Como su nombre lo indica, los ataques de ransomware tienen como objetivo extorsionar a individuos y organizaciones. Aparte de algunas excepciones, la mayoría del ransomware se clasifica como crypto-ransomware porque su objetivo final es cifrar los datos de la víctima y mantener la clave de descifrado para el rescate. Sin embargo, los actores de amenazas de ransomware tienen otros trucos bajo la manga para extorsionar a sus objetivos.
Aunque cada campaña de ransomware es diferente y muchas de ellas evolucionan, el ciclo de vida general del ataque de ransomware se puede definir en cuatro fases. Los profesionales de la seguridad pueden usar este modelo de ciclo de vida para crear y mejorar las capacidades de detección y prevención de sus organizaciones contra los ataques de ransomware. Estas cuatro fases son:
· Fase 1 – Fase Inicial
Los actores de amenazas de ransomware recopilan información disponible públicamente y escanean activos públicos en la fase inicial de los ataques de ransomware para obtener acceso a la organización objetivo. Las técnicas utilizadas en esta fase incluyen reconocimiento , desarrollo de recursos y tácticas de acceso inicial del marco MITRE ATT&CK.
Este blog explica cómo detectar y prevenir el ransomware en las técnicas adversarias de la fase inicial.
· Fase 2 – Fase de Alerta Temprana
Después de obtener acceso inicial a su objetivo, los actores de amenazas de ransomware establecen persistencia en la red de la víctima y recopilan información confidencial para mejorar sus capacidades. Los adversarios usan tácticas de persistencia, escalada de privilegios , comando y control , descubrimiento y recopilación del marco MITRE ATT&CK en esta fase.
En nuestra publicación de blog anterior , explicamos cómo detectar y prevenir las técnicas adversarias utilizadas en la fase de alerta temprana.
· Fase 3 – Fase tardía
En la fase tardía, los actores de amenazas de ransomware perjudican las capacidades de defensa y recuperación de la víctima. Las técnicas utilizadas en esta fase cubren las tácticas de Credencial de Acceso , Impacto y Movimiento Lateral .
Explicamos cómo detectar y prevenir ransomware en la última fase de su ciclo de vida de ataque en nuestra publicación de blog anterior .
· Fase 4 – Fase Final
Los actores de amenazas de ransomware actúan sobre su objetivo principal en la fase final. La mayoría de las variantes de ransomware cifran los archivos de la víctima y también extraen datos para la extorsión. Por lo tanto, las tácticas de Impacto y Exfiltración se usan comúnmente en la Fase Final .
La fase final del ciclo de vida de los ataques de ransomware
La fase final es la cuarta fase del ciclo de vida del ataque de ransomware desde la perspectiva del defensor. En esta fase, los actores de amenazas de ransomware roban y cifran los activos confidenciales de las víctimas para extorsionar dinero de acuerdo con su modelo de extorsión . Tradicionalmente, el ransomware cifra los datos de la víctima y conserva la clave de descifrado para el rescate. Hoy en día, es común entre las campañas de ransomware exfiltrar los datos de las víctimas para extorsionarlos. Como resultado, las técnicas adversarias utilizadas en la fase final se clasifican en las tácticas de Exfiltración e Impacto del marco MITRE ATT&CK.
Técnica 1: Exfiltración – T1567 Exfiltración por servicio web
Los adversarios utilizan la técnica de exfiltración por servicio web T1567 para robar datos confidenciales de la víctima mediante servicios web externos. Antes de cifrar los datos, los atacantes cargan los datos de la víctima en servicios web externos, por ejemplo, servicios de almacenamiento en la nube. Los datos confidenciales robados pueden incluir los registros financieros de la organización víctima, información de identificación personal (PII) relacionada con clientes o empleados, correos electrónicos internos y detalles sobre productos no lanzados. Es posible que se realice una copia de seguridad de los datos robados; sin embargo, los adversarios amenazan con filtrar los datos robados para presionar a sus víctimas a pagar el rescate.
Dado que la técnica de exfiltración a través del servicio web T1567 genera una gran cantidad de tráfico de red, conlleva riesgos para los atacantes debido a la alta probabilidad de detección. La transferencia de datos en grandes cantidades puede desencadenar controles de seguridad y alertar a la organización sobre el ataque de ransomware.
Muchos grupos de ransomware, como DarkSide, REvil y Nefilim , utilizan servicios populares de almacenamiento en la nube, como Google Drive , MEGA , OneDrive y Dropbox . Usando las herramientas rclone o megasync , los adversarios extraen datos de la red de la víctima. El grupo Conti utiliza el siguiente comando para transferir datos de forma silenciosa a su servidor en la nube.
La regla de detección para este ataque de exfiltración de datos debe buscar ” rclone.exe ” en el campo de la imagen y ” copiar ” en el campo de la línea de comando. Los otros parámetros de la línea de comandos ayudan a definir el procedimiento adversario y se agregan para reducir las alertas de detección de falsos positivos. Dado que el rclone crea un nuevo proceso, una regla de detección debe usar la creación del proceso como fuente de registro. La siguiente regla SIGMA crea una alerta de detección cuando observa los criterios de selección en los datos de registro.
Técnica 2: Impact – Datos T1486 cifrados para Impact
El propósito final del ransomware es extorsionar a la víctima bloqueando el acceso a sus recursos. La mayoría del ransomware logra este propósito cifrando los datos de sus víctimas y exigiendo un rescate por la clave de descifrado. MITRE ATT&CK clasifica este uso adversario del cifrado como la técnica T1486 Data Encrypted for Impact .
T1486 Data Encrypted for Impact es la técnica de ransomware más común utilizada por los adversarios. Según el Informe rojo, esta técnica fue la tercera técnica adversaria más utilizada en 2021. Dado que todas las técnicas en las fases anteriores sentaron las bases para este paso, la técnica de datos cifrados para impacto suele ser difícil de prevenir. Sin embargo, el proceso de cifrado puede llevar mucho tiempo y la detección temprana permite a los defensores detenerse antes de que el ransomware cifre todos los archivos de la red.
Muchas variantes de ransomware suelen eliminar los archivos no cifrados después del cifrado. Aunque no está directamente relacionado con el proceso de encriptación, es un buen indicador de actividad de ransomware. Este comportamiento de ransomware se puede utilizar para escribir una regla de detección. Si se eliminan varios archivos en un breve período de tiempo, se debe crear una alerta de detección. Sin embargo, esta alerta puede ser propensa a resultados falsos positivos. Una actividad legítima de desinstalación de software o restauración de archivos puede desencadenar una alerta de detección.
Algunos actores de amenazas de ransomware utilizan utilidades nativas de Windows en su proceso de cifrado de datos. Por ejemplo, el grupo PHOSPHORUS APT abusa de BitLocker para el cifrado en su ransomware mediante el siguiente comando.
La siguiente regla SIGMA de ejemplo busca reg.exe en el campo de imagen de los datos de registro del origen del registro de creación de procesos para detectar el abuso de BitLocker. Si el ransomware agrega un par clave-valor al registro de Cifrado de volumen completo (FVE), esta regla SIGMA crea una alerta de detección.
Detección y prevención de ataques de ransomware en la fase final del ciclo de vida del ataque
Como su nombre lo indica, los ataques de ransomware tienen como objetivo extorsionar a individuos y organizaciones. Aparte de algunas excepciones, la mayoría del ransomware se clasifica como crypto-ransomware porque su objetivo final es cifrar los datos de la víctima y mantener la clave de descifrado para el rescate. Sin embargo, los actores de amenazas de ransomware tienen otros trucos bajo la manga para extorsionar a sus objetivos.
Aunque cada campaña de ransomware es diferente y muchas de ellas evolucionan, el ciclo de vida general del ataque de ransomware se puede definir en cuatro fases. Los profesionales de la seguridad pueden usar este modelo de ciclo de vida para crear y mejorar las capacidades de detección y prevención de sus organizaciones contra los ataques de ransomware. Estas cuatro fases son:
· Fase 1 – Fase Inicial
Los actores de amenazas de ransomware recopilan información disponible públicamente y escanean activos públicos en la fase inicial de los ataques de ransomware para obtener acceso a la organización objetivo. Las técnicas utilizadas en esta fase incluyen reconocimiento , desarrollo de recursos y tácticas de acceso inicial del marco MITRE ATT&CK.
Este blog explica cómo detectar y prevenir el ransomware en las técnicas adversarias de la fase inicial.
· Fase 2 – Fase de Alerta Temprana
Después de obtener acceso inicial a su objetivo, los actores de amenazas de ransomware establecen persistencia en la red de la víctima y recopilan información confidencial para mejorar sus capacidades. Los adversarios usan tácticas de persistencia, escalada de privilegios , comando y control , descubrimiento y recopilación del marco MITRE ATT&CK en esta fase.
En nuestra publicación de blog anterior , explicamos cómo detectar y prevenir las técnicas adversarias utilizadas en la fase de alerta temprana.
· Fase 3 – Fase tardía
En la fase tardía, los actores de amenazas de ransomware perjudican las capacidades de defensa y recuperación de la víctima. Las técnicas utilizadas en esta fase cubren las tácticas de Credencial de Acceso , Impacto y Movimiento Lateral .
Explicamos cómo detectar y prevenir ransomware en la última fase de su ciclo de vida de ataque en nuestra publicación de blog anterior .
· Fase 4 – Fase Final
Los actores de amenazas de ransomware actúan sobre su objetivo principal en la fase final. La mayoría de las variantes de ransomware cifran los archivos de la víctima y también extraen datos para la extorsión. Por lo tanto, las tácticas de Impacto y Exfiltración se usan comúnmente en la Fase Final .
Consulte nuestro blog para obtener más detalles sobre el ciclo de vida de los ataques de ransomware .
La fase final del ciclo de vida de los ataques de ransomware
La fase final es la cuarta fase del ciclo de vida del ataque de ransomware desde la perspectiva del defensor. En esta fase, los actores de amenazas de ransomware roban y cifran los activos confidenciales de las víctimas para extorsionar dinero de acuerdo con su modelo de extorsión . Tradicionalmente, el ransomware cifra los datos de la víctima y conserva la clave de descifrado para el rescate. Hoy en día, es común entre las campañas de ransomware exfiltrar los datos de las víctimas para extorsionarlos. Como resultado, las técnicas adversarias utilizadas en la fase final se clasifican en las tácticas de Exfiltración e Impacto del marco MITRE ATT&CK.
Técnica 1: Exfiltración – T1567 Exfiltración por servicio web
Los adversarios utilizan la técnica de exfiltración por servicio web T1567 para robar datos confidenciales de la víctima mediante servicios web externos. Antes de cifrar los datos, los atacantes cargan los datos de la víctima en servicios web externos, por ejemplo, servicios de almacenamiento en la nube. Los datos confidenciales robados pueden incluir los registros financieros de la organización víctima, información de identificación personal (PII) relacionada con clientes o empleados, correos electrónicos internos y detalles sobre productos no lanzados. Es posible que se realice una copia de seguridad de los datos robados; sin embargo, los adversarios amenazan con filtrar los datos robados para presionar a sus víctimas a pagar el rescate.
Dado que la técnica de exfiltración a través del servicio web T1567 genera una gran cantidad de tráfico de red, conlleva riesgos para los atacantes debido a la alta probabilidad de detección. La transferencia de datos en grandes cantidades puede desencadenar controles de seguridad y alertar a la organización sobre el ataque de ransomware.
Muchos grupos de ransomware, como DarkSide, REvil y Nefilim , utilizan servicios populares de almacenamiento en la nube, como Google Drive , MEGA , OneDrive y Dropbox . Usando las herramientas rclone o megasync , los adversarios extraen datos de la red de la víctima. El grupo Conti utiliza el siguiente comando para transferir datos de forma silenciosa a su servidor en la nube.
La regla de detección para este ataque de exfiltración de datos debe buscar ” rclone.exe ” en el campo de la imagen y ” copiar ” en el campo de la línea de comando. Los otros parámetros de la línea de comandos ayudan a definir el procedimiento adversario y se agregan para reducir las alertas de detección de falsos positivos. Dado que el rclone crea un nuevo proceso, una regla de detección debe usar la creación del proceso como fuente de registro. La siguiente regla SIGMA crea una alerta de detección cuando observa los criterios de selección en los datos de registro.
Técnica 2: Impact – Datos T1486 cifrados para Impact
El propósito final del ransomware es extorsionar a la víctima bloqueando el acceso a sus recursos. La mayoría del ransomware logra este propósito cifrando los datos de sus víctimas y exigiendo un rescate por la clave de descifrado. MITRE ATT&CK clasifica este uso adversario del cifrado como la técnica T1486 Data Encrypted for Impact .
T1486 Data Encrypted for Impact es la técnica de ransomware más común utilizada por los adversarios. Según el Informe rojo, esta técnica fue la tercera técnica adversaria más utilizada en 2021. Dado que todas las técnicas en las fases anteriores sentaron las bases para este paso, la técnica de datos cifrados para impacto suele ser difícil de prevenir. Sin embargo, el proceso de cifrado puede llevar mucho tiempo y la detección temprana permite a los defensores detenerse antes de que el ransomware cifre todos los archivos de la red.
Muchas variantes de ransomware suelen eliminar los archivos no cifrados después del cifrado. Aunque no está directamente relacionado con el proceso de encriptación, es un buen indicador de actividad de ransomware. Este comportamiento de ransomware se puede utilizar para escribir una regla de detección. Si se eliminan varios archivos en un breve período de tiempo, se debe crear una alerta de detección. Sin embargo, esta alerta puede ser propensa a resultados falsos positivos. Una actividad legítima de desinstalación de software o restauración de archivos puede desencadenar una alerta de detección.
Algunos actores de amenazas de ransomware utilizan utilidades nativas de Windows en su proceso de cifrado de datos. Por ejemplo, el grupo PHOSPHORUS APT abusa de BitLocker para el cifrado en su ransomware mediante el siguiente comando.
La siguiente regla SIGMA de ejemplo busca reg.exe en el campo de imagen de los datos de registro del origen del registro de creación de procesos para detectar el abuso de BitLocker. Si el ransomware agrega un par clave-valor al registro de Cifrado de volumen completo (FVE), esta regla SIGMA crea una alerta de detección.
Categorías
Buscar