Los atacantes de ransomware están poniendo un énfasis significativo en las tácticas de evasión de defensa para aumentar el tiempo de permanencia en las redes de las víctimas, según un nuevo informe de Cisco Talos. Esta tendencia es el resultado del cambio al modelo de ransomware de doble extorsión, en el que los atacantes buscan robar datos confidenciales y amenazan con publicarlos en línea junto con bloquear los sistemas de las víctimas. Los actores de amenazas de ransomware necesitan obtener acceso persistente para comprender la estructura de la red, localizar recursos que puedan respaldar el ataque e identificar datos de valor que puedan ser robados, dijeron los investigadores. El informe de Cisco Talos analizó las tácticas, técnicas y procedimientos (TTP) de los 14 grupos de ransomware más activos entre 2023 y 2024. Durante Infosecurity Europe 2024, los expertos destacaron cómo la exfiltración de datos es ahora la principal forma en que los grupos de ransomware extorsionan a las víctimas. Los piratas informáticos ahora ven el cifrado como un complemento o no se molestan en bloquear los datos en absoluto. Cómo los atacantes están estableciendo persistencia El informe de Cisco destacó una variedad de técnicas implementadas por los actores de ransomware para evadir la detección y moverse lateralmente en una red después del acceso inicial. Los grupos más destacados se centran rápidamente en las técnicas de evasión de defensa, que incluyen: La desactivación y modificación de software de seguridad como programas antivirus, soluciones de detección de puntos finales o funciones de seguridad en el sistema operativo para evitar la detección de la carga útil del ransomware Ofuscar software malicioso empaquetando y comprimiendo el código, que eventualmente se descomprime en la memoria cuando se ejecuta Modificar el registro del sistema para deshabilitar las alertas de seguridad Configurar el software para que se ejecute al inicio Bloquear ciertas opciones de recuperación para los usuarios Técnicas Living-off-the-Land Los atacantes luego buscarán establecer un acceso a largo plazo, asegurando que sus operaciones sean exitosas incluso si su intrusión inicial es descubierta y remediada. Estas técnicas de persistencia incluyen el uso de mecanismos automatizados de persistencia de malware, como la ejecución de AutoStart al iniciar el sistema y la creación de herramientas de software de acceso remoto. Después de lograr un acceso persistente, los actores de amenazas intentarán moverse lateralmente en la red y localizar y exfiltrar datos confidenciales antes de implementar la carga útil del ransomware. A menudo buscan explotar controles de acceso débiles y elevar privilegios al nivel de administrador para avanzar más a lo largo de la cadena de ataque utilizando varias utilidades locales y servicios legítimos. Estas técnicas de «vida de la tierra» están diseñadas para mezclarse con funciones típicas del sistema operativo. A menudo implican el uso de utilidades de escáner de red junto con herramientas y utilidades del sistema operativo local, como Certutil, Wevtutil, Net, Nltes y Netsh. Exfiltración y cifrado de datos Después de localizar archivos confidenciales en la red, los atacantes han desarrollado métodos efectivos para ocultar la exfiltración de estos datos. Los investigadores identificaron el uso regular de utilidades de compresión y cifrado como WinRAR y 7-Zip para ocultar la exfiltración y transferencia de archivos confidenciales a un recurso externo controlado por el adversario o mediante un mecanismo de comando y control (C2). Para operaciones más maduras, algunos grupos de ransomware como servicio (RaaS) han desarrollado herramientas de exfiltración de datos personalizadas para facilitar el robo de datos, como StealBit, que es utilizado por LockBit. Después de la exfiltración de datos, los atacantes pueden preparar la carga útil del ransomware y cifrar la red antes de informar a las víctimas y comenzar las negociaciones. Si el objetivo es la extorsión pura del robo de datos, entonces se omite la fase de cifrado. Explotación creciente de vulnerabilidades Los investigadores descubrieron que los atacantes de ransomware explotan cada vez más vulnerabilidades conocidas y de día cero en aplicaciones públicas para el acceso inicial. La explotación de estas y otras vulnerabilidades críticas también puede permitir la escalada de privilegios, proporcionando una base para evadir la detección y establecer un acceso persistente. Lea aquí: El actor estatal chino APT40 explota vulnerabilidades de N-Day «en cuestión de horas» Cisco destacó tres vulnerabilidades que han sido explotadas repetidamente por destacados grupos de ransomware en el último año: CVE-2020-1472: También conocida como ‘Zerologon’, esta falla se encuentra en el Protocolo remoto Netlogon. Los atacantes pueden eludir los mecanismos de autenticación y cambiar las contraseñas de las computadoras dentro del Active Directory de un controlador de dominio, lo que les permite escalar rápidamente los privilegios a los niveles de administrador de dominio CVE-2018-13379: La vulnerabilidad en FortiOS SSL VPN de Fortinet permite a los atacantes no autenticados acceder a los archivos del sistema a través de solicitudes HTTP especialmente diseñadas. Esto permite a los actores de amenazas obtener información confidencial, como tokens VPN, y avanzar a través de la cadena de ataque moviéndose lateralmente dentro de la red CVE-2023-0669: Esta falla de GoAnywhere Managed File Transfer permite a los atacantes remotos ejecutar código arbitrario en el servidor sin requerir autenticación. El servidor comprometido se puede utilizar como pivote para un mayor reconocimiento interno y movimiento lateral Defensa contra las tácticas de ransomware en evolución Cisco destacó los pasos clave que las organizaciones deben tomar para mitigar las TTP empleadas por los grupos de ransomware. Estos son: Aplicar parches y actualizaciones regularmente a todos los sistemas y software Implementar políticas de contraseñas seguras y aplicar la autenticación multifactor (MFA) para cada cuenta Minimizar las superficies de ataque deshabilitando servicios y características innecesarios, y aplicar las mejores prácticas para fortalecer todos los sistemas y entornos Segmentar las redes usando VLAN o tecnologías similares para aislar datos y sistemas sensibles, evitando así el movimiento lateral Implementar un sistema de Gestión de Eventos e Información de Seguridad (SIEM) para monitorear y analizar continuamente los eventos de seguridad Adoptar un enfoque de mínimo privilegio, asegurando que los usuarios y sistemas tengan solo el nivel mínimo de acceso necesario para realizar sus funciones Minimizar la exposición de sus sistemas de TI a Internet, limitando la cantidad de servicios públicos y asegurando protecciones robustas para cualquier interfaz externa necesaria