Que esperar cuando ha sido atacado con REvil ransomware

REvil, también conocido como Sodinokibi, es una oferta convencional de ransomware como servicio (RaaS) ampliamente utilizada que existe desde 2019. Los clientes criminales pueden arrendar el ransomware REvil a sus desarrolladores, agregando sus propias herramientas y recursos para la segmentación. e implementación. Como resultado, el enfoque y el impacto de un ataque que involucre el ransomware REvil es muy variable. Esto puede dificultar que los defensores sepan qué esperar y qué buscar.

La siguiente información puede ayudar a los administradores de TI a enfrentar o preocuparse proactivamente con el impacto de un ataque de ransomware REvil. Los hallazgos se basan en los conocimientos del equipo de Sophos Rapid Response, que ha investigado múltiples ciberataques relacionados con REvil.

Nota del editor: este artículo es parte de una serie de guías de “Qué esperar” que presentan las familias de ransomware más frecuentes. Otras guías cubren el ransomware Conti y el ransomware Avaddon.

Qué hacer de inmediato: contener y neutralizar

Lo primero que debe hacer es determinar si el ataque aún está en curso. Si sospecha que lo es y no tiene las herramientas para detenerlo, determine qué dispositivos se han visto afectados y aíslelos de inmediato. La opción más sencilla es simplemente desconectarse de todas las redes. Si el daño es más extenso que unos pocos dispositivos, considere hacerlo en el nivel del conmutador y desconectar segmentos completos de la red en lugar de dispositivos individuales. Apague los dispositivos solo si no puede desconectar la red.

En segundo lugar, debe evaluar el daño. ¿Qué terminales, servidores y sistemas operativos se vieron afectados, qué se perdió? ¿Están sus copias de seguridad intactas o el atacante las ha eliminado? Si están intactos, haga una copia sin conexión de inmediato. Además, ¿qué máquinas estaban protegidas? Serán fundamentales para que vuelva a ponerse de pie.

En tercer lugar, ¿cuenta con un plan integral de respuesta a incidentes? De lo contrario, debe identificar quién debería participar en el tratamiento de este incidente. Se requerirán administradores de TI y alta gerencia, pero es posible que también deba traer expertos en seguridad externos y consultar con el seguro cibernético y el asesor legal. ¿Debería informar el incidente a las fuerzas del orden y / o informar a las autoridades de protección de datos? También está la cuestión de qué información debe proporcionar a los empleados, muchos de los cuales probablemente encontrarán una nota de rescate similar en su escritorio.

Por último, pero no por ello menos importante: deberá ponerse en contacto con estas y otras personas clave, como los clientes, para informarles de lo que está sucediendo, pero es posible que los atacantes estén escuchando a escondidas, así que no utilice sus canales habituales de comunicación. Si los intrusos han estado en su red por un tiempo, probablemente tendrán acceso al correo electrónico, por ejemplo.

Qué hacer a continuación: investigar

Una vez que haya logrado contener y neutralizar el ataque, tómese un tiempo para investigar lo que sucedió para que pueda reducir la probabilidad de que vuelva a suceder. Si no se siente seguro de hacerlo usted mismo, hay un especialista en respuesta a incidentes y ayuda para la búsqueda de amenazas disponible las 24 horas, los 7 días de la semana, de parte de proveedores de seguridad, incluido Sophos.

Según el equipo de Sophos Rapid Response, esto es lo que puede esperar de la actividad del ransomware REvil / Sodinokibi en su red:

1. Lo más probable es que los atacantes hayan estado en su red durante unos días o incluso semanas.

REvil ransomware es operado por adversarios humanos que han alquilado el malware a los desarrolladores, agregando sus propias herramientas y objetivos. Se toman tiempo para preparar ataques que causen la máxima interrupción, lo que les permite cobrar los rescates multimillonarios por los que REvil es conocido.

Nota: La actividad maliciosa puede comenzar antes de que lleguen los atacantes de ransomware. Los expertos de Sophos que investigan un reciente ataque REvil encontraron un vínculo directo entre un correo electrónico de phishing entrante y un ataque de rescate multimillonario dos meses después. El correo electrónico de phishing, que logró capturar las credenciales de acceso de un empleado, probablemente provino de un agente de acceso inicial, quien, unas semanas después, parece haber usado PowerSploit y Bloodhound para moverse a través de la red violada y localizar credenciales de administrador de dominio de alto valor. Posteriormente, el corredor vendió estas credenciales a los adversarios de REvil para que pudieran violar la red del objetivo.

2. Los atacantes pueden usar una variedad de métodos diferentes para entrar en su red.

Los posibles métodos de acceso inicial para REvil ransomware incluyen, pero no se limitan a, exploits contra una vulnerabilidad conocida, por ejemplo en un firewall, phishing para credenciales de usuario a través de correos electrónicos no deseados como se mencionó anteriormente, ataques de fuerza bruta contra servicios de Internet como Virtual Private Redes (VPN), protocolo de escritorio remoto expuesto (RDP) y herramientas de administración remota de escritorio como Virtual Network Computing (VNC), e incluso algunos sistemas de administración basados ​​en la nube.

Sitios como Shodan.io brindan información sobre lo que un atacante podría descubrir acerca de su red; intente usarlo para buscar sus direcciones IP externas.

3. Tendrán acceso seguro a las cuentas de administrador de dominio, así como a otras cuentas de usuario.

Los atacantes suelen comprometer varias cuentas durante un ataque. Su objetivo principal es obtener acceso a cuentas de administrador de dominio que se pueden utilizar para iniciar el ransomware. Sin embargo, también se dirigen a cuentas de administrador específicas que tienen acceso a datos confidenciales, sistemas de respaldo y consolas de administración de seguridad.

Los atacantes de REvil a menudo usan herramientas como Mimikatz, que puede capturar información de un proceso Microsoft LSASS.exe en ejecución que contiene hashes de nombres de usuario / contraseñas de los usuarios actualmente conectados. A veces, los atacantes dejan esto en ejecución y luego deliberadamente rompen algo en la máquina que han apuntado, lo que provoca que un administrador inicie sesión para solucionarlo. Los atacantes pueden capturar las credenciales de este administrador.

Si Mimikatz está bloqueado por un software de seguridad, los atacantes pueden usar algo como Microsoft Process Monitor para hacer un volcado de memoria de LSASS.exe y llevar ese archivo de volcado a su máquina para extraer la información con Mimikatz. Con Mimikatz, no importa cuán largas o complejas sean las contraseñas porque las quita directamente de la memoria.

4. Habrán escaneado su red. Ellos saben cuántos servidores y puntos finales tiene y dónde guarda sus copias de seguridad, datos y aplicaciones críticos para el negocio.

Una de las primeras cosas que harán los atacantes cuando accedan a una red es identificar qué acceso tienen en la máquina local. El siguiente paso es averiguar qué máquinas remotas existen y si pueden acceder a ellas.

Los atacantes utilizan escáneres de red legítimos como “Advanced Port Scanner” y “Angry IP Scanner” debido a su eficacia y al hecho de que es poco probable que se bloqueen. Estos escáneres generarán una lista de direcciones IP y nombres de máquinas. Esto facilita que los atacantes se concentren en la infraestructura crítica, ya que la mayoría de las organizaciones dan a sus servidores nombres descriptivos, por ejemplo NY-DC1 para el controlador de dominio de Nueva York, o incluso nombres más simples como “FileServer01”, “Backup_Server”, etc.

5. Es probable que los atacantes hayan descargado e instalado puertas traseras que les permitan entrar y salir de su red e instalar herramientas adicionales.

Habrán configurado carpetas y directorios para recopilar y almacenar información robada y canales para comunicarse con los atacantes y sacar información de su red.

Las puertas traseras vienen en una variedad de formas. Algunos simplemente se comunican con la dirección IP de los atacantes, lo que les permite enviar y recibir comandos a la máquina.

Muchas puertas traseras se clasifican como aplicaciones legítimas. Por ejemplo, los atacantes pueden utilizar herramientas de administración remota como RDP para mantener el acceso. Incluso si RDP está deshabilitado de forma predeterminada, es muy fácil para un atacante con acceso de administrador a la máquina volver a habilitarlo.

Otras herramientas legítimas comunes que se utilizan son Screen Connect, AnyDesk, TightVNC y PC Anywhere. Esto ofrece a los atacantes el control directo de la máquina, incluido el control sobre el mouse / teclado y la capacidad de ver la pantalla.

Nota: En un ataque REvil que investigó Sophos, los adversarios habían instalado la herramienta de acceso remoto Screen Connect en 130 dispositivos, aproximadamente un tercio de la red, para mantener el acceso si se eliminaban o se bloqueaban en otro lugar.

Algunos atacantes utilizan herramientas más avanzadas como Cobalt Strike, una herramienta de prueba de penetración posterior a la explotación. Los atacantes a menudo intentarán establecer una “baliza” de Cobalt Strike. Esto permite una comunicación regular de regreso al servidor Cobalt Strike y brinda a los atacantes un control completo de la máquina. También se puede utilizar para implementar fácilmente más balizas en otras máquinas dentro de la red.

6. Además del cifrado de datos y la interrupción del software y las operaciones, algunos operadores de REvil intentarán exfiltrar cientos de gigabytes de datos corporativos antes del evento principal de ransomware.

Los expertos de Sophos solo han visto esta extorsión multimodo en aproximadamente la mitad de los ataques REvil / Sodinokibi que investigaron, pero aún así vale la pena ser consciente del riesgo. Los atacantes generalmente amenazarán con publicar datos confidenciales robados en un llamado “sitio de filtración” para que cualquiera los descargue, a menos que paguen el rescate.

Una vez que se identifica un servidor de archivos, los atacantes suelen utilizar una herramienta llamada “Todo” que permite una búsqueda de archivos muy rápida por palabras clave, como “cuenta”, “confidencial”, “número de seguro social”. Después de identificar los datos, existen numerosos métodos que los atacantes pueden utilizar para robarlos.

Por ejemplo, podrían simplemente iniciar sesión en un servicio de correo electrónico en línea y enviarlo por correo electrónico a algún lugar o usar un proveedor de almacenamiento en la nube como DropBox. Alternativamente, podrían instalar un cliente FTP como FileZilla o Total Commander FTP y cargar los datos en su servidor.

El atacante a menudo automatiza la extracción de grandes cantidades de datos. Por ejemplo, podrían usar una herramienta como RClone. Esta es una herramienta de línea de comandos que se conecta a una amplia variedad de proveedores de almacenamiento en la nube.

En aproximadamente el 75% de los ataques de ransomware REvil investigados por Sophos que incluían la exfiltración de datos, se utilizó Mega.nz para almacenar temporalmente la información robada. Mega es popular entre los atacantes porque ofrece niveles adicionales de anonimato. Unos pocos comandos simples para RClone son todos los que los atacantes necesitan para exfiltrar directorios completos a Mega.

Algunos atacantes de REvil utilizan otros métodos, como instalar una copia portátil del cliente FTP FileZilla que utilizaron para cargar datos en un servidor intermedio fuera del perímetro de la red del objetivo.

7. Habrán intentado cifrar, eliminar, restablecer o desinstalar sus backups.

A menos que sus copias de seguridad se almacenen sin conexión, están al alcance de los atacantes. Una “copia de seguridad” que está en línea y disponible todo el tiempo es solo una segunda copia de los archivos que esperan ser encriptados.

8. Los atacantes habrán intentado identificar qué solución de seguridad se utiliza en la red y si pueden desactivarla.

No importa qué tan buena sea su protección si el atacante puede desactivarla o modificar su política. Los atacantes de REvil han utilizado GMER para intentar deshabilitar el software de seguridad. GMER es una herramienta anti-rootkit que no es intrínsecamente maliciosa, aunque algunas tecnologías de seguridad la marcarán como una aplicación potencialmente no deseada (PUA).

Los expertos de Sophos también han visto a los atacantes de ransomware REvil reiniciar la computadora en modo seguro antes del cifrado de datos para evitar las herramientas de protección de endpoints.

Cualquiera con derechos de administrador puede deshabilitar instantáneamente las herramientas predeterminadas gratuitas, como Windows Defender. La mayoría de los ransomware modernos intentan hacer esto de forma predeterminada.

Los atacantes también intentan encontrar y obtener acceso a las consolas de administración de soluciones de seguridad más avanzadas para deshabilitar toda la protección justo antes de lanzar el ransomware.

Las consolas de administración de seguridad alojadas localmente están especialmente en riesgo, ya que los atacantes podrían acceder a ellas con las cuentas que ya han comprometido.

9. La parte más visible del ataque, la implementación de ransomware, probablemente tuvo lugar cuando ningún administrador de TI o profesional de seguridad estaba en línea para advertir y prevenir el largo proceso de cifrado de archivos, posiblemente durante la noche o durante el fin de semana.

Nota: El proceso de cifrado puede tardar horas. Un endpoint de Windows cifrado tendrá decenas o cientos de miles de archivos cifrados cuando finalice el ransomware. Para servidores de archivos grandes, esto podría ascender a millones. Esta es la razón por la que la mayoría de los ataques de ransomware dirigidos se lanzan en medio de la noche, durante un fin de semana o en un día festivo, cuando menos personas están mirando.

Hasta este punto, los atacantes han intentado mantenerse ocultos, pero aquí sus tácticas cambian. Quieren que sepa que están allí y lo que han hecho. Quieren que veas cuántos datos se han perdido y que comprendas que alguien lo ha hecho de forma maliciosa y ahora quieren un pago para descifrar los datos.

Esta es la razón por la que, en casi todos los ataques de ransomware, los archivos cifrados tendrán un nuevo nombre de extensión agregado al final del archivo. Por ejemplo, “MyReport.docx” podría convertirse en “MyReport.docx.encrypted”. Las notas de rescate a menudo se muestran de forma destacada en varios lugares, lo que aumenta el caos y el estrés.

10. El ransomware se habrá implementado en todos sus puntos finales y en cualquier servidor que estuviera en línea en el momento del ataque, siempre que eso sea lo que el atacante quería.

El ransomware se “implementa” como una aplicación normal; en la mayoría de los ataques no se propaga al azar en todas las direcciones. Si sus servidores estaban encriptados, pero no sus puntos finales, es porque el atacante eligió apuntar solo a sus servidores.

Los atacantes implementan ransomware de diversas formas. Una de las formas más comunes que han visto los expertos de Sophos es a través de una combinación de secuencias de comandos por lotes y la herramienta Microsoft PsExec, una gran herramienta para ejecutar comandos en máquinas remotas. Un atacante podría crear un script por lotes que recorra una lista de sus direcciones IP, utilizando PsExec para copiar el ransomware en cada máquina y luego ejecutarlo.

Si bien la mayoría de las soluciones de seguridad (incluido Sophos) bloquean PsExec de forma predeterminada, los administradores a menudo autorizan su uso en su red porque también lo encuentran útil, y desafortunadamente los atacantes lo saben.

Los atacantes también pueden crear o editar un script de inicio de sesión de objeto de política de grupo (GPO) existente. Si no detecta esto, el ataque podría reiniciarse cada vez que una máquina se inicie y se conecte al dominio. Esto hace que parezca que el ransomware se está “propagando” cuando solo es causado por el GPO.

11. El lanzamiento del ransomware no es el final.

Utilizando los diversos mecanismos de acceso que configuraron durante la etapa de preparación, los atacantes a menudo continuarán monitoreando la situación e incluso sus comunicaciones por correo electrónico para ver cómo responde. Un correo electrónico al CEO indicando que estará bien porque no cifraron las copias de seguridad en el servidor X, podría ser un desastre si el atacante lo lee y aún tiene acceso a ese servidor.

El atacante también puede esperar hasta que se recupere para luego lanzar un segundo ataque para enfatizar realmente que puede seguir haciéndolo hasta que pague.

12. Si los atacantes buscan un medio adicional de extorsión, es probable que el tiempo pasado en su red les haya permitido robar información comercial crítica, sensible y confidencial que ahora amenazan con exponer públicamente.

Algunos atacantes también ejercen presiones emocionales, con apelaciones y amenazas directas de empleados o afiliados comerciales por correo electrónico y teléfono.

La mayoría de los atacantes comenzarán a publicar datos robados desde unos días hasta una semana después del ataque principal si no se recibe ningún contacto del objetivo o se rompen las negociaciones. Sin embargo, podrían pasar varias semanas o incluso más antes de que se publique algo.

Además, aunque los atacantes pueden prometer eliminar su información si paga, no tiene garantías de que lo harán.

Que pueden hacer los defensores

Hay algunos pasos proactivos que puede tomar para mejorar su seguridad de TI para el futuro, que incluyen:

• Supervise la seguridad de su red las 24 horas del día, los 7 días de la semana y sea consciente de los cinco indicadores tempranos de la presencia de un atacante para detener los ataques de ransomware antes de que se inicien
• Cierre el protocolo de escritorio remoto (RDP) orientado a Internet para denegar el acceso de los ciberdelincuentes a las redes. Si necesita acceso a RDP, colóquelo detrás de una conexión de acceso de red VPN o de confianza cero y haga cumplir el uso de la autenticación multifactor (MFA)
• Eduque a los empleados sobre qué buscar en términos de phishing y spam malicioso e introduzca políticas de seguridad sólidas.
• Mantenga backups periódicas de sus datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea. La recomendación estándar para los backups es seguir el método 3-2-1: 3 copias de los datos, usando 2 sistemas diferentes, 1 de los cuales está fuera de línea. También pruebe su capacidad para realizar una restauración
• Evite que los atacantes accedan y deshabiliten su seguridad: elija una solución con una consola de administración alojada en la nube con autenticación multifactor habilitada y administración basada en roles para limitar los derechos de acceso
• Recuerde, no existe una fórmula mágica única para la protección, y un modelo de seguridad en capas y de defensa en profundidad es esencial: extiéndalo a todos los terminales y servidores y asegúrese de que puedan compartir datos relacionados con la seguridad.
• Disponga de un plan de respuesta a incidentes eficaz y actualícelo según sea necesario. Si no se siente seguro de tener las habilidades o los recursos para hacer esto, monitorear amenazas o responder a incidentes de emergencia, considere recurrir a expertos externos en busca de ayuda.

Se pueden encontrar más consejos e información técnica relacionada con REvil ransomware en MTR en tiempo real: Combate mano a mano con REvil Ransomware Persiguiendo un día de pago de $ 2.5 millones y REvil implacable, revelado: RaaS tan variable como los criminales que lo usan.

Conclusión

Lidiar con un ciberataque es una experiencia estresante. Puede resultar tentador eliminar la amenaza inmediata y cerrar el libro sobre el incidente, pero la verdad es que, al hacerlo, es poco probable que haya eliminado todos los rastros del ataque. Es importante que se tome el tiempo para identificar cómo entraron los atacantes, aprender de los errores y realizar mejoras en su seguridad. Si no lo hace, corre el riesgo de que el mismo adversario u otro ataque de nuevo en el futuro.