Site icon Sophos News

Las realidades del ransomware: cinco señales de que estás a punto de ser atacado

The Realities of Ransomware

Siempre que trabajamos con víctimas de ransomware, pasamos un tiempo mirando hacia atrás a través de nuestros registros de telemetría que abarcan la semana o dos anteriores. Estos registros a veces incluyen anomalías de comportamiento que (por sí mismas) pueden no ser inherentemente maliciosas, pero en el contexto de un ataque que ya ha tenido lugar, podrían tomarse como un indicador temprano de un actor de amenaza que realiza operaciones en la red de la víctima.

Si vemos alguno de estos cinco indicadores, en particular, saltamos sobre ellos de inmediato. Cualquiera de estos encontrados durante una investigación es casi con certeza una indicación de que los atacantes han hurgado: para tener una idea de cómo se ve la red y aprender cómo pueden obtener las cuentas y el acceso que necesitan para lanzar un ataque de ransomware.

Los atacantes usan herramientas de administración legítimas para preparar el escenario para los ataques de ransomware. Sin saber qué herramientas usan normalmente los administradores en sus máquinas, uno podría fácilmente pasar por alto estos datos. En retrospectiva, estos cinco indicadores representan banderas rojas de investigación.

Un escáner de red encontrado entre un repositorio de herramientas utilizadas por el ransomware Netwalker
Mimikatz y los scripts de PowerShell relacionados utilizados para lanzarlo, se encuentran entre un repositorio de herramientas utilizadas por los actores de amenazas de ransomware Netwalker
Exit mobile version