Cisco Talos analizó los 14 principales grupos de ransomware entre 2023 y 2024 para exponer su cadena de ataque y destacar tácticas, técnicas y protocolos interesantes. La empresa de seguridad también expuso las vulnerabilidades más aprovechadas que activan los actores de ransomware. Cadena de ataque de ransomware: lo que aprendieron los investigadores de Cisco Talos Casi todos los actores de ransomware utilizan la misma cadena de ataque. Cadena de ataque de ransomware típica. Imagen: Cisco Talos Primer paso para los actores de ransomware El primer paso del actor de amenazas consiste en obtener acceso a la entidad objetivo. Para lograr ese objetivo, los actores de ransomware utilizan diferentes técnicas: una de las técnicas más comunes es aplicar ingeniería social a sus objetivos enviando correos electrónicos que contienen archivos o enlaces maliciosos que ejecutarán malware en el sistema objetivo. Luego, el malware permitirá al atacante implementar más herramientas y malware para alcanzar sus objetivos. La autenticación multifactor puede omitirse en este momento utilizando varias técnicas, ya sea por una mala implementación de MFA o por poseer credenciales válidas. Talos también informó que un número cada vez mayor de afiliados de ransomware escanean los sistemas que dan a Internet en busca de vulnerabilidades o configuraciones erróneas que podrían permitirles comprometer el sistema. El software sin parches o heredado es un riesgo particularmente alto. Segundo paso para los actores de ransomware El segundo paso es ganar persistencia en caso de que se descubra el vector inicial de compromiso; esa persistencia en los sistemas generalmente se logra modificando las claves del registro de Windows o habilitando la ejecución automática del código malicioso al iniciar el sistema. También se pueden crear cuentas locales, de dominio y/o en la nube para la persistencia. Tercer paso para los actores de ransomware En el tercer paso, el actor de amenazas escanea el entorno de red para comprender mejor las partes internas de la infraestructura. En este paso se identifican los datos de valor que se pueden usar para el rescate. Para acceder con éxito a todas las partes de la red, los atacantes a menudo usan herramientas para elevar sus privilegios al nivel de administrador, además de usar herramientas que permiten el escaneo de red. Las herramientas populares para estas tareas son los binarios Living Off the Land, también conocidos como LOLbins, porque son archivos ejecutables nativos del sistema operativo y menos propensos a generar alertas. Cuarto paso para los actores del ransomware El atacante está listo para recolectar y robar datos confidenciales, que a menudo comprimen con utilidades (como 7-Zip o WinRAR) antes de exfiltrar los datos a servidores controlados por el atacante mediante herramientas de monitoreo y administración remotas o más personalizadas, como StealBit o Exabyte, por ejemplo, creadas por los grupos de ransomware LockBit y BlackByte. Posible quinto paso para los actores del ransomware Si el objetivo es el robo de datos o la extorsión, la operación ha terminado. Si el objetivo es cifrar datos, el atacante debe probar el ransomware en el entorno, es decir, verificar los mecanismos de entrega y las comunicaciones entre el ransomware y el servidor C2, antes de lanzarlo para cifrar la red y notificar a la víctima que ha sido violada y necesita pagar el rescate. Cobertura de seguridad de lectura obligada Tres vulnerabilidades más abusadas Cisco Talos informó que tres vulnerabilidades en aplicaciones públicas son comúnmente explotadas por actores de amenazas de ransomware. CVE-2020-1472, también conocida como Zerologon, explota una falla en el protocolo remoto Netlogon que permite a los atacantes eludir la autenticación y cambiar las contraseñas de las computadoras dentro del Active Directory de un controlador de dominio. Este exploit es ampliamente utilizado por los actores de ransomware porque les permite obtener acceso a una red sin autenticación. CVE-2018-13379, una vulnerabilidad de VPN SSL de Fortinet FortiOS, permite atravesar rutas que permiten a un atacante acceder a archivos del sistema mediante el envío de paquetes HTTP especialmente diseñados. De esta manera, se puede acceder a los tokens de sesión de VPN, que se pueden usar para obtener acceso no autenticado a la red. CVE-2023-0669, una vulnerabilidad de GoAnywhere MFT, permite a los atacantes ejecutar código arbitrario en un servidor específico que utiliza el software GoAnywhere Managed File Transfer. Esta es la vulnerabilidad más reciente enumerada por Cisco Talos en su informe. Todas esas vulnerabilidades permiten a los actores de ransomware obtener acceso inicial y manipular sistemas para ejecutar más cargas útiles maliciosas, instalar persistencia o facilitar movimientos laterales dentro de redes comprometidas. DESCARGAR: Beneficios y mejores prácticas de ciberseguridad de TechRepublic Premium TTP notables de 14 grupos de ransomware Cisco Talos observó los TTP utilizados por 14 de los grupos de ransomware más prevalentes en función de su volumen de ataque, impacto en los clientes y comportamiento atípico. Grupos de ransomware clasificados por número de víctimas en sus sitios de filtración. Imagen: Cisco Talos Uno de los hallazgos clave con respecto a los TTP indica que muchos de los grupos más destacados priorizan establecer un compromiso inicial y evadir las defensas en sus cadenas de ataque. Los actores de amenazas de ransomware a menudo ofuscan su código malicioso al empaquetarlo y comprimiéndolo y modifican el registro de sistemas para deshabilitar las alertas de seguridad en el punto final o servidor. También pueden bloquear ciertas opciones de recuperación para los usuarios. Los investigadores de Cisco Talos destacaron que la técnica de acceso a credenciales más frecuente es el volcado del contenido de la memoria LSASS para extraer contraseñas de texto simple, contraseñas en hash o tokens de autenticación almacenados en la memoria. Otra tendencia en las actividades de C2 es el uso de herramientas disponibles comercialmente, como las aplicaciones RMM. Estas aplicaciones generalmente son de confianza para el entorno y permiten al atacante mezclarse con el tráfico de la red corporativa. Cómo mitigar la amenaza del ransomware Para empezar, es obligatorio aplicar parches y actualizaciones a todos los sistemas y software; este mantenimiento constante es necesario para reducir el riesgo de verse comprometido por un exploit. Se deben implementar políticas de contraseñas estrictas y MFA. Se deben establecer contraseñas complejas y únicas para cada usuario y se debe aplicar MFA, por lo que un atacante que posea credenciales válidas aún no pueda acceder a la red de destino. Se deben aplicar las mejores prácticas para endurecer todos los sistemas y entornos. Los servicios y funciones innecesarios deben deshabilitarse para reducir la superficie de ataque. Además, se debe reducir la exposición a Internet limitando la cantidad de servicios públicos tanto como sea posible. Las redes deben segmentarse mediante VLAN o tecnologías similares. Los datos y sistemas confidenciales deben aislarse de otras redes para evitar movimientos laterales de un atacante. Los puntos finales deben ser monitoreados por un sistema de administración de eventos e información de seguridad, y deben implementarse herramientas de detección y respuesta de puntos finales o de detección y respuesta extendidas. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.