🙆 👶🏼 🐚 Cómo reducir los riesgos asociados con ransomware ransomware 🌐 📠 🎤

Hoy en día, cuando el trabajo remoto se está volviendo común, y la carga de especialistas en seguridad de la información, especialmente en la industria de la salud y otras industrias críticas, nunca ha sido tan alta, las actividades de los grupos de piratas informáticos que administran aplicaciones criptográficas no se debilitan.

Numerosos grupos de piratas informáticos, que en varios meses penetraron en varias redes y acumularon "fuerza", activaron docenas de copias de sus aplicaciones de ransomware en la primera mitad de abril. Los ataques fueron atacados por instalaciones médicas, compañías de facturación de atención médica, fabricantes, compañías de transporte, agencias gubernamentales y desarrolladores de software de capacitación. Esto demostró que, a pesar de la crisis mundial, estos grupos de piratería descuidan el funcionamiento de los servicios críticos. Sin embargo, las compañías de otras áreas también están siendo atacadas, por lo que las organizaciones deben prestar especial atención a los signos de compromiso.

A las dos semanas del trabajo de los criptógrafos, el número de ataques con extorsión aumentó ligeramente. Sin embargo, después de un estudio realizado por expertos de Microsoft, así como los resultados de una investigación de otro incidente realizado por el equipo de DART (Equipo de Detección y Respuesta de Microsoft), resultó que muchos casos de compromiso que proporcionaron la posibilidad de ataques ocurrieron incluso antes. Utilizando la técnica típica de los ataques que utilizan aplicaciones de ransomware controladas por humanos , los atacantes comprometieron las redes objetivo en los últimos meses y esperaron la oportunidad de monetizar el resultado mediante la implementación de malware en el momento más apropiado.

Muchos de estos ataques comenzaron con investigaciones sobre dispositivos vulnerables accesibles desde Internet. En algunos casos, con la ayuda de la fuerza bruta, los servidores RDP se vieron comprometidos. Se utilizó una amplia gama de herramientas durante los ataques, pero todas utilizaron las mismas técnicas que son características de los ataques que utilizan aplicaciones de ransomware controladas por humanos: robo de credenciales y "sesgo lateral", después de lo cual los atacantes implementaron las herramientas como quisieron. Dado que la introducción de aplicaciones de ransomware se lleva a cabo en la etapa final del ataque, los defensores deben centrarse en encontrar rastros de intrusos que roben información contable, así como signos de "desplazamiento lateral".

En este artículo hablaremos sobre los resultados del análisis de dichas campañas utilizando aplicaciones de ransomware.

Contenido:

Hemos agregado una serie de detalles técnicos, incluida una guía para detectar ataques y recomendaciones sobre la prioridad de las acciones de seguridad de la información.

Sistemas vulnerables y no monitoreados accesibles desde Internet y que facilitan la realización de ataques impulsados por humanos

Aunque se desplegaron nuevas herramientas de extorsión en ataques recientes, muchos de los ataques utilizaron la infraestructura sobrante de campañas anteriores. También utilizaron técnicas bien conocidas para otros ataques que utilizan ransomware impulsado por humanos.

A diferencia de los ataques de malware entregados por correo electrónico, que generalmente ocurren mucho más rápido, dentro de una hora de su penetración inicial, los ataques de abril son similares a los ataques de 2019 que usan Doppelpaymer. Luego, los atacantes obtuvieron acceso a las redes objetivo por adelantado. Luego esperaron varios meses, eligiendo el momento adecuado para implementar aplicaciones de ransomware.

En ataques recientes, se utilizaron sistemas accesibles desde Internet y que tenían las siguientes desventajas para penetrar en las redes de destino:

Remote Desktop Protocol (RDP) (MFA).
, (, Windows Server 2003 Windows Server 2008). .
-, IIS, , .
Citrix Application Delivery Controller (ADC) CVE-2019-19781.
Pulse Secure VPN CVE-2019-11510.

Para evitar tales ataques, es fundamental aplicar parches de seguridad a los sistemas accesibles desde Internet. También tenga en cuenta: aunque los expertos de Microsoft aún no han observado esto, la información acumulada indica que al final, los atacantes pueden aprovechar estas vulnerabilidades: CVE-2019-0604 , CVE-2020-0688 , CVE-2020-10189 .

Como en muchos casos de penetración, los ciberdelincuentes robaron credenciales, utilizaron "sesgos laterales" utilizando herramientas populares como Mimikatz y Cobalt Strike, y se dedicaron al reconocimiento de redes y la extracción de datos. Los operadores de malware obtuvieron acceso a cuentas con privilegios de administrador, y en cuyo caso estaban listos para cometer acciones aún más destructivas. En las redes en las que los atacantes instalaron su software, mantuvieron conscientemente su presencia en algunos puntos finales, con la intención de comenzar sus actividades nuevamente después de recibir el rescate o reinstalar los sistemas. Aunque solo unos pocos grupos de piratas informáticos se hicieron conocidos por vender los datos recopilados, casi todos durante los ataques observaron y recuperaron los datos, incluso si aún no habían anunciado o vendido la información robada.

Como en todos los ataques que utilizan ransomware controlado por humanos, en los casos descritos, la actividad de los atacantes se extendió por la red, incluidos el correo electrónico, los puntos finales, las aplicaciones y mucho más. Dado que incluso puede ser difícil para los expertos deshacerse por completo de los ciberdelincuentes en una red comprometida, es extremadamente importante parchear los sistemas vulnerables accesibles desde Internet e introducir restricciones para reducir los riesgos.

Empresa de extorsión Motley

Este capítulo describe los diferentes tipos de ataques y familias de ransomware, pero los ataques que hemos discutido siguen un patrón popular, con ligeras variaciones. Los ataques se desarrollaron de manera similar, generalmente usando las mismas técnicas. Y la elección de un programa de ransomware en particular al final del ataque dependía casi por completo del gusto de los atacantes.

RobbinHood Ransomware

Los operadores de ransomware RobbinHood han atraído la atención debido al uso de controladores vulnerables para deshabilitar el software de seguridad en las etapas posteriores del ataque. Sin embargo, como en muchos ataques similares, comenzaron con fuerza bruta para RDP en un recurso inseguro. Como resultado, los atacantes obtuvieron credenciales de alto privilegio, principalmente de cuentas de administrador locales con contraseñas comunes o comunes, así como cuentas de servicio con privilegios de administrador de dominio. Los operadores de RobbinHood, así como los operadores de Ryuk y otros grupos de pirateo no retorcidos, dejan atrás nuevas cuentas de Active Directory y locales para poder acceder nuevamente a la red después de eliminar sus herramientas.

Cargador de arranque Vatet

Los atacantes a menudo cambian su infraestructura, métodos y herramientas para evitar notoriedad, lo que podría atraer la atención de las agencias de aplicación de la ley o los investigadores en el campo de la seguridad de la información. A menudo, los piratas informáticos se aferran a sus herramientas, esperando que las compañías de seguridad de la información consideren inactivos los artefactos correspondientes para atraer menos atención. Vatet es un cargador para el marco Cobalt Strike, que se usó en ataques en noviembre de 2018, y volvió a aparecer en eventos recientes.

Probablemente, los operadores de cargadores tenían la intención de especializarse en hospitales, centros médicos, proveedores de insulina, fabricantes de equipos médicos y otras organizaciones críticas. Estos son algunos de los operadores de software de ransomware más prolíficos que se relacionan con docenas de ataques.

Con la ayuda de Vatet y Cobalt Strike, el grupo de piratas informáticos instaló varios ransomware. Recientemente implementaron una aplicación en memoria que usa Alternate Data Streams (ADS) y muestra versiones simplificadas de los requisitos de recompra de familias de aplicaciones más antiguas. Los atacantes obtienen acceso a las redes utilizando la vulnerabilidad CVE-2019-19781 , fuerza bruta de punto final con RDP y mensajes de correo con archivos .lnk que ejecutan comandos maliciosos de PowerShell. Habiendo penetrado en la red, los piratas informáticos roban credenciales, incluso del repositorio de Credential Manager, y usan "sesgo lateral" hasta que obtienen privilegios de administrador de dominio. Según las observaciones, antes de implementar el ransomware, los operadores extraen datos de la red.

NetWalker Ransomware

Los operadores de NetWalker se hicieron famosos por los ataques a hospitales e instalaciones médicas durante los cuales enviaron cartas prometiendo proporcionar información sobre COVID-19. El programa NetWalker estaba contenido en las cartas como un archivo adjunto .vbs, y esta técnica atrajo la atención de los medios. Sin embargo, los operadores también comprometieron la red al usar aplicaciones basadas en IIS mal configuradas para lanzar el programa Mimikatz y robar credenciales. Luego, utilizando esta información, los atacantes lanzaron PsExec y, como resultado, instalaron NetWalker.

PonyFinal ransomware

Este programa Java se considera una novedad, pero los ataques que lo usan no son infrecuentes. Los operadores comprometieron los sistemas web accesibles desde Internet y recibieron credenciales privilegiadas. Para garantizar la estabilidad de su presencia en la red atacada, los atacantes usan los comandos de PowerShell para iniciar la herramienta del sistema mshta.exe y configurar una conexión de shell inversa basada en el popular marco de PowerShell para ataques. Además, los piratas informáticos utilizaron herramientas legítimas como Splashtop para mantener la conexión a escritorios remotos.

Maze Ransomware

Una de las primeras campañas de ransomware en llegar a los titulares por vender datos robados. Maze continúa especializándose en proveedores de tecnología y servicios públicos. Este ransomware se usó contra proveedores de servicios administrados (MSP) para obtener acceso a los datos y las redes de sus clientes.

Laberinto se extendió a través de letras, pero los operadores también instalaron el programa después de obtener acceso a las redes utilizando vectores de ataque comunes como la fuerza bruta RDP. Habiendo penetrado en la red, los atacantes roban credenciales, realizan un "desplazamiento lateral" para obtener acceso a los recursos y extraer datos, y luego instalan el ransomware.

Durante una reciente campaña de piratas informáticos, los investigadores de Microsoft rastrearon cómo los operadores de Maze obtuvieron acceso a través de la fuerza bruta RDP de una cuenta de administrador local en un sistema accesible por Internet. Después de la fuerza bruta de la contraseña, los operadores pudieron realizar un "desplazamiento lateral", porque las cuentas de administrador integradas en otros puntos finales utilizaron la misma contraseña.

Habiendo robado las credenciales de la cuenta del administrador del dominio, los piratas informáticos utilizaron Cobalt Strike, PsExec y una serie de otras herramientas para entregar todo tipo de carga útil y obtener acceso a los datos. Los atacantes organizaron una presencia sin archivos en la red utilizando el programador de tareas y los servicios que ejecutan shells remotos basados en PowerShell. Además, los piratas informáticos activaron la Administración remota de Windows para mantener el control con una cuenta de administrador de dominio robada. Para debilitar el control sobre la seguridad de la información en preparación para instalar el ransomware, los atacantes manipularon varias configuraciones a través de políticas grupales.

Ransomware REvil

Este es probablemente el primer grupo de operadores de ransomware que explota vulnerabilidades de red en Pulse VPN para robar credenciales para obtener acceso a la red. REvil (o Sodinokibi) se hizo conocido por penetrar en el MSP, obtener acceso a las redes y documentos de sus clientes, así como vender el acceso a ellos. Los atacantes continuaron haciendo esto durante la crisis actual, atacando a MSP y otros objetivos, incluidas las agencias gubernamentales. Los ataques REvil se distinguen por el uso de nuevas vulnerabilidades, pero sus métodos son similares a los de muchos otros grupos de piratas informáticos: después de penetrar en la red, se utilizan herramientas como Mimikatz y PsExec para robar credenciales, "sesgos laterales" y reconocimiento.

Otras familias de ransomware

Durante el período bajo revisión, también se observó el uso de tales familias de aplicaciones administradas por personas:

Paraíso Solía extenderse directamente a través de letras, pero ahora se usa en ataques impulsados por humanos.
RagnarLocker. Usado por un grupo que utilizó activamente RDP y Cobalt Strike con credenciales robadas.
MedusaLocker. Probablemente instalado a través de infecciones Trickbot preexistentes.
Lockbit Distribuido por operadores que utilizaron la herramienta de prueba de penetración CrackMapExec disponible públicamente para realizar "desplazamiento lateral".

Respuesta inmediata a los ataques en curso.

Recomendamos encarecidamente que las organizaciones verifiquen de inmediato las alertas relacionadas con los ataques descritos y prioricen la investigación y la recuperación del sistema. A qué deben prestar atención los defensores:

PowerShell, Cobalt Strike , « ».
, , Local Security Authority Subsystem Service (LSASS) , .
, USN — .

Las empresas que usan Protección avanzada contra amenazas (ATP) de Microsoft Defender pueden consultar el informe de análisis de amenazas para obtener detalles sobre alertas relevantes y técnicas de detección avanzadas. Aquellos que usan el servicio Microsoft Threat Experts también pueden usar notificaciones de ataque dirigidas que incluyen un historial detallado, medidas de protección recomendadas y consejos de recuperación.

Si su red ha sido atacada, siga inmediatamente los pasos a continuación para evaluar el alcance de la situación. Al determinar el efecto de estos ataques, no debe confiar únicamente en los indicadores de compromiso (IOC), ya que la mayoría de los programas de ransomware mencionados utilizan una infraestructura "única", sus autores a menudo cambian sus herramientas y sistemas, determinando las capacidades de sus objetivos de detección . En la medida de lo posible, los medios para detectar y minimizar la exposición deben utilizar técnicas basadas en patrones de comportamiento integrales. También debe cerrar las vulnerabilidades utilizadas por los ciberdelincuentes lo antes posible.

Analizar puntos finales atacados y credenciales

Identifique todas las credenciales que están disponibles en el punto final atacado. Deben considerarse accesibles para los atacantes, y todas las cuentas asociadas con ellos deben verse comprometidas. Tenga en cuenta que los atacantes pueden copiar no solo las credenciales de las cuentas registradas en sesiones interactivas o RDP, sino también copiar las credenciales y contraseñas almacenadas en caché para servir cuentas y tareas programadas, que se almacenan en la sección de registro de Secretos de LSA.

Para los puntos finales integrados en Microsoft Defender ATP , use métodos avanzados para identificar las cuentas que iniciaron sesión en los puntos atacados. Para hacer esto, hay una consulta de búsqueda en el informe de análisis de amenazas.
Windows, , — 4624 2 10. 4 5.

Aísle los puntos clave que contienen signos de control y control o que se han convertido en el objetivo del "desplazamiento lateral". Identifique estos puntos finales utilizando consultas de búsqueda avanzada u otros métodos de búsqueda directa para los IOC relevantes. Aísle las máquinas que usan Microsoft Defender ATP o use otras fuentes de datos, como NetFlow, para buscar dentro de SIEM u otra herramienta centralizada de administración de eventos. Busque signos de “desplazamiento lateral” desde puntos finales comprometidos conocidos.

Cerrar vulnerabilidades accesibles desde Internet

Identifique los sistemas perimetrales que los atacantes pueden usar para obtener acceso a su red. Puede complementar su análisis utilizando la interfaz de exploración pública, por ejemplo, shodan.io . Los hackers pueden estar interesados en tales sistemas:

RDP o escritorios virtuales sin autenticación multifactor.
Citrix ADC Systems con vulnerabilidad CVE-2019-19781.
Pulse Secure VPN systems con vulnerabilidad CVE-2019-11510.
Servidores Microsoft SharePoint con vulnerabilidad CVE-2019-0604.
Servidores de Microsoft Exchange con vulnerabilidad CVE-2020-0688.
Sistemas Zoho ManageEngine con vulnerabilidad CVE-2020-10189.

Para reducir aún más la vulnerabilidad de una organización, los clientes ATP de Microsoft Defender pueden aprovechar las capacidades de Administración de amenazas y vulnerabilidades (TVM) para identificar, priorizar y cerrar vulnerabilidades en la configuración incorrecta. TVM permite a los profesionales y administradores de seguridad de TI deshacerse conjuntamente de las debilidades detectadas.

Examinar y reparar dispositivos infectados con malware

Muchos hackers se infiltran en las redes a través de programas ya implementados como Emotet y Trickbot. Estas familias de herramientas se clasifican como troyanos bancarios que pueden entregar cualquier carga útil, incluidos marcadores de software permanentes. Examine y elimine todas las infecciones conocidas y considérelas posibles vectores de ataque de oponentes humanos peligrosos. Asegúrese de verificar todas las credenciales abiertas, tipos adicionales de cargas útiles y signos de "desplazamiento lateral" antes de restaurar los puntos finales atacados o cambiar las contraseñas.

Higiene de la información para proteger las redes del ransomware humano

A medida que los operadores de piratas informáticos encuentran más víctimas, los defensores deben evaluar los riesgos de antemano utilizando todas las herramientas disponibles. Continúe aplicando todas las soluciones preventivas comprobadas (higiene de credenciales, privilegios mínimos y firewalls de host) que evitan ataques que exploten fallas de seguridad y privilegios redundantes.

Aumente la resistencia de su red a la penetración, reactivación de marcadores de software y "desplazamiento lateral" con las siguientes medidas:

Use contraseñas generadas aleatoriamente para cuentas de administrador, por ejemplo, usando LAPS.
Aplicar una política de bloqueo de cuenta .
. , .
C « ». TCP- 445 , .
Microsoft Defender , . .
Office, Office 365 Windows. Microsoft Secure Score , .
, .
, -:
- .
- PsExec WMI-.
- Windows (lsass.exe).

Para obtener más consejos sobre cómo mejorar la protección contra los programas de ransomware controlados por humanos y crear una protección más confiable contra los ataques cibernéticos en general, consulte Ataques de ransomware operados por humanos: un desastre prevenible .

Protección contra amenazas de Microsoft: protección coordinada contra aplicaciones complejas y de gran escala impulsadas por ransomware impulsadas por humanos

El aumento de abril en el número de ataques con ransomware mostró que los hackers no están preocupados por las consecuencias debido a las interrupciones en sus servicios durante la crisis global.

Los ataques que utilizan programas de ransomware controlados por humanos representan un nuevo nivel de amenaza, porque los atacantes están versados en la administración del sistema y la configuración de herramientas de protección, por lo que pueden encontrar la manera de penetrar con la menor resistencia. Ante un obstáculo, intentan romperlo. Y si no funciona, demuestran ingenio para encontrar nuevas formas de desarrollo de ataques. Por lo tanto, los ataques con ransomware controlado por humanos son complejos y generalizados. No ocurren dos ataques idénticos.

Protecciones contra amenazas de Microsoft (MTP)proporciona una defensa coordinada que ayuda a bloquear toda la cadena de ataques complejos utilizando ransomware impulsado por humanos. MTP integra las capacidades de varios servicios de seguridad de Microsoft 365 para administrar la protección, prevención, detección y respuesta de puntos finales, correo electrónico, cuentas y aplicaciones.

Usando herramientas integradas de inteligencia, automatización e integración, MTP puede bloquear ataques, eliminar la presencia de intrusos y recuperar automáticamente los recursos atacados. Esta herramienta compara y consolida alertas y alertas para ayudar a los defensores a priorizar incidentes en términos de investigación y respuesta. MTP también tiene capacidades únicas de búsqueda entre dominios que ayudarán a identificar el crecimiento del ataque y comprender cómo fortalecer la defensa en cada caso.

Microsoft Threat Protection es parte del enfoque de chip a nube, que combina la protección de hardware, sistema operativo y protección en la nube. Las características de seguridad compatibles con hardware en Windows 10, como la aleatorización del diseño del espacio de direcciones (ASLR), la protección de control de flujo (CFG) y otras, aumentan la resistencia de la plataforma a muchas amenazas graves, incluidas aquellas que explotan las vulnerabilidades del controlador del núcleo. Estas características de seguridad están perfectamente integradas en Microsoft Defender ATP, que proporciona protección de extremo a extremo que comienza con una sólida raíz de confianza de hardware. En las computadoras con un núcleo seguro (PC con núcleo seguro ), estas restricciones están habilitadas de forma predeterminada.

Continuamos trabajando con nuestros clientes, socios y la comunidad de investigación para rastrear ransomware impulsado por personas y otras herramientas sofisticadas. En casos difíciles, los clientes pueden usar el comando de Detección y Respuesta de Microsoft (DART) para ayudar a investigar y recuperarse.

Apéndice: Técnicas descubiertas MITRE ATT y CK

Los ataques que utilizan programas de ransomware gestionados por humanos utilizan una amplia gama de técnicas que están disponibles para los atacantes después de obtener el control de las cuentas de dominio privilegiado. A continuación se enumeran las técnicas que se utilizaron ampliamente en los ataques contra la salud y las organizaciones críticas en abril de 2020.

Acceso a credenciales:

Descarga de credenciales T1003 | El uso de LaZagne, Mimikatz, LsaSecretsView y otras herramientas de recopilación de credenciales, así como el uso de vulnerabilidades CVE-2019-11510 en los puntos finales.

Presencia a largo plazo:

T1084 Suscripción de evento de instrumentación de administración de Windows | Suscríbete a los eventos de WMI.
T1136 Crear cuenta | Crear nuevas cuentas RDP.

Gestión y control:

T1043 Puerto de uso común | Usando el puerto 443.

Estudiar:

T1033 Descubrimiento del propietario / usuario del sistema | Diferentes equipos
Descubrimiento de cuenta T1087 | Consultas LDAP y AD, así como otros comandos.
Descubrimiento del sistema remoto T1018 | Pings, qwinsta y otras herramientas y comandos.
Descubrimiento de confianza de dominio T1482 | Enumeración de confianza de dominio con Nltest.

Ejecución:

T1035 Ejecución de servicio | Un servicio registrado para ejecutar CMD- (como ComSpec) y los comandos de PowerShell.

"Desplazamiento lateral":

Protocolo de escritorio remoto T1076 | Use RDP para acceder a otras máquinas en la red.
T1105 Copia remota de archivos | Desplazamiento lateral con WMI y PsExec.

Evitar el equipo de protección:

Eliminación del indicador T1070 en el host | Borrar registros de eventos con wevutil, eliminar el registro de USN con fsutil, eliminar el espacio no utilizado en las unidades con cipher.exe.
T1089 Deshabilitar herramientas de seguridad | Detener o piratear antivirus y otra protección con ProcessHacker, así como con controladores de software vulnerables.

Impacto:

T1489 Parada de servicio | Detenga los servicios antes del cifrado.
T1486 Datos cifrados para impacto | Cifrado de extorsión.

Cómo reducir los riesgos asociados con ransomware ransomware

Sistemas vulnerables y no monitoreados accesibles desde Internet y que facilitan la realización de ataques impulsados ​​por humanos