a Internet. La administración y la seguridad del sistema también pasan a gestionarse "desde la nube" y, por
tanto, también precisan la MFA.
La técnica T1078 de MITRE ATT&CK ("Cuentas válidas") describe cómo los ciberdelincuentes utilizan las cuentas válidas para
obtener un acceso inicial a la red, eludir las defensas, obtener persistencia y aumentar sus privilegios.
Estas tácticas, a su vez, permiten eludir diversas defensas, como antivirus, control de aplicaciones, firewalls, sistemas de
detección/prevención de intrusiones y controles de acceso al sistema. El uso no autorizado de cuentas válidas es muy difícil
de detectar, ya que se parecen mucho a lo habitual.
Las cuentas válidas son una de las cinco técnicas principales que Sophos ha observado para conseguir el acceso inicial
(https://attack.mitre.org/tactics/TA0001/), tal y como se recoge en el Manual de estrategias del adversario activo 2021.
Algunas herramientas de administración (por ejemplo, Solarwinds, Webroot, Kaseya y Connectwise) se han utilizado incluso
para entregar cargas maliciosas.
¿Qué ocurre cuando un ciberdelincuente accede a una consola de seguridad? En el ejemplo siguiente, el atacante
simplemente escribió su propia política y desactivó todas las opciones de seguridad.
Incluso los sistemas de administración de seguridad locales deberían utilizar la MFA si es posible; la vida es más fácil para un
adversario si puede desactivar las soluciones de seguridad antes de desplegar su malware. Si usa una VPN para acceder a la
red, le recomendamos encarecidamente que también active la MFA en ella.
Al habilitar la MFA para sus herramientas de administración y seguridad del sistema se logran tres objetivos:
Ì Genera alertas para los intentos de acceso, lo que permite a un administrador bloquear futuros intentos según sea necesario.
Activar la MFA a menudo no cuesta más que su tiempo. Si ha estado ignorando los enormes banners de "Habilitar MFA" en sus
consolas, ya es hora de que adopte esa medida. Si su proveedor de seguridad no ofrece opciones de MFA, es hora de preguntar
por qué no.
Según nuestro Manual de estrategias del adversario activo 2021, el RDP integrado de Microsoft se utilizó para acceder a las
organizaciones desde Internet en el 32 % de los ataques, lo que lo convierte en el método número uno usado para el acceso
inicial.
A diferencia de otras herramientas de acceso remoto, el RDP no suele requerir nada más que un nombre de usuario y una
contraseña y, a menudo, el nombre de usuario queda expuesto (para que sea más fácil iniciar sesión la próxima vez). El RDP se
ha visto incluso afectado por vulnerabilidades a lo largo del tiempo que permiten el acceso sin ningún tipo de credenciales.
El uso indebido del RDP encaja en varias técnicas de MITRE ATT&CK, pero la principal sería la T1133 (Servicios remotos
externos). Otras técnicas de MITRE ATT&CK que afectan al RDP incluyen:
Una vez que un atacante se ha conectado correctamente a una sesión de RDP, es lo más cerca posible de sentarse
literalmente frente al teclado y al ratón, y ni siquiera el centro de datos más seguro físicamente del mundo puede ayudar.
El RDP expuesto externamente tiene fácil solución: simplemente no lo exponga. No enrute el puerto TCP:3389 en su firewall
a nada. Y no crea que usar un puerto diferente ayuda. Lo veo venir… ¡doce mil RDP en el puerto 3388!
Aunque la cura parezca sencilla, Shodan.IO (un motor de búsqueda para el Internet de las cosas) muestra más de 3,3 millones
de puertos RDP 3389 expuestos a nivel mundial y fáciles de encontrar. ¿Por qué es tan popular? Permitir el acceso a RDP es
una forma rápida y sencilla de dejar que alguien se haga cargo de la administración remota del sistema, como por ejemplo para
que un proveedor de servicios administrados gestione el servidor de un cliente, o para que un dentista acceda al sistema de su
oficina desde casa.
Si se requiere acceso remoto al RDP o Terminal Services, solo deben ser accesibles a través de una conexión VPN segura (con
MFA) a la red corporativa o a través de una puerta de enlace de acceso remoto Zero Trust.
Esta mentalidad proviene de una larga historia (al menos en el mundo de las tecnologías de la información) en que la seguridad
de endpoints ha sido diseñada para detener un fragmento de malware en caso de que de alguna manera se introduzca en
ese sistema. Por lo tanto, si el sistema estaba aislado, se restauraba fácilmente, no era importante o "siempre se tenía mucho
cuidado", no se necesitaba protección.
Algunos consideran que las estaciones de trabajo o los portátiles de los usuarios son menos importantes que los servidores,
de modo que solo protegen los servidores. En realidad, según el Manual de estrategias del adversario activo 2021 de Sophos, el
54 % de los ataques implicaron sistemas sin protección.
Tanto la seguridad de endpoints como la forma en que se producen los ataques han cambiado drásticamente en los
últimos tiempos. Los ciberdelincuentes han desarrollado sofisticadas tácticas para "vivir de la tierra" en las que utilizan
las herramientas de administración (por ejemplo, PowerShell), los entornos de scripting (por ejemplo, JavaScript), las
configuraciones del sistema (por ejemplo, tareas programadas y políticas de grupo), los servicios de red (por ejemplo, SMB y
recursos compartidos de administración y WMI) y las aplicaciones válidas (como TeamViewer, AnyDesk o ScreenConnect) de
la empresa en cuestión para evitar tener que utilizar malware real para lograr sus objetivos. Lo que se consideraban técnicas
de Estados nación y amenazas persistentes avanzadas (APT) ahora son utilizadas incluso por los ciberdelincuentes menos
sofisticados.
Sin embargo, el objetivo de los adversarios sigue siendo en gran medida el mismo: ganar dinero. Esto podría ser mediante el
despliegue de ransomware (a menudo después de la exfiltración de datos y la eliminación de copias de seguridad para hacer
el pago del rescate más convincente), la extracción de criptomonedas, la obtención de información de identificación personal
(PII) para vender o el espionaje industrial.
En respuesta, la seguridad de endpoints ha evolucionado y ahora detecta y previene comportamientos maliciosos al tiempo
que ofrece visibilidad detallada, contexto y herramientas de búsqueda de amenazas. Esta evolución de la protección se pierde
si no se despliega. Los sistemas desprotegidos son puntos ciegos.
Un sistema desprotegido con acceso a Internet puede ser una puerta de enlace secreta a sus activos críticos internos.
Suelen lanzar ataques desde un sistema que está conectado como intermediario utilizando un troyano o stager a través de un
canal de comando y control en el puerto 443 (es difícil identificar el tráfico cifrado anómalo). No es importante si se trata de un
sistema de servidor o de usuario, ya que todos ejecutan un conjunto similar de funciones básicas. El adversario puede acceder
a los sistemas de la misma manera que lo haría un usuario.
Hagamos una lista de las técnicas disponibles para atacar un sistema a través de la LAN (enlaces a MITRE ATT&CK):
Comandos simples para usar WMI para mover malware a otro dispositivo y ejecutarlo
Con tantas opciones disponibles para los ciberdelincuentes, necesitamos la visibilidad y la protección que ofrece el despliegue
de la protección de endpoints en todos los sistemas posibles, incluso en aquellos sin acceso directo a Internet. Si bien la
actividad en el sistema intermediario puede parecer benigna (por ejemplo, establecer una conexión RDP), los resultados en el
sistema desprotegido pueden ser catastróficos.
Eliminar los puntos ciegos mediante el despliegue de la protección de endpoints en todas partes significa que los atacantes
tienen menos lugares donde esconderse. Esto es importante porque si los adversarios pueden esconderse en los sistemas,
pueden pasar desapercibidos durante días, semanas o incluso meses, recopilando información silenciosamente sobre su
entorno, usuarios, redes, aplicaciones y datos. Encontrarán los sistemas al final de su vida útil, servidores Linux, hipervisores y
aplicaciones desatendidas y sin parches, y luego seguirán indagando hasta que estén listos para el ataque final.
La mayoría de las veces, su procedimiento operativo estándar es desactivar la seguridad de endpoints (cosa que pueden
hacer porque han obtenido privilegios elevados o incluso a nivel de sistema), exfiltrar y luego eliminar las copias de seguridad y
desplegar el ransomware como servicio que se les antoje.
Recientemente se recurrió a Sophos Rapid Response para hacer frente a un incidente relacionado con un sistema
desprotegido. Este caso es un excelente ejemplo de por qué, en retrospectiva, la protección de endpoints debería haberse
desplegado en todas partes.
Otra complicación es que se pueden configurar cuentas de prueba, cuentas de servicio para acceso no humano, API, cuentas
para que terceros accedan a sus sistemas (por ejemplo, un servicio de asistencia técnica subcontratado) o tener equipos con
credenciales incrustadas en el código.
Sabemos que los empleados utilizan las credenciales de su organización con servicios en línea no relacionados, y la mayoría
utiliza una dirección de correo electrónico en lugar del nombre de usuario, lo que aumenta la exposición a las amenazas. La
reutilización de contraseñas es algo habitual, por lo que una vez obtenida una, proporciona la llave para muchas otras puertas.
La pandemia de COVID-19 hizo que las organizaciones se inclinaran rápidamente por permitir el acceso remoto para todos,
exponiendo aún más la superficie de ataque al uso no autorizado de VPN y herramientas de acceso remoto.
Los métodos externos, como el phishing (T1598), la fuerza bruta (T1110), la ingeniería social (que puede ser tan sencillo como
que alguien se haga pasar por un proveedor de TI de confianza y pida la creación de una cuenta – T1593.1) y la inyección de
código SQL (T1190), a veces se agrupan en la "compilación de muchas brechas" (COMB, por sus siglas en inglés) y pasan a
estar disponibles mediante pago o incluso gratis.
Los oportunistas tratan de hacer coincidir las credenciales obtenidas con sus métodos de acceso externo (RDP - véase
Lección aprendida n.º 2, VPN, FTP, Terminal Services, CPanel, herramientas de acceso remoto como TeamViewer, servicios
en la nube como O365 o consolas de seguridad) en una técnica conocida como relleno de credenciales para ver si alguna
funciona. Dado que no se puede esperar que los usuarios recuerden más que unas pocas contraseñas, es habitual que las
credenciales se reutilicen y que los nombres de usuario a menudo se deduzcan a partir de los formatos de las direcciones de
correo electrónico. Es por esta razón que la autenticación multifactor (MFA/2FA) es importante en todos los accesos externos
a internos (véase Lección aprendida n.º 1). Una vez que un conjunto de credenciales se empareja con éxito con un método de
acceso remoto, el ciberdelincuente puede convertirse en un usuario válido, oculto en su organización.
Con un conjunto válido de credenciales y acceso, el atacante podría parecerse a cualquier otro empleado.
Antes de pasar a los métodos de aumento de privilegios, es importante señalar que existen otros métodos de acceso que
no requieren credenciales. Se han utilizado exploits (T1212) o contraseñas por defecto (T1078.1) en concentradores VPN,
Exchange, firewalls/enrutadores, servidores web e inyección de código SQL para afianzarse. Las descargas automáticas
también se pueden utilizar para establecer una puerta trasera (T1189). Una vez dentro, las cuentas de usuario básicas siguen
teniendo acceso suficiente para llevar a cabo diversas técnicas de reconocimiento y trazar una forma de pasar a un acceso con
más privilegios o crear cuentas para mantener el acceso.
Como atacante, debo intentar evitar el uso de cualquier herramienta que pueda alertar de mi presencia, por lo que podría
simplemente:
Ì Buscar en LDAP para ver qué otras cuentas pueden ser interesantes (T1087.2)
Ì Instalar una herramienta de comando y control basada en PowerShell para poder volver
a entrar aunque se cambie la contraseña o se parchee el exploit (T1059.1)
Ì Descubrir qué programas están instalados: las herramientas de acceso remoto y las de
administración como PSExec y PSKill pueden ser muy útiles si ya existen (T1592.2)
A continuación, y solo si es necesario, el atacante puede pasar a instalar o utilizar "programas potencialmente no deseados".
Las mencionadas PSExec y PSKill son herramientas de administración oficiales de Microsoft, pero tienen muchos otros usos.
IOBit, GMER, Process Hacker, AutoIT, Nircmd, escáneres de puertos y rastreadores de paquetes se han utilizado en ataques en
los que hemos trabajado. El objetivo de estas herramientas es paralizar cualquier solución de seguridad de endpoints para que
el atacante pueda pasar al siguiente paso en el que utiliza herramientas que probablemente levantarían sospechas.
Las herramientas más habituales para encontrar cuentas con privilegios más altos son Mimikatz, IcedID, PowerSploit y Cobalt
Strike. Trickbot también era un viejo favorito. Contienen funciones sofisticadas para capturar, interpretar, exportar y manipular
las mismas piezas de información que las redes utilizan para autenticar a los usuarios (por ejemplo, Kerberos). Aunque los
datos están cifrados hasta cierto punto, esto ha demostrado ser solo un inconveniente para los atacantes expertos. El token
cifrado que representa la cuenta válida a menudo se puede pasar y aceptar a través de la red, lo que se conoce como técnicas
pass-the-hash (T1550.2) y pass-the-ticket (T1550.3). Se utilizan enormes tablas de contraseñas y el aspecto que tendrían
sus versiones cifradas para cotejar rápidamente una contraseña cifrada con la versión en texto sin cifrar (T1110.2). Las
herramientas de registro de teclas se pueden utilizar para capturar las pulsaciones del teclado en un dispositivo la próxima
vez que alguien inicie sesión. Se han detectado ciertas vulnerabilidades que permiten acceder a las credenciales, incluso sin
derechos de administración, como HiveNightmare/SeriousSam y PrintNightmare. Y por si todo esto fuera poco, hay kits de
herramientas fácilmente disponibles, como LaZagne, que lo hacen todo por uno mismo, incluso recuperar las contraseñas
almacenadas en navegadores, software de mensajería instantánea, bases de datos, juegos, correo electrónico y WiFi.
Proteger su organización
El problema es grave, las consecuencias son reales, pero las soluciones son bien conocidas y se abordan a través de las
personas, los procesos y la tecnología. La formación de los empleados en ciberseguridad suele centrarse en las personas:
Ì La superficie de ataque externa debe ser lo más pequeña posible y mantenerse actualizada.
Ì Mantener el número de cuentas de alto nivel al mínimo. Digamos que ocho administradores de dominio son demasiados.
Ì Higiene de las cuentas de servicio: eliminar las cuentas de prueba y de servicio no utilizadas.
Estas aplicaciones son herramientas útiles cuando el propio equipo de TI las instala y utiliza internamente. Cuando las instala y
usa cualquier otra persona, se consideran PUA y, a menudo, las soluciones de seguridad de endpoints reconocidas las señalan
como tales. Para poder usar estas herramientas sin impedimentos, muchos administradores simplemente añaden las que
usan a una exclusión global o lista de permitidos en la configuración de su solución de seguridad de endpoints. Por desgracia,
este método de exclusión también permite la instalación y el uso de las herramientas por parte de personas no autorizadas, a
menudo sin ningún tipo de supervisión, alertas o notificaciones.
PUA problemáticas
Algunas de las PUA más comunes encontradas y utilizadas por los adversarios incluyen:
Ì PSExec: "…sustituto ligero de telnet que permite ejecutar procesos en otros sistemas, con total interactividad para las
aplicaciones de consola, sin tener que instalar manualmente el software cliente. Los usos más potentes de PSExec
incluyen el lanzamiento de comandos interactivos en sistemas remotos y herramientas de habilitación remota
como IpConfig que, de otro modo, no tienen la capacidad de mostrar información sobre sistemas remotos".
Ì PSKill: puede "terminar procesos en sistemas remotos. Ni siquiera es necesario instalar un cliente
en el ordenador de destino para utilizar PSKill para terminar un proceso remoto".
Ì IOBit: tiene potentes capacidades de desinstalación y a menudo se utiliza para eliminar software de seguridad.
Si una herramienta ha sido excluida, un atacante la puede igualmente intentar instalar y usar aunque no esté instalada en un
dispositivo concreto. El conjunto de técnicas de adversarios conocido como "vivir de la tierra" implica que los ciberdelincuentes
utilizan características y herramientas preexistentes para evitar la detección durante el mayor tiempo posible. Permiten a
los atacantes llevar a cabo la detección, el acceso a las credenciales, el aumento de privilegios, la evasión de defensas, la
persistencia, la propagación lateral, la recopilación y la exfiltración sin que se levante una sola sospecha.
Para cuando el adversario está listo para desplegar la última etapa del ataque, el impacto (por ejemplo, la carga del
ransomware), ya es demasiado tarde: las herramientas de seguridad ya han sido deshabilitadas (¿por PSKill o IOBit?), se ha
obtenido un alto nivel de acceso a las credenciales (¿por GMER o ProcDump?), los datos ya se han transferido a la Web Oscura
(¿en archivos 7Zip?) y el malware se ha preposicionado en sistemas clave (o peor aún, archivos compartidos a nivel de dominio
como SYSVOL o NETLOGON) listo para su ejecución (¿por PSExec?). Cuantas más PUA encuentren los atacantes, mayor será la
superficie de ataque con la que podrán trabajar.
Nuestra recomendación es permitir las PUA de forma muy controlada: aplicación específica, equipos específicos, tiempos
específicos y usuarios específicos. Esto puede lograrse mediante una política con la exclusión requerida, que se aplica y luego
se elimina según sea necesario. Cualquier uso de PUA no esperado que se detecte debe investigarse, ya que puede ser indicio
de que un ciberdelincuente tiene acceso a su entorno.
Lo que esto significa en el mundo real es que sus capacidades de ciberdefensa también deben funcionar a todas las horas
del día. Debe encontrar sus propias debilidades y subsanarlas antes de que un adversario las encuentre. También hay que ser
consciente de lo que podría hacer el adversario si encuentra un punto débil.
Aplicación de parches
Si bien la aplicación de parches en el sistema operativo y en las aplicaciones es una preocupación importante y constante, la
aplicación de parches en los sistemas de cara al público es fundamental. Según el Manual de estrategias del adversario activo
2021 de Sophos, la explotación de aplicaciones de cara al público es una de las cinco técnicas principales utilizadas para
obtener acceso inicial durante una brecha de seguridad. Entre los ejemplos recientes de mayor repercusión se encuentran
los exploits de Microsoft Exchange ProxyLogon (también conocido como Hafnium) y ProxyShell, y una vulnerabilidad de
Confluence que fue explotada una semana después de su divulgación durante el puente del Día del Trabajo en EE. UU. Este
año también se han explotado las soluciones de VPN de varios de los principales jugadores de esta partida. WordPress, la
aplicación detrás de muchos sitios web, es una víctima constante de explotación.
La única solución real es contar con un inventario sólido de los sistemas de cara al público, supervisar esos sistemas en busca
de divulgaciones de vulnerabilidades y parchearlos tan pronto como sea posible. No espere a tener noticias de un exploit o
a que un proveedor cree una notificación de vulnerabilidad y exposición común (CVE). Microsoft proporcionó parches para
Exchange en abril y mayo de 2021 contra ProxyShell, pero lamentablemente no reveló las vulnerabilidades hasta el 13 de julio,
lo que llevó a muchos a creer que los parches no eran importantes.
El panorama de amenazas
Mantenerse al tanto de las últimas tácticas, técnicas y procedimientos de los ciberdelincuentes es una parte importante de su
defensa. Conozca a su enemigo. Si oye hablar de la filtración de las credenciales de 500 000 usuarios de VPN en la Web Oscura
y utiliza la misma tecnología de VPN, investigue. Si lee que Exchange está siendo explotado para desplegar ransomware y tiene
un servidor Exchange, investigue más a fondo.
Ì https://www.bleepingcomputer.com
Ì https://us-cert.cisa.gov
Ì https://www.ncsc.gov.uk/section/keep-up-to-date/reports-advisories
Ì https://www.cyber.gov.au
Ì https://news.sophos.com/es-es
Ì https://nakedsecurity.sophos.com
TI en la sombra
No es raro que la parte "empresarial" de una organización se desmarque de TI y aplique una solución por su cuenta, lo que se
conoce como "TI en la sombra". Puede que quieran evitar el escrutinio o agilizar un proyecto, o puede ser que el departamento
de TI haya dicho "no", por lo que buscan otra manera. Aunque la solución de TI en la sombra no haya sido sancionada, esto no
significa que pueda ser ignorada. Asegúrese de que está totalmente aislada o bien vuelva a tenerla controlada. Trabajar en
estrecha colaboración con la empresa para encontrar soluciones efectivas ayuda a evitar la TI en la sombra, pero también hay
que monitorizar los nuevos sistemas y aplicaciones que podrían dejarle expuesto.
Recomendamos a las organizaciones que busquen un servicio administrado capaz de gestionar una brecha a las 2 de la
madrugada del sábado de un fin de semana largo. Uno que tenga conocimiento de la situación global y pueda traducirlo en
mejorar la postura de riesgo de su organización. Asegúrese de seleccionar un proveedor que pueda tomar medidas, no solo
enviarle una notificación, a menos que quiera encargarse de la defensa manual (y tenga la experiencia para hacerlo) mientras
intenta disfrutar de un tiempo fuera de la oficina.
Tener un plan
Un plan de respuesta a incidentes (IR) es una buena manera de trazar las acciones que debe tomar en caso de un ataque. ¿Es
grave el incidente? ¿Dónde están los sistemas críticos y cómo aislarlos? ¿Cómo comunicarse y con quién? ¿A quién dirigirse
y qué medidas tomar? ¿Qué pasa con las copias de seguridad? Mantenga su plan de IR simple y de alto nivel para que sea fácil
de seguir en una situación de infracción de mucha presión, y confíe en que el equipo piense rápido. El Manual del administrador
de incidentes de SANS tiene una excelente sección sobre preparación, al igual que la propia Guía de respuesta a incidentes de
Sophos.
Planifique con antelación y tenga a mano los datos de contacto de un par de empresas de IR. Sugerimos un par porque el
sector de la IR puede alcanzar su capacidad muy rápidamente si hay ataques frecuentes o a gran escala. Si el ataque es contra
servidores y endpoints, como un incidente de ransomware, sugerimos que primero se ponga en contacto con su proveedor de
seguridad de endpoints si presta un servicio de IR. Es probable que tengan telemetría de su entorno y acceso a herramientas
preinstaladas como EDR/XDR, lo que les permite adoptar medidas de remediación rápidamente. Quizá piense el proveedor
le ha defraudado pero, en realidad, la gran mayoría de las filtraciones se deben a fallos de personas o de procesos y no a la
tecnología.
Ì Recurra a las autoridades locales: es probable que se haya cometido un delito y que tengan recursos que pueden ayudar.
Ì Si tiene un ciberseguro, póngase en contacto con su aseguradora y póngale al corriente del incidente.
Ì Si trabaja con un proveedor de tecnología o un integrador de sistemas, es posible que pueda proporcionarle
asistencia sobre el terreno con la recuperación, como restaurar las copias de seguridad.
Aislar y contener
No hay recomendaciones estrictas en este sentido, aparte de aislar y contener lo mejor que se pueda. Esto puede incluir
apagar la alimentación, desconectar Internet y desenchufar los cables de red, utilizar aislamiento basado en software, aplicar
reglas de firewall de denegación de acceso y apagar los sistemas críticos. Si todavía tiene un controlador de dominio funcional,
trate de mantenerlo así apagándolo o desconectándolo de la red. Si tiene copias de seguridad, asegúrese de que están aisladas
y fuera de la red. Debe cambiar las contraseñas que sospeche que pueden estar comprometidas y restablecer las cuentas.
Los servicios de respuesta a incidentes se prestan en gran medida a través de Internet, así que solicite su consejo para
volver a conectar los sistemas. Para cuando se observan indicios de ransomware, el ataque suele estar en sus fases finales;
sin embargo, es importante expulsar a los ciberdelincuentes antes de que comience el trabajo de restauración, para que no
vuelvan a atacar.
No pagar el rescate
Aunque puede parecer la salida fácil, pagar el rescate envalentona aún más a los delincuentes. Atrás quedaron los días en que
el rescate era de 500 USD para desbloquear un equipo: el Informe del estado del ransomware 2021 de Sophos revela que el
rescate medio pagado por las organizaciones medianas el año pasado fue de 170 404 USD. Los ciberdelincuentes buscan
sus datos críticos, a menudo los exfiltran a la Web Oscura para venderlos, eliminan las copias de seguridad y luego cifran los
datos. Lo que no dicen cuando piden el rescate es que es muy poco probable que recupere todos sus datos; de hecho, nuestra
encuesta reveló que solo el 65 % de los datos cifrados se restauraron después de pagar el rescate, de modo que más de un
tercio quedaron inaccesibles.
Monográficos de Sophos. Noviembre de 2021 14
Ciberseguridad en retrospectiva
El ransomware, como cualquier software, tiene errores y vulnerabilidades, y los operadores humanos que están detrás también
pueden tener días malos. Aunque ocasionalmente esto puede jugar a su favor, en general, complica aún más el desafío de
descifrar los datos. Es más, las bandas de ransomware pueden desaparecer de la noche a la mañana, solo para reaparecer con
una nueva marca si las cosas les salen mal, dejándole sin acceso a una clave de descifrado.
Tenga en cuenta que la legalidad del pago de rescates varía en todo el mundo. Sería conveniente que se mantuviera al día
sobre las limitaciones o restricciones del país o países en que opera su organización.
Hace poco vimos la nota de Lockfile por primera vez y observamos cómo imitaba a Lockbit 2.0 pero usaba una estrategia de
despliegue mucho más agresiva. Esto significaba que podíamos aplicar los valiosos aprendizajes de nuestras experiencias
con Lockbit 2.0 a cada uno de los ataques posteriores de Lockfile, especialmente en cuanto a la identificación temprana de
indicadores de infracción (IoB). Conserve la nota de rescate: suelen ser simples documentos de texto o HTML que pueden
guardarse fácilmente en otro lugar.
Otro elemento interesante que debe conservarse para el análisis suele ser una muestra del propio ransomware o malware. El
estándar del sector es añadirlos a un archivo comprimido con la contraseña "virus" o "infectado" y guardarlos en algún lugar
seguro. El archivo .zip protegido con contraseña se puede pasar con seguridad a los analistas si es necesario. El malware
puede revertirse para descubrir su modus operandi, lo que ayuda a los expertos en respuesta e investigadores a acotar dónde
buscar daños.
Si es posible, conserve también las imágenes del sistema y de la máquina virtual. Para obtener más puntos, todas las pruebas
forenses deben almacenarse utilizando cifrado y el hash SHA256 registrado en el momento de la recopilación, en caso de
que deban utilizarse en los tribunales y sea necesario demostrar que no han sido manipuladas. Aunque es poco frecuente,
esto puede ser necesario si las reclamaciones del seguro acaban en los tribunales o si tiene que demostrar a un organismo
gubernamental que no ha infringido las leyes de divulgación.
Atribución y represalias
En muchos casos, hay varios grupos detrás de un ataque de ransomware. El grupo uno podría obtener el acceso inicial. Vende
el acceso al grupo dos. El grupo dos utiliza ransomware como servicio del grupo tres para llevar a cabo el ataque. Los diferentes
grupos, y sus miembros, suelen estar repartidos por muchos países. Atribuir la filtración a un solo grupo es difícil y no ayudará
mucho durante el caos posterior a la misma. Por lo general, la información de la nota de rescate y los puntos en común de las
tácticas, técnicas y procedimientos (TTP) permitirán a un equipo experimentado de respuesta a incidentes saber rápidamente
a qué y a quién se enfrentan.
Se desaconseja encarecidamente intentar devolver el golpe, lo que se conoce como "hack back". De entrada es probablemente
ilegal y puede empeorar la situación.
Ì Establecer las funciones y responsabilidades, identificar la escala de impacto, establecer las preferencias de comunicación.
Ì Investigar y analizar la amenaza activa, detener los daños, identificar los indicadores de peligro (IoC).
Ì Si es necesario, designar a un especialista para que le asesore sobre cómo gestionar y negociar una demanda de rescate.
Ì Si es necesario, designar a un especialista para que le asesore sobre la naturaleza del acceso, la exfiltración y la recuperación
de datos; identificar la forma más económica de restaurar los datos (pago de rescate, descifrado, copias de seguridad, etc.).
Ì Implementar acciones preventivas, eliminar el acceso de los atacantes, establecer la cronología del incidente.
Ì Elaborar un informe final que indique el estado del entorno, el análisis de la causa raíz, la naturaleza
del ataque y las tácticas, técnicas y procedimientos de los ciberdelincuentes identificados.
Si bien la mayoría de las aseguradoras tienen un "panel de proveedores" de productos/servicios para cada una de las
actividades mencionadas, cuando se contrata una póliza vale la pena analizar por adelantado qué actividades y los
correspondientes proveedores que estarán cubiertos si se sufre un ciberataque importante. La mayoría de las pólizas de
ciberseguridad admiten el uso de proveedores preexistentes, pero es mejor asegurarse de la compatibilidad desde un principio.
El cambio de agentes de protección durante un incidente crea tanto trabajo adicional como riesgos para la seguridad; a
menudo, la solución existente evita que el ataque se intensifique y no debe ser eliminada.
Comunicación
La comunicación se ve obstaculizada por una filtración. Los sistemas de correo electrónico pueden estar sin conexión, las
copias electrónicas de su póliza y plan de IR cifrados, y el ciberdelincuente podría estar monitorizando sus comunicaciones.
Prepárese para ello y disponga de un método de comunicación alternativo, como una aplicación de mensajería instantánea,
para poder comunicarse por un canal separado con su equipo y todos los demás implicados. Los datos del seguro, el plan de IR
y los contactos de la empresa de IR deben conservarse en formato físico.
Practicar
Los ejercicios de simulación son una excelente manera de practicar en caso de filtración de datos o ataque de ransomware.
Para añadir realismo, llévelo a cabo a las 2 de la madrugada de un fin de semana largo y evite el uso del sistema de correo
electrónico corporativo.
Más recursos
Los siguientes artículos explican qué puede esperarse cuando se sufre el ataque de algunas de las familias más comunes de
ransomware. Son una gran herramienta de aprendizaje, sin tener que experimentar de primera mano el dolor.
Servicio 24/7/365 de búsqueda y respuesta a amenazas: Sophos Managed Threat Response (MTR)
Los ciberataques más avanzados están perpetrados por humanos y requieren una respuesta realizada por humanos. De ahí
Sophos Managed Threat Response (MTR), un servicio 24/7 que añade la experiencia humana a su estrategia de seguridad
por capas. Un equipo de élite de cazadores de amenazas busca y valida de forma proactiva las amenazas potenciales en
su nombre. Si se les autoriza, adoptan medidas para interrumpir, contener y neutralizar amenazas, además de brindar
asesoramiento práctico para abordar la causa raíz de los incidentes recurrentes.
Más información sobre Sophos MTR
Las funciones de detección y respuesta ampliadas (XDR) de Sophos permiten a las organizaciones detectar e investigar en
endpoints, servidores, firewalls y otros datos. Le proporciona la información y los datos contextuales que necesita para actuar
con mayor rapidez y eficacia.
Más información sobre Sophos Endpoint | Más información sobre Sophos XDR
Sophos Firewall ofrece herramientas de segmentación sencillas y flexibles como zonas y redes VLAN para proteger su LAN
y disminuir el riesgo de propagación lateral, lo que reduce el área de la superficie de ataque y minimiza el riesgo y el posible
alcance de la propagación.
Más información sobre Sophos Firewall
21-11-26 EN (MP)