Machine Translated by Google

TLP:BORRAR

CAMBIAR  REGISTRO

Versión Fecha Revisión/Cambio Sección/Página  Afectada

1.0 Septiembre  2020  Versión  inicial

2.0 febrero  2023

Guía  #StopRansomware

Publicación:  Mayo  2023

Este  documento  está  marcado  TLP:CLEAR.  La  divulgación  no  está  limitada.  Las  fuentes  pueden  usar  TLP:CLEAR  cuando  la  información  conlleva  un  riesgo  
mínimo  o  no  previsible  de  uso  indebido,  de  acuerdo  con  las  reglas  y  procedimientos  aplicables  para  la  divulgación  pública.  Sujeto  a  las  reglas  estándar  de  
derechos  de  autor,  la  información  TLP:CLEAR  puede  distribuirse  sin  restricciones.  Para  obtener  más  información  sobre  el  Protocolo  de  semáforo,  consulte  cisa.gov/tlp.

TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Cambiar  registro

Versión Fecha Revisión/Cambio  Descripción Sección/Página  Afectada

1.0 septiembre  2020 Versión  inicial

2.0 mayo  2023 Consulte  "Novedades"  en  la  página  3 Actualizaciones  a  lo  largo

Página  |  2 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

INTRODUCCIÓN
El  ransomware  es  una  forma  de  malware  diseñado  para  cifrar  
Esta  guía  fue  desarrollada  a  través  de  los  EE.
archivos  en  un  dispositivo,  inutilizándolos  a  ellos  y  a  los  
Grupo  de  trabajo  conjunto  contra  ransomware  (JRTF).
sistemas  que  dependen  de  ellos.
Luego,  los  actores  malintencionados  exigen  un  rescate   El  JRTF,  copresidido  por  CISA  y  el  FBI,  es  un  esfuerzo  de  

a  cambio  del  descifrado.  Con  el  tiempo,  los  actores  maliciosos   colaboración  entre  agencias  para  combatir  la  creciente  amenaza  

han  ajustado  sus  tácticas  de  ransomware  para  que  sean  más   de  los  ataques  de  ransomware.  El  JRTF  se  lanzó  en  respuesta  a  

destructivas  e  impactantes  y  también  han  exfiltrado  los  datos   una  serie  de  ataques  de  ransomware  de  alto  perfil  contra  la  

de  las  víctimas  y  presionado  a  las  víctimas  para  que   infraestructura  crítica  y  las  agencias  gubernamentales  de  

paguen  amenazándolas  con  liberar  los  datos  robados.  La   EE.  UU.  La  JRTF:

aplicación  de  ambas  tácticas  se  conoce  como  “doble  
extorsión”.  En  algunos  casos,  los  actores  maliciosos  pueden  
•  Coordina  y  agiliza  los  EE.  UU.
filtrar  datos  y  amenazar  con  liberarlos  como  su  única  
La  respuesta  del  gobierno  a  los  ataques  de  ransomware  
forma  de  extorsión  sin  emplear  ransomware.
y  facilita  el  intercambio  de  información  y  la  colaboración  
entre  agencias  gubernamentales  y  socios  del  sector  
Este  ransomware  y  los  incidentes  de  violación  de  datos  asociados   privado.

pueden  afectar  gravemente  los  procesos  comerciales  
•  Garantiza  la  coordinación  operativa  de  actividades  como  el  
al  impedir  que  las  organizaciones  accedan  a  los  datos  
desarrollo  y  el  intercambio  de  mejores  prácticas  
necesarios  para  operar  y  brindar  servicios  de  misión  crítica.  
para  prevenir  y  responder  a  los  ataques  de  ransomware,  
Los  impactos  económicos  y  reputacionales  del  ransomware  
realizar  investigaciones  y  operaciones  conjuntas  
y  la  extorsión  de  datos  han  demostrado  ser  desafiantes  y  
contra  los  actores  de  amenazas  de  ransomware  y  
costosos  para  organizaciones  de  todos  los  tamaños  durante  la  
brindar  orientación  y  recursos  a  las  organizaciones  que  
interrupción  inicial  y,  en  ocasiones,  durante  la  recuperación  
han  sido  víctimas  de  ransomware.
prolongada.

Esta  guía  es  una  actualización  de  la  Agencia  
•  Representa  un  importante  paso  adelante  para  permitir  la  
Conjunta  de  Ciberseguridad  y  Seguridad  de  Infraestructura  
unidad  de  esfuerzos  en  los  esfuerzos  del  gobierno  
(CISA)  y  el  Centro  de  Análisis  e  Intercambio  de  Información  
de  los  EE.  UU.  para  abordar  la  creciente  amenaza  de  los  
Multiestatal  (MS­ISAC)
ataques  de  ransomware.
Guía  de  ransomware  publicada  en  septiembre  de  2020  (ver  
Novedades)  y  desarrollada  a  través  de  JRTF.  Esta  guía   Para  obtener  más  información  sobre  JRTF,  consulte  
incluye  dos  recursos  principales: cisa.gov/joint  ransomware­task­force.

•  Parte  1:  Prácticas  recomendadas  para  la  prevención  de  extorsión  de  datos  y  ransomware

•  Parte  2:  Lista  de  verificación  de  respuesta  a  ransomware  y  extorsión  de  datos

La  Parte  1  brinda  orientación  para  que  todas  las  organizaciones  reduzcan  el  impacto  y  la  probabilidad  de  incidentes  de  ransomware  
y  extorsión  de  datos,  incluidas  las  mejores  prácticas  para  prepararse,  prevenir  y  mitigar  estos  incidentes.  Las  mejores  prácticas  de  
prevención  se  agrupan  por  vectores  de  acceso  inicial  comunes.  La  Parte  2  incluye  una  lista  de  verificación  de  las  mejores  prácticas  para  
responder  a  estos  incidentes.

Estas  mejores  prácticas  y  recomendaciones  de  respuesta  y  prevención  de  ransomware  y  extorsión  de  datos  se  basan  en  información  
operativa  de  CISA,  MS­ISAC,  la  Agencia  de  Seguridad  Nacional  (NSA)  y  la  Oficina  Federal  de  Investigaciones  (FBI),  en  lo  sucesivo  
denominadas  organizaciones  autoras.  El

Página  |  3 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

La  audiencia  de  esta  guía  incluye  profesionales  de  la  tecnología  de  la  información  (TI),  así  como  otras  personas  dentro  de  una  
organización  que  participan  en  el  desarrollo  de  políticas  y  procedimientos  de  respuesta  a  incidentes  cibernéticos  o  en  la  coordinación  de  
la  respuesta  a  incidentes  cibernéticos.

Las  organizaciones  autoras  recomiendan  que  las  organizaciones  tomen  los  siguientes  pasos  iniciales  para  preparar  y  proteger  sus  
instalaciones,  personal  y  clientes  de  amenazas  cibernéticas  y  de  seguridad  física  y  otros  peligros:

•  Únase  a  un  centro  de  análisis  e  intercambio  de  información  sectorial  (ISAC),  cuando  sea  elegible,  como:

o  MS­ISAC  para  entidades  gubernamentales  estatales,  locales,  tribales  y  territoriales  (SLTT)  de  EE.  UU.  ­  
learn.cisecurity.org/ms­isac­registration.  La  membresía  de  MS­ISAC  está  abierta  a  representantes  de  
los  50  estados,  el  Distrito  de  Columbia,  los  territorios  de  los  EE.  UU.,  los  gobiernos  locales  y  tribales,  las  entidades  
públicas  de  educación  K­12,  las  instituciones  públicas  de  educación  superior,  las  autoridades  y  cualquier  otra  entidad  
pública  no  federal  en  los  Estados  Unidos.  o  Centro  de  Análisis  e  Intercambio  de  Información  de  
Infraestructura  Electoral  (EI­ISAC)  para  EE.  UU.
Organizaciones  Electorales  ­  learn.cisecurity.org/ei­isac­registration.

Consulte  el  Consejo  Nacional  de  ISAC  para  obtener  más  información.

•  Póngase  en  contacto  con  CISA  en  CISA.JCDC@cisa.dhs.gov  para  colaborar  en  el  intercambio  de  información,  mejor
prácticas,  evaluaciones,  ejercicios  y  más.  •  Comuníquese  con  
su  oficina  de  campo  local  del  FBI  para  obtener  una  lista  de  puntos  de  contacto  (POC)  en  caso  de  un  ataque  cibernético.
incidente.

Comprometerse  con  organizaciones  pares  y  CISA  le  permite  a  su  organización  recibir  información  crítica  y  oportuna  y  acceso  a  servicios  
para  administrar  ransomware  y  otras  amenazas  cibernéticas.

Qué  hay  de  nuevo

Desde  el  lanzamiento  inicial  de  la  Guía  de  ransomware  en  septiembre  de  2020,  los  actores  de  ransomware  han  acelerado  sus  
tácticas  y  técnicas.

Para  mantener  la  relevancia,  agregar  perspectiva  y  maximizar  la  efectividad  de  esta  guía,  se  han  realizado  los  siguientes  cambios:

•  FBI  y  NSA  agregados  como  coautores  basados  en
#StopRansomware  es  el  esfuerzo  de  CISA  y  el  FBI  para  
sus  contribuciones  y  conocimientos  operativos.  •  Incorporó  
publicar  avisos  para  los  defensores  de  la  red  que  detallan  
el  esfuerzo  #StopRansomware  en
la  información  de  defensa  de  la  red.
el  título.
relacionado  con  varias  variantes  de  ransomware  y  actores  
•  Se  agregaron  recomendaciones  para  prevenir
de  amenazas.  Visite  stopransomware.gov  para  obtener  
vectores  de  infección  iniciales  comunes,  incluidas  
más  información  y  leer  los  avisos  conjuntos.
credenciales  comprometidas  y  formas  avanzadas  de  ingeniería  
social.
•  Recomendaciones  actualizadas  para  abordar  las  copias  de  seguridad  en  la  nube  y  la  arquitectura  de  confianza  cero  (ZTA).  
•  Se  amplió  la  lista  de  verificación  de  respuesta  de  ransomware  con  consejos  de  búsqueda  de  amenazas  para  la  detección  y
análisis.
•  Recomendaciones  asignadas  a  los  Objetivos  de  Desempeño  de  Ciberseguridad  Intersectorial  (CPG)  de  CISA .

Página  |  4 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Parte  1:  Preparación,  prevención  y  recuperación  de  ransomware  y  extorsión  de  datos
Mejores  prácticas  de  mitigación
Estas  mejores  prácticas  recomendadas  se  alinean  con  las  GPC  desarrolladas  por  CISA  y  el  Instituto  Nacional  de  Estándares  y  Tecnología  (NIST).  Las  CPG  

proporcionan  un  conjunto  mínimo  de  prácticas  y  protecciones  que  CISA  y  NIST  recomiendan  que  implementen  todas  las  organizaciones.  CISA  y  NIST  

basaron  las  GPC  en  los  marcos  de  seguridad  cibernéticos  existentes  y  en  la  guía  para  protegerse  contra  las  amenazas,  tácticas,  técnicas  y  

procedimientos  más  comunes  e  impactantes.  Para  obtener  más  información  sobre  las  CPG  y  las  protecciones  de  referencia  recomendadas,  visite  los  

Objetivos  de  rendimiento  de  ciberseguridad  intersectorial  de  CISA.

Preparación  para  incidentes  de  extorsión  de  datos  y  ransomware
Consulte  las  mejores  prácticas  y  las  referencias  enumeradas  en  esta  sección  para  ayudar  a  administrar  los  riesgos  que  plantea  el  ransomware  y  

para  impulsar  una  respuesta  coordinada  y  eficiente  para  su  organización  en  caso  de  un  incidente.  Aplique  estas  prácticas  en  la  mayor  medida  posible  en  

espera  de  la  disponibilidad  de
recursos.

•  Mantener  copias  de  seguridad  encriptadas  fuera  de  línea  de  datos  críticos  y  probar  

regularmente  la  disponibilidad  e  integridad  de  las  copias  de  seguridad   Las  copias  de  seguridad  automatizadas  en  la  nube  
pueden  no  ser  suficientes  porque  si  los  archivos  locales
en  un  escenario  de  recuperación  de  desastres  [CPG  2.R].

Pruebe  los  procedimientos  de  copia  de  seguridad  periódicamente.  Es   están  encriptados  por  un  atacante,  estos  archivos  se  

importante  que  las  copias  de  seguridad  se  mantengan  fuera  de  línea,  ya  que   sincronizarán  con  la  nube,  posiblemente  

muchas  variantes  de  ransomware  intentan  encontrar  y,  posteriormente,  eliminar  o   sobrescribiendo  los  datos  no  afectados.

cifrar  las  copias  de  seguridad  accesibles  para  imposibilitar  la  

restauración  a  menos  que  se  pague  el  rescate.

o  Mantener  y  actualizar  regularmente  las  “imágenes  de  oro”  de  los  sistemas  críticos.  Esto  incluye

mantener  "plantillas"  de  imágenes  que  tienen  un  sistema  operativo  (SO)  preconfigurado  y  aplicaciones  de  software  asociadas  

que  se  pueden  implementar  rápidamente  para  reconstruir  un  sistema,  como  una  máquina  virtual  o  un  servidor  [CPG  2.O].

  Utilice  la  infraestructura  como  código  (IaC)  para  implementar  y  actualizar  los  recursos  de  la  nube  y  mantener  las  copias  de  

seguridad  de  los  archivos  de  plantilla  fuera  de  línea  para  volver  a  implementar  rápidamente  los  recursos.  Se  debe  

controlar  la  versión  del  código  IaC  y  se  deben  auditar  los  cambios  en  las  plantillas.     Almacene  el  código  

fuente  aplicable  o  ejecutables  con  copias  de  seguridad  fuera  de  línea  (así  como  acuerdos  de  licencia  y  en  custodia).  La  

reconstrucción  a  partir  de  imágenes  del  sistema  es  más  eficiente,  pero  algunas  imágenes  no  se  instalarán  

correctamente  en  diferentes  hardware  o  plataformas;  tener  acceso  separado  al  software  ayuda  en  estos  casos.

o  Conservar  el  hardware  de  respaldo  para  reconstruir  los  sistemas  si  no  es  posible  reconstruir  el  sistema  principal.

privilegiado.

  Considere  reemplazar  el  hardware  obsoleto  que  inhibe  la  restauración  con  hardware  actualizado,  ya  que  el  hardware  más  

antiguo  puede  presentar  obstáculos  de  instalación  o  compatibilidad  al  reconstruir  a  partir  de  imágenes.

o  Considere  el  uso  de  una  solución  de  múltiples  nubes  para  evitar  el  bloqueo  de  proveedores  para  las  copias  de  seguridad  de  nube  a  nube

en  caso  de  que  todas  las  cuentas  del  mismo  proveedor  se  vean  afectadas.

Página  |  5 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

  Algunos  proveedores  de  la  nube  ofrecen  soluciones  de  almacenamiento  inmutables  que  pueden  proteger  los  
datos  almacenados  sin  necesidad  de  un  entorno  separado.  Utilice  el  almacenamiento  inmutable  con  
precaución,  ya  que  no  cumple  con  los  criterios  de  cumplimiento  de  ciertas  reglamentaciones  y  la  
mala  configuración  puede  imponer  un  costo  significativo.

•  Cree,  mantenga  y  ejerza  regularmente  un  plan  básico  de  respuesta  a  incidentes  cibernéticos  (IRP)  y  un  plan  de  comunicaciones  
asociado  que  incluya  procedimientos  de  respuesta  y  notificación  para  incidentes  de  ransomware  y  extorsión/violación  de  datos  
[CPG  2.S].  Asegúrese  de  que  haya  disponible  una  copia  impresa  del  plan  y  una  versión  sin  conexión.

o  Asegurarse  de  que  los  procedimientos  de  notificación  de  violación  de  datos  cumplan  con  las  leyes  estatales  aplicables.  
Consulte  la  Conferencia  Nacional  de  Legislaturas  Estatales:  Leyes  de  notificación  de  violaciones  de  seguridad  para  
obtener  información  sobre  las  leyes  de  notificación  de  violaciones  de  datos  de  cada  estado  y  consulte  a  un  asesor  legal  cuando
necesario.
o  En  el  caso  de  infracciones  relacionadas  con  información  de  salud  electrónica,  es  posible  que  deba  notificar  a  la  Comisión  
Federal  de  Comercio  (FTC)  o  al  Departamento  de  Salud  y  Servicios  Humanos  de  EE.  UU.  (HHS)  y,  en  algunos  casos,  a  
los  medios  de  comunicación.  Consulte  la  regla  de  notificación  de  incumplimiento  de  la  salud  de  la  FTC
y  la  Regla  de  notificación  de  incumplimiento  del  HHS  para  obtener  más  información.

o  En  el  caso  de  infracciones  que  involucren  información  de  identificación  personal  (PII),  notifique  a  las  personas  afectadas  para  
que  puedan  tomar  medidas  para  reducir  la  posibilidad  de  que  se  haga  un  uso  indebido  de  su  información.
Proporcione  el  tipo  de  información  expuesta,  recomiende  acciones  correctivas  e  información  de  contacto  relevante.

o  Notificar  a  las  empresas  sobre  una  infracción  si  se  roba  la  PII  almacenada  en  nombre  de  otras  empresas.  o  
Asegúrese  de  que  el  IRP  y  el  plan  de  comunicaciones  sean  revisados  y  aprobados  por  el  director  ejecutivo,  o  su  
equivalente,  por  escrito  y  que  ambos  sean  revisados  y  comprendidos  en  toda  la  cadena  de  mando.

o  Revise  la  guía  de  respuesta  a  incidentes  disponible,  como  la  Respuesta  de  Ransomware
Lista  de  verificación  en  esta  guía  y  Playbook  de  Respuesta  a  Incidentes  Cibernéticos  de  Poder  Público  para:

  Ayude  a  su  organización  a  organizarse  mejor  en  torno  a  la  respuesta  a  incidentes  cibernéticos.     
Redactar  declaraciones  de  espera  de  incidentes  cibernéticos.  
  Desarrollar  un  IRP  cibernético.

o  Incluir  procedimientos  de  comunicaciones  organizacionales,  así  como  plantillas  para  ciber
declaraciones  de  retención  de  incidentes  en  el  plan  de  comunicaciones.  Llegue  a  un  consenso  sobre  qué  nivel  de  
detalle  es  apropiado  para  compartir  dentro  de  la  organización  y  con  el  público  y  cómo  fluirá  la  información.

•  Implementar  una  arquitectura  de  confianza  cero  para  evitar  el  acceso  no  autorizado  a  datos  y  servicios.
Haga  que  la  aplicación  del  control  de  acceso  sea  lo  más  granular  posible.  ZTA  asume  que  una  red  está  comprometida  
y  proporciona  una  colección  de  conceptos  e  ideas  diseñados  para  minimizar  la  incertidumbre  al  hacer  cumplir  decisiones  de  acceso  
precisas  y  de  privilegio  mínimo  por  solicitud  en  sistemas  y  servicios  de  información.

Página  |  6 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Prevención  y  mitigación  de  incidentes  de  extorsión  de  datos  y  ransomware
Consulte  las  prácticas  recomendadas  y  las  referencias  enumeradas  en  esta  sección  para  ayudar  a  prevenir  y  mitigar  los  incidentes  
de  extorsión  de  datos  y  ransomware.  Las  mejores  prácticas  de  prevención  se  agrupan  por  vectores  de  acceso  inicial  comunes  de  ransomware  
y  actores  de  extorsión  de  datos.

Vector  de  acceso  inicial:  vulnerabilidades  y  errores  de  configuración  relacionados  con  Internet

•  Llevar  a  cabo  análisis  de  vulnerabilidades  regulares  para  identificar  y  abordar  las  vulnerabilidades,  especialmente  aquellas  en  dispositivos  
con  acceso  a  Internet,  para  limitar  la  superficie  de  ataque  [CPG  1.E].

o  CISA  ofrece  un  servicio  de  exploración  de  vulnerabilidades  sin  costo  y  otras  evaluaciones  sin  costo:  cisa.gov/cyber­resource­
hub  [CPG  1.F].

•  Regularmente  parchear  y  actualizar  el  software  y  los  sistemas  operativos  a  la  última  versión  disponible
versiones.

o  Priorizar  la  aplicación  oportuna  de  parches  a  los  servidores  conectados  a  Internet,  que  operan  software  para  procesar  datos  de  
Internet,  como  navegadores  web,  complementos  de  navegador  y  lectores  de  documentos,  especialmente  para  
vulnerabilidades  explotadas  conocidas.
o  Las  organizaciones  creadoras,  conscientes  de  las  dificultades  que  tienen  las  pequeñas  y  medianas  empresas  para  
mantener  actualizados  los  servidores  con  acceso  a  Internet,  instan  a  migrar  los  sistemas  a  proveedores  de  nube  
"administrados"  de  buena  reputación  para  reducir,  no  eliminar,  las  funciones  de  mantenimiento  del  sistema  para  los  
sistemas  de  identidad  y  correo  electrónico.  Para  obtener  más  información,  visite  la  página  de  información  sobre  seguridad  
cibernética  de  la  NSA  Mitigación  de  vulnerabilidades  en  la  nube.

•  Asegúrese  de  que  todos  los  dispositivos  locales,  de  servicios  en  la  nube,  móviles  y  personales  (es  decir,  traiga  su  propio  dispositivo  [BYOD])  
estén  configurados  correctamente  y  que  las  funciones  de  seguridad  estén  habilitadas.  Por  ejemplo,  deshabilite  los  puertos  y  protocolos  
que  no  se  utilizan  para  fines  comerciales  (p.  ej.,  Protocolo  de  escritorio  remoto  [RDP]—Protocolo  de  control  de  transmisión  
[TCP]  Puerto  3389)  [ CPG  2.X].

o  Reducir  o  eliminar  las  implementaciones  manuales  y  codificar  la  configuración  de  los  recursos  de  la  nube
a  través  de  IaC.  Pruebe  las  plantillas  de  IaC  antes  de  la  implementación  con  herramientas  de  análisis  de  seguridad  estáticas  
para  identificar  errores  de  configuración  y  brechas  de  seguridad.
O Verifique  la  desviación  de  la  configuración  de  forma  rutinaria  para  identificar  los  recursos  que  se  cambiaron  o  
introdujeron  fuera  de  la  implementación  de  la  plantilla,  lo  que  reduce  la  probabilidad  de  que  se  introduzcan  nuevas  brechas  
de  seguridad  y  configuraciones  incorrectas.  Aproveche  los  servicios  de  los  proveedores  de  la  nube  para  automatizar  o  facilitar  
los  recursos  de  auditoría  para  garantizar  una  línea  base  consistente.

•  Limite  el  uso  de  RDP  y  otros  servicios  de  escritorio  remoto.  Si  es  necesario  RDP,  aplicar  las  mejores  prácticas.  Los  actores  de  amenazas  
a  menudo  obtienen  acceso  inicial  a  una  red  a  través  de  servicios  remotos  expuestos  y  mal  protegidos,  y  luego  atraviesan  la  red  
utilizando  el  cliente  nativo  de  Windows  RDP.
Los  actores  de  amenazas  también  suelen  obtener  acceso  mediante  la  explotación  de  redes  privadas  virtuales  (VPN)  o  el  uso  de  
credenciales  comprometidas.  Consulte  el  Aviso  de  CISA:  Seguridad  de  VPN  empresarial.

o  Audite  la  red  en  busca  de  sistemas  que  usen  RDP,  cierre  los  puertos  RDP  no  utilizados,  aplique  bloqueos  de  cuentas  
después  de  un  número  específico  de  intentos,  aplique  la  autenticación  multifactor  (MFA)  y  registre  los  intentos  de  inicio  
de  sesión  de  RDP.

Página  |  7 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

o  Actualice  las  VPN,  los  dispositivos  de  infraestructura  de  red  y  los  dispositivos  que  se  utilizan  para  conectarse  de  
forma  remota  a  los  entornos  de  trabajo  con  los  últimos  parches  de  software  y  configuraciones  de  seguridad.
Implemente  MFA  en  todas  las  conexiones  VPN  para  aumentar  la  seguridad.  Si  no  se  implementa  MFA,  solicite  a  los  
teletrabajadores  que  utilicen  contraseñas  de  15  o  más  caracteres.

•  Deshabilitar  las  versiones  1  y  2  del  protocolo  Bloque  de  mensajes  del  servidor  (SMB)  y  actualizar  a  la  versión  3
(SMBv3)  después  de  mitigar  las  dependencias  existentes  (por  parte  de  los  sistemas  o  aplicaciones  existentes)  que  pueden  
fallar  cuando  se  deshabilitan.  Los  actores  maliciosos  usan  SMB  para  propagar  malware  entre  organizaciones,  
entonces  fortalecen  SMBv3:

o  Bloquear  o  limitar  el  tráfico  SMB  interno  a  los  sistemas  que  requieren  acceso.  Esto  debería  evitar  que  las  
intrusiones  se  muevan  lateralmente  a  través  de  su  red.
o  Implementar  firma  SMB.  Esto  debería  evitar  ciertos  ataques  de  adversario  en  el  medio  y  pasar  el  hash.  Para  obtener  
más  información,  consulte  Microsoft  Mitiging  New  Technology  Local  Area  Network  (LAN)  Manager  (NTLM)  Relay  
Attacks  on  Active  Directory  Certificate  Services  (AD  CS)  y  Microsoft  Overview  of  Server  Message  Block  
Signing.
o  Bloquee  el  acceso  externo  de  SMB  a  su  red  bloqueando  el  puerto  TCP  445  con  protocolos  relacionados  en  los  
puertos  137–138  del  Protocolo  de  datagramas  de  usuario  (UDP)  y  el  puerto  TCP  139.  o  Implemente  el  
cifrado  SMB  con  el  refuerzo  de  la  Convención  de  nomenclatura  universal  (UNC)  para
sistemas  que  soportan  la  función.  Esto  debería  limitar  la  posibilidad  de  espionaje  y  ataques  de  intercepción.  o  
Registre  y  supervise  el  
tráfico  SMB  para  ayudar  a  detectar  comportamientos  potencialmente  anormales.

Vector  de  acceso  inicial:  credenciales  comprometidas
•  Implementar  MFA  resistente  al  phishing  para  todos  los  servicios,  particularmente  para  correo  electrónico,  VPN  y  
cuentas  que  acceden  a  sistemas  críticos  [CPG  2.H].  Derive  a  la  gerencia  sénior  al  descubrir  sistemas  que  no  
permiten  MFA,  sistemas  que  no  aplican  MFA  y  cualquier  usuario  que  no  esté  inscrito  en  MFA.

o  Considere  emplear  MFA  sin  contraseña  que  reemplace  las  contraseñas  con  dos  o  más  factores  de  verificación  
(por  ejemplo,  una  huella  digital,  reconocimiento  facial,  pin  de  dispositivo  o  una  clave  criptográfica).

•  Considere  suscribirse  a  los  servicios  de  monitoreo  de  credenciales  que  monitorean  la  web  oscura  en  busca  de  
credenciales  comprometidas.  •  
Implementar  sistemas  de  administración  de  acceso  e  identidad  (IAM)  para  proporcionar  a  los  administradores  las  herramientas  
y  tecnologías  para  monitorear  y  administrar  roles  y  privilegios  de  acceso  de  entidades  de  red  individuales  para  
aplicaciones  locales  y  en  la  nube.
•  Implemente  un  control  de  acceso  de  confianza  cero  mediante  la  creación  de  políticas  de  acceso  sólidas  para  restringir  el  
acceso  del  usuario  al  recurso  y  el  acceso  de  recurso  a  recurso.  Esto  es  importante  para  los  recursos  de  administración  
clave  en  la  nube.

•  Cambiar  nombres  de  usuario  y  contraseñas  de  administrador  predeterminados.  [GPC  
2.A].  •  No  utilice  cuentas  de  acceso  raíz  para  las  operaciones  diarias.  Crear  usuarios,  grupos  y
roles  para  llevar  a  cabo  las  tareas.

•  Implemente  políticas  de  contraseñas  que  requieran  contraseñas  únicas  de  al  menos  15  caracteres.
[GPC  2.B]  [GPC  2.C].

Página  |  8 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

o  Los  administradores  de  contraseñas  pueden  ayudarlo  a  desarrollar  y  administrar  contraseñas  seguras.  Asegure  y  
limite  el  acceso  a  cualquier  administrador  de  contraseñas  en  uso  y  habilite  todas  las  funciones  de  seguridad  
disponibles  en  el  producto  en  uso,  como  MFA.

•  Hacer  cumplir  las  políticas  de  bloqueo  de  cuentas  después  de  un  cierto  número  de  intentos  fallidos  de  inicio  de  sesión.  Registre  y  
supervise  los  intentos  de  inicio  de  sesión  para  el  descifrado  de  contraseñas  por  fuerza  bruta  y  el  rociado  de  contraseñas  [CPG  2.G].
•  Almacene  las  contraseñas  en  una  base  de  datos  segura  y  use  algoritmos  hash  sólidos.
• Deshabilite  guardar  contraseñas  en  el  navegador  en  la  consola  de  administración  de  directivas  de  grupo.
• Implemente  la  solución  de  contraseña  de  administrador  local  (LAPS)  siempre  que  sea  posible  si  su  sistema  operativo  
es  anterior  a  Windows  Server  2019  y  Windows  10,  ya  que  estas  versiones  no  tienen  LAPS  integrado.

Nota:  Las  organizaciones  autoras  recomiendan  que  las  organizaciones  actualicen  a  Windows  Server  2019  y  Windows  10  o  
superior.
•  Protéjase  contra  el  vertido  del  servicio  del  subsistema  de  la  autoridad  de  seguridad  local  (LSASS):

o  Implementar  la  regla  de  reducción  de  superficie  de  ataque  (ASR)  para  LSASS.  o  Implemente  
Credential  Guard  para  Windows  10  y  Server  2016.  Consulte  Microsoft
Administre  Credential  Guard  de  Windows  Defender  para  obtener  más  información.  Para  Windows  Server  2012R2,  
habilite  la  luz  de  proceso  protegido  (PPL)  para  la  autoridad  de  seguridad  local  (LSA).

•  Instruya  a  todos  los  empleados  sobre  la  seguridad  adecuada  de  las  contraseñas  en  su  capacitación  anual  de  seguridad  para  
incluir  el  énfasis  en  no  reutilizar  las  contraseñas  y  no  guardarlas  en  archivos  locales.  •  Use  Windows  
PowerShell  Remoting,  Remote  Credential  Guard  o  RDP  con  modo  de  administración  restringido  cuando  sea  factible  al  
establecer  una  conexión  remota  para  evitar  la  exposición  directa  de  las  credenciales.

•  Separar  las  cuentas  de  administrador  de  las  cuentas  de  usuario  [CPG  2.E].  Permitir  solo  designados
cuentas  de  administrador  que  se  utilizarán  con  fines  administrativos.  Si  un  usuario  individual  necesita  derechos  administrativos  
sobre  su  estación  de  trabajo,  use  una  cuenta  separada  que  no  tenga  acceso  administrativo  a  otros  hosts,  como  servidores.  
Para  algunos  entornos  de  nube,  funciones  separadas  cuando  la  cuenta  que  se  usa  para  aprovisionar/administrar  claves  no  
tiene  permiso  para  usar  las  claves  y  viceversa.  Como  esta  estrategia  introduce  una  sobrecarga  de  gestión  adicional,  no  
es  adecuada  en  todos  los  entornos.

Vector  de  acceso  inicial:  phishing
•  Implementar  un  programa  de  capacitación  y  concientización  de  
CISA  ofrece  una  evaluación  de  campaña  
usuarios  de  ciberseguridad  que  incluya  orientación  sobre  cómo  
de  phishing  sin  costo  y  otras  evaluaciones  
identificar  y  reportar  actividades  sospechosas  (p.  ej.,  phishing)  o  
sin  costo.  Visita
incidentes  [CPG  2.I].  •  
cisa.gov/cyber­resource­hub.
Implementar  el  marcado  de  correos  electrónicos  externos  en  los  clientes  de  
correo  electrónico.  •  Implementar  filtros  en  la  puerta  de  enlace  de  correo  electrónico  para  filtrar
correos  electrónicos  con  indicadores  maliciosos  conocidos,  como  líneas  de  asunto  maliciosas  conocidas,  y  bloquee  
las  direcciones  de  Protocolo  de  Internet  (IP)  sospechosas  en  el  firewall  [CPG  2.M].  •  
Habilite  los  filtros  de  archivos  adjuntos  comunes  para  restringir  los  tipos  de  archivos  que  comúnmente  contienen  malware  y  no  
deben  enviarse  por  correo  electrónico.  Para  obtener  más  información,  consulte  la  publicación  de  Microsoft  Protección  
antimalware  en  EOP.

Página  |  9 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

o  Revise  los  tipos  de  archivos  en  su  lista  de  filtros  al  menos  semestralmente  y  agregue  tipos  de  archivos  adicionales  que  se  
hayan  convertido  en  vectores  de  ataque.  Por  ejemplo,  los  archivos  adjuntos  de  OneNote  con  malware  integrado  
se  han  utilizado  recientemente  en  campañas  de  phishing.
o  El  malware  a  menudo  se  comprime  en  archivos  protegidos  con  contraseña  que  evaden  el  antivirus.
escaneo  y  filtros  de  correo  electrónico.

•  Implementar  autenticación  de  mensajes  basada  en  dominios,  generación  de  informes  y  conformidad
(DMARC)  y  verificación  para  reducir  la  posibilidad  de  
correos  electrónicos  falsificados  o  modificados  de   El  bloqueo  e  informe  de  dominios  maliciosos  (MDBR)  es  
dominios  válidos.  DMARC  protege  su  dominio  de  la   un  servicio  sin  costo  para  las  organizaciones  SLTT  
falsificación  pero  no  protege  de  los  correos  electrónicos   que  está  financiado  por  CISA,  MS­ISAC  y  EI­ISAC.  Este  
entrantes  que  han  sido  falsificados  a  menos  que  el  dominio   servicio  de  seguridad  completamente  administrado  
de  envío  también  implemente  DMARC.  DMARC  se   evita  que  los  sistemas  de  TI  se  conecten  a  dominios  
basa  en  los  protocolos  Sender  Policy  Framework  (SPF)  y   web  dañinos  y  protege  contra  amenazas  cibernéticas,  
Domain  Keys  Identified  Mail  (DKIM)  ampliamente   que  incluyen:
implementados,  agregando  una  función  de  informes  
que  permite  a  los  remitentes  y  receptores  mejorar  y  monitorear  
•  Malware,
la  protección  del  dominio  contra  correo  electrónico  fraudulento.  
Para  obtener  más  información  sobre  DMARC,  consulte   •  Ransomware,  y
CISA  Insights  Enhance  Email  &  Web  Security  y  el  blog  
•  Suplantación  de  identidad.
del  Center  for  Internet  Security  How  DMARC  Advances  
Email  Security.
Para  registrarse  en  MDBR,  visite  cisecurity.org/ms  isac/
services/mdbr/.

•  Asegúrese  de  que  los  scripts  de  macros  estén  deshabilitados  para  los  archivos  de  Microsoft  Office  transmitidos  por  correo  electrónico.  
Estas  macros  se  pueden  usar  para  entregar  ransomware  [CPG  2.N].  Nota:  Las  versiones  recientes  de  Office  están  
configuradas  de  forma  predeterminada  para  bloquear  archivos  que  contienen  macros  de  Visual  Basic  para  aplicaciones  (VBA)  y  
muestran  una  Barra  de  confianza  con  una  advertencia  de  que  hay  macros  presentes  y  se  han  deshabilitado.  Para  obtener  más  
información,  consulte  Microsoft's  Las  macros  de  Internet  se  bloquearán  de  forma  predeterminada  en  Office.
Consulte  Bloquear  macros  de  Microsoft  para  que  no  se  ejecuten  en  archivos  de  Office  desde  Internet  para  obtener  
instrucciones  de  configuración  para  deshabilitar  macros  en  archivos  externos  para  versiones  anteriores  de  Office.

•  Deshabilite  Windows  Script  Host  (WSH).  El  alojamiento  de  scripts  de  Windows  proporciona  un  entorno  en
que  los  usuarios  pueden  ejecutar  scripts  o  realizar  tareas.

Página  |  10 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Vector  de  acceso  inicial:  Infección  de  malware  precursor

•  Use  actualizaciones  automáticas  para  su  software  antivirus  
y  antimalware  y CISA  y  MS­ISAC  alientan  a  las  organizaciones  

firmas  Asegúrese  de  que  las  herramientas  estén   SLTT  a  utilizar  Albert  IDS  para  mejorar  una  estrategia  de  
configuradas  correctamente  para  escalar   defensa  en  profundidad.  Albert  sirve  como  una  

advertencias  e  indicadores  para  notificar  al  personal   capacidad  de  alerta  temprana  para  los  gobiernos  

de  seguridad.  Las  organizaciones  autoras  recomiendan   SLTT  de  EE.  UU.  y  apoya  la  defensa  y  la  

utilizar  una  solución  antivirus  gestionada  de  forma   conciencia  situacional  de  seguridad  cibernética  a  
centralizada.  Esto  permite  la  detección  tanto  de   nivel  nacional.  Para  obtener  más  información  sobre  
malware  "precursor"  como  de  ransomware. Albert,  visite  cisecurity.org/services/albert  network­
monitoring/.
o  Una  infección  de  ransomware  puede  ser
evidencia  de  un  compromiso  de  red  anterior  
no  resuelto.  Por  ejemplo,  muchas  infecciones  de  ransomware  son  el  resultado  de  infecciones  de  malware  
existentes,  como  QakBot,  Bumblebee  y  Emotet.
o  En  algunos  casos,  la  implementación  de  ransomware  es  el  último  paso  en  un  compromiso  de  la  red  y  se  elimina  
para  ocultar  actividades  anteriores  posteriores  al  compromiso,  como  el  compromiso  de  correo  electrónico  
comercial  (BEC).

•  Utilice  soluciones  de  lista  de  aplicaciones  permitidas  y/o  detección  y  respuesta  de  punto  final  (EDR)  en  todos  los  activos  
para  garantizar  que  solo  se  pueda  ejecutar  el  software  autorizado  y  que  se  bloquee  todo  el  software  no  autorizado.

o  Para  Windows,  habilite  el  Control  de  aplicaciones  de  Windows  Defender  (WDAC),  AppLocker  o
ambos  en  todos  los  sistemas  que  soportan  estas  funciones.

  WDAC  está  en  desarrollo  continuo,  mientras  que  AppLocker  solo  recibirá
correcciones  de  seguridad.  AppLocker  se  puede  usar  como  complemento  de  WDAC,  cuando  WDAC  
se  establece  en  el  nivel  más  restrictivo  posible,  y  AppLocker  se  usa  para  ajustar  las  restricciones  de  
su  organización.

o  Utilice  listas  de  permitidos  en  lugar  de  intentar  enumerar  y  denegar  todas  las  permutaciones  posibles  de  
aplicaciones  en  un  entorno  de  red.
o  Considere  implementar  EDR  para  recursos  basados  en  la  nube.

•  Considere  implementar  un  sistema  de  detección  de  intrusiones  (IDS)  para  detectar  la  actividad  de  comando  y  control  y  otra  
actividad  de  red  potencialmente  maliciosa  que  ocurre  antes  de  la  implementación  del  ransomware.  o  Asegurar  
que  el  IDS  sea  
monitoreado  y  administrado  centralmente.  Configure  adecuadamente  las  herramientas  y  enrute  las  advertencias  
e  indicadores  al  personal  apropiado  para  la  acción.  •  Supervise  los  indicadores  de  actividad  y  
bloquee  la  creación  de  archivos  de  malware  con  la  utilidad  Windows  Sysmon.  A  partir  de  Sysmon  14,  la  opción  
FileBlockExecutable  se  puede  usar  para  bloquear  la  creación  de  ejecutables  maliciosos,  archivos  de  biblioteca  de  
vínculos  dinámicos  (DLL)  y  archivos  del  sistema  que  coincidan  con  valores  hash  específicos.

Página  |  11 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Vector  de  acceso  inicial:  formas  avanzadas  de
Ingeniería  social Las  formas  avanzadas  de  ingeniería  social  incluyen:

•  Crear  políticas  para  incluir  capacitación   •  Optimización  de  motores  de  búsqueda  (SEO)

de  concientización  sobre  seguridad  cibernética   envenenamiento,  también  conocido  como  envenenamiento  
sobre  formas  avanzadas  de de  búsqueda:  cuando  los  actores  maliciosos  crean
sitios  web  y  utilizar  tácticas  de  SEO  para  que  aparezcan  de  
ingeniería  para  el  personal  que  tiene  acceso  a  
su  red.  La  capacitación  debe  incluir  consejos  sobre   forma  destacada  en  los  resultados  de  búsqueda.  El  

cómo  reconocer  sitios  web  y  resultados  de  búsqueda   envenenamiento  de  SEO  secuestra  los  resultados  del  

ilegítimos. motor  de  búsqueda  de  sitios  web  populares  e  inyecta  

También  es  importante  repetir  la  capacitación  de   enlaces  maliciosos  para  mejorar  su  ubicación  en  los  

concientización  sobre  seguridad  con  regularidad   resultados  de  búsqueda.  Estos  enlaces  luego  llevan  a  los  

para  mantener  a  su  personal  informado  y   usuarios  desprevenidos  a  sitios  de  phishing,  descargas  de  

alerta.  •  Implementar  un  Sistema  de  Nombres  de  Dominio   malware  y  otras  amenazas  cibernéticas.

(DNS)  de  Protección.  Al  bloquear  la  actividad  
•  Descargas  no  autorizadas  (sitios  web  impostores):  cuando  
maliciosa  de  Internet  en  la  fuente,  los  servicios  de  
un  usuario  descarga  sin  querer  código  malicioso  al  
DNS  de  protección  pueden  proporcionar  una  alta  
visitar  un  sitio  web  aparentemente  legítimo  que  es  
seguridad  de  red  para  los  trabajadores  remotos.  
malicioso.  Los  actores  maliciosos  usan  descargas  no  
Estos  servicios  de  seguridad  analizan  las  consultas  
autorizadas  para  robar  y  recopilar  información  personal,  
de  DNS  y  toman  medidas  para  mitigar  las  
inyectar  troyanos  o  introducir  kits  de  explotación  u  otro  
amenazas,  como  malware,  ransomware,  ataques  de  
malware  en  los  puntos  finales.  Los  usuarios  pueden  
phishing,  virus,  sitios  maliciosos  y  spyware,  
visitar  estos  sitios  respondiendo  a  un  correo  electrónico  
aprovechando  el  protocolo  y  la  arquitectura  de  DNS  
de  phishing  o  haciendo  clic  en  una  ventana  emergente  
existentes.  Los  SLTT  pueden  implementar  el  
engañosa.
servicio  MDBR  sin  costo.
Consulte  Selección  de  un  servicio  DNS  de   •  “Malvertising”:  publicidad  maliciosa  que
protección  de  NSA  y  CISA . Los  ciberdelincuentes  utilizan  para  inyectar  malware  en  las  

•  Considere  la  posibilidad  de  implementar  navegadores   computadoras  de  los  usuarios  cuando  visitan  

de  espacio  aislado  para  proteger  los  sistemas   sitios  web  maliciosos  o  hacen  clic  en  un  anuncio  en  línea.

del  malware  que  se  origina  en  la  navegación  web. La  publicidad  maliciosa  también  puede  dirigir  a  los  
Los  navegadores  en  espacio  aislado  aíslan  el  host usuarios  a  un  sitio  web  corrupto  donde  se  pueden  robar  
máquina  de  código  malicioso. sus  datos  o  se  puede  descargar  malware  en  su  
computadora.  La  publicidad  maliciosa  puede  aparecer  
en  cualquier  lugar,  incluso  en  los  sitios  que  visita  como  
parte  de  su  navegación  web  diaria.

Página  |  12 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Vector  de  acceso  inicial:  terceros  y  proveedores  de  servicios  gestionados
•  Considere  las  prácticas  de  gestión  de  riesgos  
e  higiene  cibernética  de  terceros  o   Los  actores  maliciosos  pueden  explotar  las  relaciones  de  confianza  
proveedores  de  servicios  gestionados  (MSP)   que  su  organización  tiene  con  terceros  y  MSP.
en  los  que  confía  su  
•  Los  actores  maliciosos  pueden  apuntar  a  los  MSP  con  el  objetivo  
organización  para  cumplir  su  misión.  Los  
de  comprometer  a  las  organizaciones  clientes  de  MSP;  pueden  
MSP  han  sido  un
usar  conexiones  de  red  MSP  y  acceder  a
vector  de  infección  para  ransomware  
organizaciones  cliente  como  un  vector  clave  para  propagar  
que  afecta  a  numerosas  
malware  y  ransomware.
organizaciones  cliente  [CPG  1.I].
•  Los  actores  maliciosos  pueden  suplantar  la  identidad  de  entidades  
o  Si  un  tercero  o  MSP  es
con  las  que  su  organización  tiene  una  relación  de  confianza,  
responsable  de  mantener  y  
o  utilizar  cuentas  de  correo  electrónico  
asegurar  las  copias  de  
comprometidas,  para  phishing  a  sus  usuarios,  lo  que  
seguridad  de  su  organización,  
permite  el  compromiso  de  la  red  y  la  divulgación  
asegúrese  de  que  estén  
de  información.
siguiendo  las  mejores  
prácticas  aplicables  descritas  anteriormente.
Utilice  el  lenguaje  del  contrato  para  formalizar  sus  requisitos  de  seguridad  como  práctica  recomendada.

•  Garantizar  el  uso  del  mínimo  privilegio  y  la  separación  de  funciones  al  configurar  el  acceso  de  terceros.  Los  terceros  y  los  
MSP  solo  deben  tener  acceso  a  los  dispositivos  y  servidores  que  estén  dentro  de  su  función  o  responsabilidades.

•  Considere  la  posibilidad  de  crear  políticas  de  control  de  servicios  (SCP)  para  los  recursos  basados  en  la  nube  para  evitar  
que  los  usuarios  o  roles,  en  toda  la  organización,  puedan  acceder  a  servicios  específicos  o  realizar  acciones  
específicas  dentro  de  los  servicios.  Por  ejemplo,  el  SCP  se  puede  usar  para  impedir  que  los  usuarios  eliminen  
registros,  actualicen  las  configuraciones  de  la  nube  virtual  privada  (VPC)  y  cambien  las  configuraciones  de  los  
registros.

Mejores  prácticas  generales  y  orientación  de  endurecimiento

•  Asegúrese  de  que  su  organización  tenga  un  enfoque  integral  de  gestión  de  activos  [CPG  1.A].

o  Comprender  y  hacer  un  inventario  de  sus
activos  de  TI  de  la  organización,  lógicos  (p.  ej.,  datos,   Sugerencia:  para  facilitar  el  seguimiento  de  
activos,  utilice  el  hardware  y  el  software  de  MS­ISAC.
software)  y  físicos  (p.  ej.,  hardware).  o  Saber  qué  
datos  o  sistemas  son  más  críticos  para  la  salud  y  la  seguridad,  la   Hoja  de  cálculo  de  seguimiento  de  

generación  de  ingresos  u  otros  servicios  críticos,  y   activos  de  software.

comprender  las  interdependencias  asociadas  (p.  ej.,  "la  lista  
de  sistemas  'A'  utilizada  para  realizar  'X'  se  almacena  en  el  activo  crítico  'B'  ”).  Esto  ayudará  a  su  
organización  a  determinar  las  prioridades  de  restauración  en  caso  de  que  ocurra  un  incidente.  Aplique  
controles  de  seguridad  o  salvaguardas  más  integrales  a  los  activos  críticos.  Esto  requiere  una  coordinación  
en  toda  la  organización.  o  Asegúrese  de  almacenar  la  
documentación  de  sus  activos  de  TI  de  forma  segura  y  mantenga  copias  de  seguridad  fuera  de  línea  y
copias  impresas  físicas  en  el  sitio.

Página  |  13 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

• Aplicar  el  principio  de  mínimo  privilegio  a  todos  los  sistemas  y  servicios  para  que  los  usuarios  solo  tengan  el  acceso  que  
necesitan  para  realizar  su  trabajo  [CPG  2.E].  Los  actores  malintencionados  a  menudo  aprovechan  las  cuentas  privilegiadas  
para  ataques  de  ransomware  en  toda  la  red.

o  Restringir  los  permisos  de  los  usuarios  para  instalar  y  ejecutar  aplicaciones  de  software.  
o  Restrinja  los  permisos  de  usuario/rol  para  acceder  o  modificar  los  recursos  basados  en  la  nube.  o  
Limite  las  acciones  que  ciertos  usuarios/roles  pueden  realizar  en  las  claves  administradas  por  el  cliente.  o  
Bloquee  las  cuentas  locales  del  acceso  remoto  mediante  el  uso  de  políticas  de  grupo  para  restringir  el  inicio  de  sesión  en  
la  red  por  parte  de  las  cuentas  locales.  Para  obtener  orientación,  consulte  Bloqueo  del  uso  remoto  de  cuentas  
locales  e  identificadores  de  seguridad  de  Microsoft.
o  Use  Windows  Defender  Remote  Credential  Guard  y  el  modo  de  administrador  restringido  para  RDP
sesiones

o  Eliminar  cuentas  y  grupos  innecesarios  y  restringir  el  acceso  raíz.  o  Controlar  y  limitar  la  
administración  local.

o  Auditar  Active  Directory  (AD)  para  privilegios  excesivos  en  cuentas  y  grupos
membresías
o  Utilice  el  grupo  AD  de  usuarios  protegidos  en  los  dominios  de  Windows  para  proteger  aún  más
cuentas  de  usuario  privilegiadas  contra  ataques  pass­the­hash.  o  Audite  
las  cuentas  de  usuario  y  administrador  en  busca  de  cuentas  inactivas  o  no  autorizadas  trimestralmente.  Priorizar  la  
revisión  de  las  cuentas  de  administración  y  monitoreo  remoto  que  son  de  acceso  público;  esto  incluye  auditorías  
del  acceso  de  terceros  otorgado  a  los  MSP.

•  Asegúrese  de  que  todas  las  máquinas  virtuales  y  los  hipervisores  estén  actualizados  y  reforzados.  Las  nuevas  tácticas  de  
ransomware  se  dirigen  a  los  servidores  VMWare  ESXi,  lo  que  permite  el  cifrado  rápido  de  la  infraestructura  a  escala.
•  Aprovechar  las  mejores  prácticas  y  habilitar  la  configuración  de  seguridad  en  asociación  con  la  nube
entornos,  como  Microsoft  Office  365.

o  Revise  el  modelo  de  responsabilidad  compartida  para  la  nube  y  asegúrese  de  comprender  qué  constituye  la  
responsabilidad  del  cliente  en  lo  que  respecta  a  la  protección  de  activos.
o  Respalde  los  datos  con  frecuencia;  fuera  de  línea  o  aproveche  las  copias  de  seguridad  de  nube  

a  nube.  o  Habilite  el  inicio  de  sesión  en  todos  los  recursos  y  configure  alertas  para  usos  anormales.  o  

Habilite  la  protección  contra  eliminación  o  el  bloqueo  de  objetos  en  los  recursos  de  almacenamiento  que  a  menudo  se  destinan  a

ataques  de  ransomware  (por  ejemplo,  almacenamiento  de  objetos,  almacenamiento  de  bases  de  datos,  
almacenamiento  de  archivos  y  almacenamiento  de  bloques)  para  evitar  que  los  datos  se  
eliminen  o  sobrescriban,  respectivamente.  o  Considere  habilitar  el  control  de  versiones  para  mantener  múltiples  
variantes  de  objetos  almacenados.  Esto  permite  una  recuperación  más  fácil  de  
acciones  no  intencionadas  o  maliciosas.  o  Cuando  se  admita,  al  usar  el  acceso  programático  personalizado  a  la  nube,  use
Solicitudes  de  la  interfaz  de  programación  de  aplicaciones  (API)  para  verificar  la  identidad  del  solicitante,  proteger  
los  datos  en  tránsito  y  proteger  contra  otros  ataques,  como  los  ataques  de  reproducción.  o  Para  obtener  
más  información,  consulte  las  recomendaciones  de  seguridad  de  Microsoft  Office  365  de  CISA  Cybersecurity  Advisory.

Página  |  14 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

•  Mitigar  el  uso  malintencionado  del  acceso  remoto  y  la  supervisión  y  gestión  remotas
(RMM)  software:

o  Auditar  herramientas  de  acceso  remoto  en  su  red  para  identificar  RMM  actual  o  autorizado
software.
o  Revisar  los  registros  de  ejecución  del  software  RMM  para  detectar  un  uso  anormal  o  el  software  RMM
ejecutándose  como  un  ejecutable  portátil.  
o  Usar  software  de  seguridad  para  detectar  instancias  de  software  RMM  que  solo  se  cargan  en
memoria.
o  Requerir  que  las  soluciones  de  RMM  autorizadas  solo  se  utilicen  desde  su  red  a  través  de  soluciones  de  acceso  
remoto  aprobadas,  como  VPN  o  interfaces  de  escritorio  virtual  (VDI).  o  Bloquee  las  conexiones  
entrantes  y  salientes  en  puertos  y  protocolos  RMM  comunes  en
el  perímetro  de  la  red.

•  Emplear  medios  lógicos  o  físicos  de  segmentación  de  red  mediante  la  implementación  de  ZTA  y  la  separación  de  varias  
unidades  comerciales  o  recursos  de  TI  departamentales  dentro  de  su  organización  y  mantener  la  separación  entre  TI  
y  tecnología  operativa  [CPG  2.F].  La  segmentación  de  la  red  puede  ayudar  a  contener  el  impacto  de  cualquier  intrusión  
que  afecte  a  su  organización  y  evitar  o  limitar  el  movimiento  lateral  por  parte  de  actores  malintencionados.  La  
segmentación  de  la  red  puede  volverse  ineficaz  si  se  infringe  debido  a  un  error  del  usuario  o  al  incumplimiento  de  
las  políticas  de  la  organización  (p.  ej.,  conexión  de  medios  de  almacenamiento  extraíbles  u  otros  dispositivos  a  varios  
segmentos).

•  Desarrolle  y  actualice  periódicamente  diagramas  de  red  integrales  que  describan  los  sistemas  y  flujos  de  datos  dentro  de  la(s)  
red(es)  de  su  organización  (consulte  la  Figura  1)  [CPG  2.P].  Esto  es  útil  en  estado  estable  y  puede  ayudar  a  los  
respondedores  de  incidentes  a  comprender  dónde  enfocar  sus  esfuerzos.
Consulte  la  Figura  2  y  la  Figura  3  para  obtener  representaciones  de  una  red  plana  (no  segmentada)  y  de  una  red  
segmentada  de  mejores  prácticas.

o  El  diagrama  debe  incluir  representaciones  de  las  principales  redes,  cualquier  esquema  de  direccionamiento  IP  
específico  y  la  topología  general  de  la  red,  incluidas  las  conexiones  de  red,  las  interdependencias  
y  el  acceso  otorgado  a  terceros,  MSP  y  conexiones  en  la  nube  desde  puntos  finales  externos  e  internos.  o  
Asegúrese  de  almacenar  de  forma  segura  la  
documentación  de  la  red  y  mantener  copias  de  seguridad  fuera  de  línea  y
copias  en  el  sitio.

Página  |  15 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Figura  1:  Diagrama  de  red  de  ejemplo

Página  |  dieciséis TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Figura  2:  Red  plana  (no  segmentada) Figura  3:  Red  segmentada

•  Restrinja  el  uso  de  PowerShell  a  usuarios  específicos  caso  por  caso  mediante  la  directiva  de  grupo.  Por  lo  general,  solo  los  usuarios  
o  administradores  que  administran  una  red  o  un  sistema  operativo  Windows  pueden  usar  PowerShell.  PowerShell  es  un  
lenguaje  multiplataforma,  de  línea  de  comandos,  shell  y  secuencias  de  comandos  que  es  un  componente  de  Microsoft  Windows.  
Los  actores  de  amenazas  usan  PowerShell  para  implementar  ransomware  y  ocultar  sus  actividades  maliciosas.  Para  obtener  
más  información,  consulte  la  Hoja  de  información  de  seguridad  cibernética  conjunta  Mantener  PowerShell:  medida  de  
seguridad  para  usar  y  adoptar.

o  Actualice  Windows  PowerShell  o  PowerShell  Core  a  la  última  versión  y  desinstale  todos
versiones  anteriores  de  PowerShell.

o  Asegúrese  de  que  las  instancias  de  PowerShell,  con  la  versión  más  reciente,  tengan  módulo,  bloque  de  script,
y  registro  de  transcripción  habilitado  (registro  mejorado).

  Los  registros  de  Windows  PowerShell  anteriores  a  la  versión  5.0  no  existen  o  no  registran  suficientes  detalles  
para  ayudar  en  el  monitoreo  empresarial  y  las  actividades  de  respuesta  a  incidentes.

  Los  registros  de  PowerShell  contienen  datos  valiosos,  incluido  el  registro  y  el  sistema  operativo  histórico.
interacción  y  posibles  tácticas,  técnicas  y  procedimientos  del  uso  de  PowerShell  por  parte  de  un  actor  de  
amenazas.

  Dos  registros  que  registran  la  actividad  de  PowerShell  son  el  registro  de  "Eventos  de  Windows  de  PowerShell"  y  
el  registro  de  "Operaciones  de  PowerShell".  Las  organizaciones  autoras  recomiendan  activar  estos  dos  
registros  de  eventos  de  Windows  con  un  período  de  retención  de  al  menos  180  días.

  Estos  registros  deben  revisarse  regularmente  para  confirmar  si  los  datos  de  registro  se  han  eliminado  o  si  se  ha  
desactivado  el  registro.  Establezca  el  tamaño  de  almacenamiento  permitido  para  ambos  registros  lo  más  
grande  posible.

Página  |  17 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

•  Controladores  de  dominio  seguros  (DC).  Los  actores  malintencionados  a  menudo  apuntan  y  utilizan  los  DC  como  punto  de  
partida  para  propagar  ransomware  en  toda  la  red.  Para  proteger  los  DC:

o  Use  la  última  versión  de  Windows  Server  compatible  con  su  organización  en  los  DC.
Las  versiones  más  nuevas  del  sistema  operativo  Windows  Server  tienen  más  funciones  de  seguridad,  incluso  para  
Active  Directory,  integradas.  Para  obtener  orientación  sobre  la  configuración  de  las  funciones  de  seguridad  
disponibles,  consulte  las  mejores  prácticas  de  Microsoft  para  proteger  Active  Directory.

  Las  organizaciones  autoras  recomiendan  usar  Windows  Server  2019  o  superior  y  Windows  10  o  superior,  ya  
que  tienen  funciones  de  seguridad,  como  protecciones  LSASS  con  Windows  Credential  Guard,  
Windows  Defender  y
Interfaz  de  exploración  antimalware  (AMSI),  no  incluida  en  el  sistema  operativo  anterior

o  Asegúrese  de  que  los  controladores  de  dominio  se  actualicen  con  regularidad.  Aplique  parches  para  vulnerabilidades  críticas  tan  pronto
como  sea  posible.

o  Use  herramientas  de  prueba  de  penetración  de  código  abierto,  como  BloodHound,  para  verificar  la  seguridad  del  
controlador  de  dominio.  
o  Asegúrese  de  que  haya  un  mínimo  de  software  o  agentes  instalados  en  los  DC  porque  estos  pueden  ser
aprovechado  para  ejecutar  código  arbitrario  en  el  sistema.
o  Restrinja  el  acceso  a  los  DC  al  grupo  Administradores.  Los  usuarios  dentro  de  este  grupo  deben  estar  limitados  y  tener  
cuentas  separadas  para  las  operaciones  diarias  con  permisos  no  administrativos.  Para  obtener  más  
información,  consulte  Protección  de  cuentas  y  grupos  administrativos  de  Active  Directory  de  Microsoft.

  Las  cuentas  de  administrador  designadas  solo  deben  usarse  con  fines  administrativos.  Asegúrese  de  que  la  
revisión  de  correos  electrónicos,  la  navegación  web  u  otras  actividades  de  alto  riesgo  no  se  
realicen  en  los  DC.

o  Configurar  cortafuegos  de  host  de  DC  para  evitar  el  acceso  a  Internet.  Por  lo  general,  los  DC  no  necesitan  acceso  directo  
a  Internet.  Los  servidores  con  conectividad  a  Internet  se  pueden  usar  para  obtener  las  actualizaciones  
necesarias  en  lugar  de  permitir  el  acceso  a  Internet  para  los  DC.  o  
Implementar  una  solución  de  administración  de  acceso  privilegiado  (PAM)  en  los  DC  para  ayudar  en
administrar  y  monitorear  el  acceso  privilegiado.  Las  soluciones  PAM  también  pueden  registrar  y  alertar  sobre  el  uso  
para  detectar  actividad  inusual.  o  
Considere  deshabilitar  o  limitar  la  autenticación  NTLM  y  WDigest,  si  es  posible.  Incluya  su  uso  como  criterio  para  
priorizar  la  actualización  de  sistemas  heredados  o  para  segmentar  la  red.  En  su  lugar,  utilice  protocolos  de  
federación  modernos  (p.  ej.,  SAML,  OIDC  o  Kerberos)  para  la  autenticación  con  cifrado  AES  de  256  bits.  Si  NTLM  
debe  estar  habilitado:

  Habilite  la  protección  extendida  para  la  autenticación  (EPA)  para  evitar  algunos  ataques  de  retransmisión  
NTLM.  Para  obtener  más  información,  consulte  Microsoft  Mitiging  NTLM  Relay  Attacks  on  Active  
Directory  Certificate  Services  (AD  CS).     Habilite  la  auditoría  NTLM  para  
garantizar  que  solo  se  envíen  respuestas  NTLMv2
la  red  Deben  tomarse  medidas  para  garantizar  que  se  rechacen  las  respuestas  LM  y  NTLM,  si  es  posible.

Página  |  18 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

o  Habilite  protecciones  adicionales  para  la  autenticación  LSA  para  evitar  la  inyección  de  código  capaz  de  adquirir  
credenciales  del  sistema.  Antes  de  habilitar  estas  protecciones,  ejecute  auditorías  contra  lsass.exe  para  
asegurarse  de  comprender  los  programas  que  se  verán  afectados  por  la  habilitación  de  esta  protección.

•  Conservar  y  proteger  adecuadamente  los  registros  de  los  dispositivos  de  red,  los  hosts  locales  y  la  nube
servicios.  Esto  admite  la  clasificación  y  la  corrección  de  eventos  de  ciberseguridad.  Los  registros  se  pueden  analizar  
para  determinar  el  impacto  de  los  eventos  y  determinar  si  se  ha  producido  un  incidente  [CPG  2.T].
o  Configurar  la  gestión  centralizada  de  registros  mediante  una  herramienta  de  gestión  de  información  y  eventos  de  
seguridad  [CPG  2.U].  Esto  permite  que  una  organización  correlacione  los  registros  de  los  dispositivos  de  
seguridad  de  la  red  y  del  host.  Al  revisar  los  registros  de  múltiples  fuentes,  una  organización  puede  
clasificar  un  evento  individual  y  determinar  su  impacto  en  la  organización.  o  Mantenga  y  
haga  una  copia  de  seguridad  de  los  registros  de  los  sistemas  críticos  durante  un  mínimo  de  un  año,  si  es  posible.

•  Establecer  una  línea  base  de  seguridad  del  tráfico  de  red  normal  y  ajustar  los  dispositivos  de  red  para  detectar  
comportamientos  anómalos.  Ajuste  productos  basados  en  host  para  detectar  binarios  anómalos,  movimiento  lateral  y  
técnicas  de  persistencia.
o  Considere  el  uso  del  registro  de  transacciones  comerciales,  como  el  registro  de  actividades  relacionadas  con
o  aplicaciones  críticas—para  análisis  de  comportamiento.

•  Realice  evaluaciones  periódicas  para  garantizar  que  los  procesos  y  procedimientos  estén  actualizados  y  puedan  ser  seguidos  
por  el  personal  de  seguridad  y  los  usuarios  finales.

Parte  2:  Lista  de  verificación  de  respuesta  a  ransomware  y  extorsión  de  datos
Si  su  organización  es  víctima  de  ransomware,  
Las  organizaciones  autoras  no  recomiendan  pagar  rescate.  Pagar  
siga  su  IRP  aprobado.  Las  organizaciones  autoras  
el  rescate  no  garantizará  que  sus  datos  se  descifren,  que  sus  
recomiendan  encarecidamente  responder  utilizando  la  
sistemas  o  datos  ya  no  se  vean  comprometidos  o  que  sus  datos  
siguiente  lista  de  verificación.
no  se  filtren.
Asegúrese  de  pasar  por  los  primeros  tres  pasos  
en  secuencia.
Además,  el  pago  de  rescates  puede  plantear  riesgos  de  
Detección  y  Análisis
sanciones.  Para  obtener  información  sobre  posibles  riesgos  de  
Consulte  las  mejores  prácticas  y  referencias  a   sanciones,  consulte  el  memorando  de  la  Oficina  de  Control  
continuación  para  ayudar  a  administrar  el  riesgo   de  Activos  Extranjeros  (OFAC)  del  Departamento  del  Tesoro  de  
que  representa  el  ransomware  y  respaldar  la  respuesta   EE.  UU.  de  septiembre  de  2021,  Aviso  actualizado  sobre  
coordinada  y  eficiente  de  su  organización  a  un   posibles  riesgos  de  sanciones  para  facilitar  los  pagos  de  
incidente  de  ransomware.  Aplicar  estas  prácticas  en  la   ransomware.  El  aviso  actualizado  establece  que  la  
mayor  medida  posible  en  función  de  la  disponibilidad   Oficina  de  Control  de  Activos  Extranjeros  (OFAC)  del  Tesoro  
de  recursos  de  la  organización. consideraría  "factores  atenuantes"  en  las  acciones  de  
aplicación  relacionadas.  Comuníquese  con  su  oficina  de  
  1.  Determinar  qué  sistemas  se  vieron  afectados  
campo  local  del  FBI,  en  consulta  con  la  OFAC,  para  obtener  
e  inmediatamente  aislarlos.
orientación  sobre  cómo  mitigar  los  factores  de  penalización  después  de  un  ataque.

□  Si  varios  sistemas  o  subredes  parecen  
afectados,  desconecte  la  red  en  el  nivel  del  conmutador.  Puede  que  no  sea  factible  desconectar  sistemas  
individuales  durante  un  incidente.

Página  |  19 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

□  Priorizar  el  aislamiento  de  los  sistemas  críticos  que  son  esenciales  para  las  operaciones  diarias.  
□  Si  no  es  posible  desconectar  la  red  temporalmente  de  inmediato,  ubique  el  cable  de  red  (por  ejemplo,  Ethernet)  y  
desconecte  los  dispositivos  afectados  de  la  red  o  elimínelos  de  Wi­Fi  para  contener  la  infección.

□  Para  los  recursos  de  la  nube,  tome  una  instantánea  de  los  volúmenes  para  obtener  una  copia  de  un  punto  en  el  tiempo  para  su  revisión
más  tarde  para  la  investigación  forense.
□  Después  de  un  compromiso  inicial,  los  actores  maliciosos  pueden  monitorear  la  actividad  o  las  comunicaciones  de  su  
organización  para  comprender  si  se  han  detectado  sus  acciones.  Aísle  los  sistemas  de  manera  coordinada  y  utilice  
métodos  de  comunicación  fuera  de  banda,  como  llamadas  telefónicas,  para  evitar  avisar  a  los  actores  que  han  sido  
descubiertos  y  que  se  están  tomando  medidas  de  mitigación.  No  hacerlo  podría  hacer  que  los  actores  se  muevan  
lateralmente  para  preservar  su  acceso  o  implementar  ransomware  ampliamente  antes  de  que  las  redes  se  
desconecten.

2.  Apague  los  dispositivos  si  no  puede  desconectarlos  de  la  red  para  evitar  una  mayor  propagación  de  la  infección  de  
ransomware.

Nota:  Este  paso  evitará  que  su  organización  mantenga  artefactos  de  infección  de  ransomware  y  evidencia  potencial  
almacenada  en  la  memoria  volátil.  Debe  llevarse  a  cabo  solo  si  no  es  posible  cerrar  temporalmente  la  red  o  desconectar  
los  hosts  afectados  de  la  red  por  otros  medios.

  3.  Clasificar  los  sistemas  afectados  para  su  restauración  y  recuperación.
□  Identificar  y  priorizar  los  sistemas  críticos  para  la  restauración  en  una  red  limpia  y  confirmar  la
naturaleza  de  los  datos  alojados  en  los  sistemas  afectados.

  Priorizar  la  restauración  y  la  recuperación  en  función  de  una  lista  predefinida  de  activos  críticos  que
incluye  sistemas  de  información  críticos  para  la  salud  y  la  seguridad,  la  generación  de  ingresos  u  otros  
servicios  críticos,  así  como  los  sistemas  de  los  que  dependen.

□  Realice  un  seguimiento  de  los  sistemas  y  dispositivos  que  no  se  perciben  afectados  para  que  se  les  pueda  quitar  prioridad  
para  la  restauración  y  la  recuperación.  Esto  le  permite  a  su  organización  volver  al  negocio  de  una  manera  más  
eficiente.

  4.  Examinar  los  sistemas  existentes  de  prevención  o  detección  de  la  organización  (p.  ej.,  antivirus,  EDR,  IDS,  Sistema  de  
prevención  de  intrusiones)  y  registros.  Si  lo  hace,  puede  resaltar  la  evidencia  de  sistemas  adicionales  o  malware  involucrado  
en  etapas  anteriores  del  ataque.
□  Busque  evidencia  de  malware  "dropper"  precursor,  como  Bumblebee,  Dridex,  Emotet,  QakBot  o  Anchor.  Un  evento  de  
ransomware  puede  ser  evidencia  de  un  compromiso  de  red  anterior  sin  resolver.

  Los  operadores  de  estas  variantes  de  malware  avanzado  a  menudo  venderán  el  acceso  a  un
red.  Los  actores  maliciosos  a  veces  usan  este  acceso  para  exfiltrar  datos  y  luego  amenazan  con  divulgar  

los  datos  públicamente  antes  de  rescatar  la  red  para  extorsionar  aún  más  a  la  víctima  y  presionarla  para  que  
pague.

Página  |  20 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

  Los  actores  malintencionados  a  menudo  lanzan  variantes  de  ransomware  para  ocultar  la  actividad  
posterior  al  compromiso.  Se  debe  tener  cuidado  para  identificar  dicho  malware  dropper  antes  de  
reconstruir  a  partir  de  copias  de  seguridad  para  evitar  compromisos  continuos.

  5.  Consulte  con  su  equipo  para  desarrollar  y  documentar  una  comprensión  inicial  de  lo  que  ha
ocurrió  en  base  al  análisis  inicial.

  6.  Iniciar  actividades  de  caza  de  amenazas.  □  
Para  entornos  empresariales,  busque:

  Cuentas  de  AD  recién  creadas  o  cuentas  con  privilegios  escalados  y  actividad  reciente  relacionada  
con  cuentas  privilegiadas,  como  administradores  de  dominio.
  Inicios  de  sesión  anómalos  en  dispositivos  VPN  u  otros  inicios  de  sesión  sospechosos.  

  Modificaciones  de  puntos  finales  que  pueden  afectar  las  copias  de  seguridad,  las  instantáneas,  el  registro  en  diario  del  disco,

o  configuraciones  de  arranque.  Busque  el  uso  anómalo  de  las  herramientas  integradas  de  Windows,  
como  bcdedit.exe,  fsutil.exe  (deletejournal),  vssadmin.exe,  wbadmin.exe  y  wmic.exe  (shadowcopy  o  
shadowstorage).  El  mal  uso  de  estas  herramientas  es  una  técnica  común  de  ransomware  para  
inhibir  la  recuperación  del  sistema.     Señales  de  presencia  de  baliza/cliente  
Cobalt  Strike.  Cobalt  Strike  es  un
Suite  de  software  de  prueba  de  penetración  comercial.  Los  actores  malintencionados  a  menudo  
nombran  los  procesos  de  Cobalt  Strike  Windows  con  los  mismos  nombres  que  los  procesos  legítimos  
de  Windows  para  ofuscar  su  presencia  y  complicar  las  investigaciones.     Signos  de  
cualquier  uso  inesperado  de  monitoreo  y  administración  remotos  (RMM)
software  (incluidos  los  ejecutables  portátiles  que  no  están  instalados).  El  software  RMM  es  comúnmente  
utilizado  por  actores  malintencionados  para  mantener  la  persistencia.     
Cualquier  ejecución  inesperada  de  PowerShell  o  uso  de  la  suite  PsTools.     Signos  de  
enumeración  de  credenciales  de  AD  y/o  LSASS  que  se  están  descargando  (p.  ej.,
Mimic  o  NTDSutil.exe).
  Signos  de  comunicaciones  inesperadas  de  extremo  a  extremo  (incluidos  los  servidores).     Signos  
potenciales  de  datos  extraídos  de  la  red.  Las  herramientas  comunes  para  la  exfiltración  de  datos  incluyen  
Rclone,  Rsync,  varios  servicios  de  almacenamiento  de  archivos  basados  en  la  web  (también  utilizados  
por  los  actores  de  amenazas  para  implantar  malware/herramientas  en  la  red  afectada)  y  FTP/SFTP.

  Servicios  recién  creados,  tareas  programadas  inesperadas,  software  inesperado
instalado,  etc

□  Para  entornos  de  nube:

  Habilitar  herramientas  para  detectar  y  prevenir  modificaciones  a  IAM,  seguridad  de  red  y
recursos  de  protección  de  datos.
  Utilice  la  automatización  para  detectar  problemas  comunes  (p.  ej.,  desactivación  de  funciones,  introducción  
de  nuevas  reglas  de  firewall)  y  tome  medidas  automatizadas  tan  pronto  como  ocurran.  Por  
ejemplo,  si  se  crea  una  nueva  regla  de  firewall  que  permite  el  tráfico  abierto  (0.0.0.0/0),  se  puede  realizar  
una  acción  automática  para  deshabilitar  o  eliminar  esta  regla  y  enviar

notificaciones  al  usuario  que  lo  creó,  así  como  al  equipo  de  seguridad  para

Página  |  21 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

conciencia.  Esto  ayudará  a  evitar  la  fatiga  por  alertas  y  permitirá  que  el  personal  de  seguridad  se  
concentre  en  problemas  críticos.

Reporte  y  Notificación
Nota:  Consulte  la  sección  Información  de  contacto  
Si  se  necesita  una  identificación  o  análisis  más  extenso,  CISA,  MS
al  final  de  esta  guía  para  obtener  detalles  sobre  cómo   ISAC  y  las  fuerzas  del  orden  público  locales,  estatales  o  federales  pueden  
informar  y  notificar  sobre  incidentes  de  ransomware. estar  interesadas  en  cualquiera  de  la  siguiente  información  que  su  
organización  determine  que  puede  compartir  legalmente:

  7.  Siga  los  requisitos  de  notificación  como  se   •  Archivo  ejecutable  recuperado.

describe  en  su  plan  de  comunicación  y  
•  Copias  del  archivo  Léame:  NO  ELIMINAR  el  archivo  o  es  posible  que  
respuesta  a  incidentes  cibernéticos  para  
no  se  pueda  descifrar.
involucrar  a  los  equipos  internos  y  externos  
y  a  las  partes  interesadas  con  un •  Captura  de  memoria  en  vivo  (RAM)  de  sistemas  con  signos  

comprensión  de  lo  que  pueden   adicionales  de  compromiso  (uso  de  kits  de  herramientas  de  
explotación,  actividad  RDP,  archivos  adicionales  encontrados  localmente).
proporcionar  para  ayudarlo  a  mitigar,  responder  
y  recuperarse  del  incidente.  □  Comparte  la  
•  Imágenes  de  sistemas  infectados  con  signos  adicionales  de  compromiso  
información  que  tienes  a  tu  disposición   (uso  de  kits  de  herramientas  de  explotación,  actividad  RDP,  
para  recibir  asistencia  oportuna   archivos  adicionales  encontrados  localmente).
y  pertinente.  Mantenga  informados  
•  Muestras  de  malware.
a  la  gerencia  y  a  los  
líderes  senior  a  través  de   •  Nombres  de  malware  identificados  en  su  red.
actualizaciones  periódicas  a  medida  
•  Muestras  de  archivos  cifrados.
que  se  desarrolla  la  situación.  
Las  partes  interesadas   •  Archivos  de  registro  (p.  ej.,  registros  de  eventos  de  
relevantes  pueden  incluir  su   Windows  de  sistemas  comprometidos,  registros  de  firewall).

departamento  de  TI,  proveedores  de  
•  Se  encontraron  secuencias  de  comandos  de  PowerShell  ejecutándose  en  el
servicios  de  seguridad   red.
administrados,  compañía  de  
seguros  cibernéticos  y  líderes   •  Cuentas  de  usuario  creadas  en  AD  o  máquinas  añadidas  a

departamentales  o   la  red  durante  la  explotación.

electos  [CPG  4.A].  □  Reporte  el  incidente  
•  Direcciones  de  correo  electrónico  utilizadas  por  los  atacantes  y  cualquier
a  CISA,  su  oficina  local   correos  electrónicos  de  phishing  asociados.
del  FBI,  el  Centro  de  Quejas  de  Delitos  
en  Internet  (IC3)  del  FBI  o  su  campo   •  Otras  cuentas  de  comunicación  utilizadas  por  el
atacantes
local  del  Servicio  Secreto  de  EE.  
UU.  y  considere  solicitar  asistencia. •  Una  copia  de  la  nota  de  rescate.

oficina. •  Importe  del  rescate  y  si  se  pagó  el  rescate.

□  Según  corresponda,  coordinar  con   •  Billeteras  Bitcoin  utilizadas  por  los  atacantes.
comunicaciones  y
•  Monederos  de  Bitcoin  utilizados  para  pagar  el  rescate,  si  corresponde.
personal  de  información  pública  para  
asegurar
•  Copias  de  cualquier  comunicación  con  los  atacantes.
la  información  se  comparte  

internamente  con  su  organización  y  externamente  con  el  público.

Página  |  22 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

  8.  Si  el  incidente  resultó  en  una  violación  de  datos,  siga  los  requisitos  de  notificación  como  se  describe  en
su  respuesta  a  incidentes  cibernéticos  y  planes  de  comunicación.

Contención  y  Erradicación

Si  no  parece  posible  ninguna  acción  de  mitigación  inicial:

  9.  Tomar  una  imagen  y  memoria  del  sistema
captura  de  una  muestra  de  dispositivos  afectados  (por   A  pedido  voluntario,  CISA  y  MS­ISAC  (para  organizaciones  

ejemplo,  estaciones  de  trabajo,  servidores,   SLTT)  pueden  ayudar  con  el  análisis  de  correos  

servidores  virtuales  y  servidores  en  la  nube).  Recopile   electrónicos  de  phishing,  medios  de  almacenamiento,  

todos  los  registros  relevantes,  así  como  muestras   registros  y/o  malware  sin  costo  para  ayudar  a  las  

de  cualquier  binario  de  malware  "precursor"  y  observables   organizaciones  a  comprender  la  causa  raíz  de  un  
incidente.
asociados  o  indicadores  de  compromiso  (por  
ejemplo,  direcciones  IP  de  comando  y  control  
•  CISA  –  Centro  de  Análisis  de  Malware  Avanzado:  
sospechosas,  entradas  de  registro  sospechosas  u  
malware.us­cert.gov/
otros  archivos  relevantes  detectados).  Los  contactos  a  
continuación  pueden  ayudarlo  a  realizar   •  MS­ISAC:  plataforma  de  análisis  de  códigos  
estas  tareas.  □  Conservar  la   maliciosos  (solo  organizaciones  SLTT):  
evidencia  que  es  de  naturaleza  altamente   cisecurity.org/spotlight/cybersecurity  spotlight­
volátil,  o  de  retención  limitada,  para   malware­analysis/
evitar  pérdidas  o  manipulaciones  (p.  
ej.,  memoria  del  sistema,  registros  de  
seguridad  de  Windows,  datos  en  búferes  de  registro  de  firewall).

  10.  Consultar  a  las  fuerzas  del  orden  público  federales,  incluso  si  las  acciones  de  mitigación  son  posibles,  con  respecto  a
posibles  descifradores  disponibles,  ya  que  los  investigadores  de  seguridad  pueden  haber  descubierto  fallas  de  cifrado  para  
algunas  variantes  de  ransomware  y  liberado  descifrado  u  otros  tipos  de  herramientas.

Para  continuar  tomando  medidas  para  contener  y  mitigar  el  incidente:

  11.  Investigue  orientación  confiable  (p.  ej.,  publicada  por  fuentes  como  el  gobierno  de  EE.  UU.,
MS­ISAC,  o  un  proveedor  de  seguridad  acreditado)  para  la  variante  de  ransomware  en  particular  y  siga  los  pasos  
adicionales  recomendados  para  identificar  y  contener  los  sistemas  o  redes  que  se  confirmen  afectados.  □  Eliminar  o  
deshabilitar  la  
ejecución  de  archivos  binarios  de  ransomware  conocidos;  esto  minimizará  el  daño  y  el  impacto  en  sus  sistemas.  
Elimine  otros  archivos  y  valores  de  registro  asociados  conocidos.

  12.  Identificar  los  sistemas  y  cuentas  involucrados  en  la  brecha  inicial.  Esto  puede  incluir  correo  electrónico
cuentas

  13.  Con  base  en  los  detalles  de  incumplimiento  o  compromiso  determinados  anteriormente,  contener
sistemas  que  pueden  ser  utilizados  para  un  acceso  no  autorizado  adicional  o  continuado.  Las  infracciones  a  menudo  
implican  la  exfiltración  masiva  de  credenciales.  Proteger  las  redes  y  otras  fuentes  de  información  contra  el  acceso  
no  autorizado  basado  en  credenciales  puede  incluir:

Página  |  23 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

□  Deshabilite  las  redes  privadas  virtuales,  los  servidores  de  acceso  remoto,  los  recursos  de  inicio  de  sesión  único  y  los  
activos  basados  en  la  nube  u  otros  recursos  públicos.

  14.  Si  una  estación  de  trabajo  infectada  cifra  los  datos  del  lado  del  servidor,  siga  los  pasos  de  identificación  rápida  del  cifrado  de  
datos  del  lado  del  servidor.
□  Revise  las  listas  de  Administración  de  equipos  >  Sesiones  y  Archivos  abiertos  en  los  servidores  asociados  para  determinar  
el  usuario  o  el  sistema  que  accede  a  esos  archivos.  □  Revise  las  
propiedades  de  los  archivos  cifrados  o  las  notas  de  rescate  para  identificar  usuarios  específicos  que  puedan  estar  
asociados  con  la  propiedad  del  archivo.  □  Revise  el  
registro  de  eventos  de  TerminalServices­RemoteConnectionManager  para  verificar  si  hay  conexiones  de  red  RDP  
exitosas.  □  Revise  el  registro  de  seguridad  de  

Windows,  los  registros  de  eventos  de  SMB  y  los  registros  relacionados  que  pueden  identificar
eventos  significativos  de  autenticación  o  acceso.  □  Ejecute  
software  de  captura  de  paquetes,  como  Wireshark,  en  el  servidor  afectado  con  un  filtro  para  identificar  las  direcciones  IP  
involucradas  en  la  escritura  activa  o  el  cambio  de  nombre  de  los  archivos  (p.  ej.,  smb2.filename  contiene  cryptxxx).

  15.  Llevar  a  cabo  un  análisis  extenso  para  identificar  la  persistencia  de  afuera  hacia  adentro  y  de  adentro  hacia  afuera
mecanismos.

□  La  persistencia  de  afuera  hacia  adentro  puede  incluir  acceso  autenticado  a  sistemas  externos  a  través  de  cuentas  no  
autorizadas,  puertas  traseras  en  sistemas  perimetrales,  explotación  de  vulnerabilidades  externas,  etc.  □  La  
persistencia  de  adentro  hacia  afuera  puede  incluir  implantes  de  malware  en  la  red  interna  o  una  variedad  de  ­modificaciones  
de  estilo  de  tierra  (p.  ej.,  uso  de  herramientas  comerciales  de  prueba  de  penetración  como  Cobalt  Strike;  uso  de  la  suite  
PsTools,  incluido  PsExec,  para  instalar  y  controlar  malware  de  forma  remota  y  recopilar  información  relacionada  con,  o  
realizar  administración  remota  de,  sistemas  Windows;  uso  de  scripts  de  PowerShell) .

□  La  identificación  puede  implicar  el  despliegue  de  soluciones  EDR,  auditorías  de  dominio  local  y
cuentas,  examen  de  datos  encontrados  en  sistemas  de  registro  centralizados  o  análisis  forense  más  profundo  de  
sistemas  específicos  una  vez  que  se  ha  mapeado  el  movimiento  dentro  del  entorno.

  16.  Reconstruir  sistemas  basados  en  la  priorización  de  servicios  críticos  (p.  ej.,  salud  y  seguridad  o  servicios  generadores  de  
ingresos),  utilizando  imágenes  estándar  preconfiguradas,  si  es  posible.  Utilice  la  infraestructura  como  plantillas  de  
código  para  reconstruir  los  recursos  de  la  nube.

  17.  Emitir  restablecimientos  de  contraseña  para  todos  los  sistemas  afectados  y  abordar  cualquier
vulnerabilidades  y  brechas  en  la  seguridad  o  visibilidad  una  vez  que  el  entorno  se  haya  limpiado  y  reconstruido  por  completo,  
incluidas  las  cuentas  afectadas  asociadas  y  la  eliminación  o  reparación  de  mecanismos  de  persistencia  maliciosos.  Esto  
puede  incluir  la  aplicación  de  parches,  la  actualización  del  software  y  la  adopción  de  otras  precauciones  de  seguridad  que  no  se  
hayan  tomado  previamente.  Actualice  las  claves  de  cifrado  administradas  por  el  cliente  según  sea  necesario.

Página  |  24 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

  18.  La  TI  designada  o  la  autoridad  de  seguridad  de  TI  declara  terminado  el  incidente  de  ransomware  según  los  criterios  
establecidos,  que  pueden  incluir  seguir  los  pasos  anteriores  o  buscar  ayuda  externa.

Actividad  de  recuperación  y  posterior  al  incidente

  19.  Vuelva  a  conectar  los  sistemas  y  restaure  los  datos  de  copias  de  seguridad  cifradas  fuera  de  línea  basadas  en  un
priorización  de  servicios  críticos.  □  Tenga  
cuidado  de  no  volver  a  infectar  los  sistemas  limpios  durante  la  recuperación.  Por  ejemplo,  si  se  ha  creado  una  
nueva  red  de  área  local  virtual  (VLAN)  con  fines  de  recuperación,  asegúrese  de  que  solo  se  agreguen  sistemas  
limpios.

  20.  Documentar  las  lecciones  aprendidas  del  incidente  y  las  actividades  de  respuesta  asociadas  para
Informar  sobre  las  actualizaciones  y  refinar  las  políticas,  los  planes  y  los  procedimientos  de  la  organización  y  guiar  los  
ejercicios  futuros  de  los  mismos.

  21.  Considere  compartir  lecciones  aprendidas  e  indicadores  relevantes  de  compromiso  con  CISA  o  su  sector  ISAC  para  
beneficiar  a  otros  dentro  de  la  comunidad.

Página  |  25 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Información  del  contacto
Al  responder  a  cualquier  incidente  cibernético,  las  agencias  federales  emprenderán  una  respuesta  ante  amenazas;  respuesta  de  activos;  y  
apoyo  de  inteligencia  y  actividades  conexas.

Lo  que  puede  esperar:

•  Orientación  específica  para  ayudar  a  evaluar  y  remediar  incidentes  de  ransomware.  •  Asistencia  remota  
para  identificar  el  alcance  del  compromiso  y  recomendaciones  para
estrategias  apropiadas  de  contención  y  mitigación  (dependiendo  de  la  variante  de  ransomware  específica).  •  Correo  electrónico  
de  phishing,  medios  de  almacenamiento,  registro  y  análisis  de  malware  basado  en  el  envío  voluntario.  Lleno
el  análisis  forense  del  disco  se  puede  realizar  según  sea  necesario.
•  Asistencia  en  la  realización  de  una  investigación  criminal,  que  puede  implicar  la  recopilación  de  artefactos  de  incidentes,
incluyendo  imágenes  del  sistema  y  muestras  de  malware.

Contactos  de  respuesta  de  activos  federales

Previa  solicitud  voluntaria,  la  respuesta  de  activos  federales  incluye  brindar  asistencia  técnica  a  las  entidades  afectadas  para  proteger  
sus  activos,  mitigar  vulnerabilidades  y  reducir  los  impactos  de  los  incidentes  cibernéticos;  identificar  otras  entidades  que  puedan  
estar  en  riesgo  y  evaluar  su  riesgo  a  las  mismas  o  similares  vulnerabilidades;  evaluar  los  riesgos  potenciales  para  el  sector  
o  la  región,  incluidos  los  posibles  efectos  en  cascada,  y  desarrollar  cursos  de  acción  para  mitigar  estos  riesgos;  facilitar  el  intercambio  de  
información  y  la  coordinación  operativa  con  la  respuesta  a  amenazas;  y  brindar  orientación  sobre  la  mejor  manera  de  utilizar  los  recursos  y  
capacidades  federales  de  manera  oportuna  y  efectiva  para  acelerar  la  recuperación.

CIS: cisa.gov/informe

Central@cisa.gov  o  llame  al  (888)  282­0870

Asesor  de  ciberseguridad  (cisa.gov/cisa­regions):  [Ingrese  el  número  de  teléfono  y  la  dirección  de  correo  
electrónico  de  su  CISA  CSA  local.]

MS­ISAC: Para  SLTT,  envíe  un  correo  electrónico  a  soc@msisac.org  o  llame  al  (866)  787­4722

Contactos  federales  de  respuesta  a  amenazas

Previa  solicitud  voluntaria,  o  previa  notificación  a  los  socios,  la  respuesta  federal  ante  amenazas  incluye  la  realización  de  actividades  de  
investigación  de  seguridad  nacional  y  de  aplicación  de  la  ley  adecuadas  en  el  sitio  de  la  entidad  afectada;  recopilación  de  pruebas  y  
recopilación  de  inteligencia;  proporcionar  atribución;  vincular  incidentes  relacionados;  identificar  entidades  afectadas  adicionales;  
identificar  oportunidades  de  persecución  e  interrupción  de  amenazas;  desarrollar  y  ejecutar  cursos  de  acción  para  mitigar  la  
amenaza  inmediata;  y  facilitar  el  intercambio  de  información  y  la  coordinación  operativa  con  la  respuesta  de  activos.

FBI: fbi.gov/contact­us/field­offices  [Ingrese  el  número  de  teléfono  y  la  dirección  de  correo  
electrónico  del  POC  de  la  oficina  local  del  FBI.]

EE.UU.: secretservice.gov/contact/field­offices/  [Ingrese  el  número  de  teléfono  y  la  dirección  de  correo  
electrónico  del  POC  de  la  oficina  de  campo  de  USSS.]

Página  |  26 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

Otros  contactos  de  respuesta  federal
NSA: DIB_Defense@cyber.nsa.gov  (para  consultas  de  bases  industriales  de  defensa  y  servicios  
de  ciberseguridad)

Otros  contactos  de  respuesta
Considere  completar  la  Tabla  1  para  usarla  en  caso  de  que  su  organización  se  vea  afectada  por  ransomware.  Considere  ponerse  en  
contacto  con  estas  organizaciones  para  obtener  asistencia  en  mitigación  y  respuesta  o  para  recibir  notificaciones.

Tabla  1:  Información  de  contactos  de  respuesta

Contactos  de  respuesta:

Contacto 24x7 Funciones  y  responsabilidades

Equipo  de  seguridad  de  TI/TI:  incidente  cibernético  centralizado
Informes

Líderes  Departamentales  o  Electos

Cumplimiento  de  la  ley  estatal  y  local

Centro  de  fusión

Proveedores  de  servicios  gestionados/de  seguridad

Seguro  Cibernético

Página  |  27 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

RECURSOS
Recursos  sin  costo  de  CISA
•  El  intercambio  de  información  con  CISA  y  MS­ISAC  (para  organizaciones  SLTT)  es  bidireccional.  Esto  incluye  mejores  prácticas  e  
información  de  defensa  de  la  red  con  respecto  a  las  tendencias  y  variantes  de  ransomware,  así  como  el  malware  que  es  
un  precursor  del  ransomware.
•  Las  evaluaciones  técnicas  o  orientadas  a  políticas  ayudan  a  las  organizaciones  a  comprender  cómo  pueden  mejorar
sus  defensas  para  evitar  la  infección  por  ransomware:  cisa.gov/cyber­resource­hub.

o  Las  evaluaciones  incluyen  análisis  de  vulnerabilidades  sin  costo.

•  Los  ejercicios  cibernéticos  evalúan  o  ayudan  a  desarrollar  un  plan  de  respuesta  a  incidentes  cibernéticos  en  el  contexto  de  un  
escenario  de  incidente  de  ransomware:  cisa.gov/resources­tools/services/cisa­tabletop­exercise  packages.

•  Los  asesores  de  seguridad  cibernética  de  CISA  asesoran  sobre  las  mejores  prácticas  y  lo  conectan  con  los  recursos  de  CISA  para
gestionar  el  riesgo  

cibernético.  •  La  herramienta  de  evaluación  de  seguridad  cibernética  (CSET)  guía  a  los  propietarios  y  operadores  de  activos  a  través  de  una
proceso  sistemático  de  evaluación  de  tecnología  operativa  (OT)  y  TI.  CSET  incluye  la  evaluación  de  preparación  de  
ransomware  (RRA),  una  autoevaluación  basada  en  un  conjunto  de  prácticas  escalonadas  para  ayudar  a  las  
organizaciones  a  evaluar  qué  tan  bien  están  equipadas  para  defenderse  y  recuperarse  de  un  incidente  de  ransomware.

contactos:
•  SLTT  y  organizaciones  del  sector  privado:  CISA.JCDC@cisa.dhs.gov

Referencias  rápidas  de  ransomware
•  StopRansomware.gov:  un  sitio  web  de  todo  el  gobierno  que  brinda  recursos  y
alertas

•  Manual  de  seguridad:  Ransomware  (MS­ISAC):  describe  el  ransomware  oportunista  y  estratégico.
campañas,  vectores  de  infección  comunes  y  recomendaciones  de  mejores  prácticas.
•  Plan  para  la  defensa  contra  ransomware  del  Institute  for  Security  +  Technology  (IST):  un  plan  de  acción  para  la  mitigación,  respuesta  
y  recuperación  de  ransomware  para  pequeñas  y  medianas  empresas.

Recursos  adicionales
•  Arquitectura  de  confianza  cero  NIST

•  CISA:  Arquitectura  de  referencia  técnica  de  seguridad  en  la  nube  •  CISA:  
Proyecto  de  aplicaciones  comerciales  seguras  en  la  nube  (SCuBA)  •  CISA:  Guía  de  
mitigación  y  endurecimiento  para  MSP  y  pequeñas  y  medianas  empresas  •  CISA:  Protección  contra  amenazas  cibernéticas  para  
proveedores  de  servicios  administrados  y  sus  clientes  •  NSA:  Mitigación  de  vulnerabilidades  en  la  nube  (NSA)

Página  |  28 TLP:BORRAR
Machine Translated by Google
TLP:BORRAR

DESCARGO  DE  RESPONSABILIDAD  DE  APOYO

La  información  y  las  opiniones  contenidas  en  este  documento  se  proporcionan  "tal  cual"  y  sin  garantías  ni  
garantías.  La  referencia  en  este  documento  a  cualquier  producto,  proceso  o  servicio  comercial  específico  por  nombre  
comercial,  marca  comercial,  fabricante  o  de  otro  modo,  no  constituye  ni  implica  su  respaldo,  recomendación  o  
favorecimiento  por  parte  del  gobierno  de  los  Estados  Unidos,  y  esta  guía  no  se  utilizará  para  publicidad.  o  fines  de  promoción  
de  productos.

OBJETIVO

Este  documento  se  desarrolló  para  promover  las  misiones  de  seguridad  cibernética  de  los  autores,  incluidas  sus  
responsabilidades  para  identificar  y  difundir  amenazas,  y  para  desarrollar  y  emitir  especificaciones  y  
mitigaciones  de  seguridad  cibernética.  Esta  información  puede  compartirse  ampliamente  para  llegar  a  todas  las  
partes  interesadas  apropiadas.

Página  |  29 TLP:BORRAR