Siempre que trabajamos con víctimas de ransomware, pasamos algún tiempo repasando nuestros registros de telemetría que abarcan la semana anterior o dos. Estos registros a veces incluyen anomalías de comportamiento que (por sí mismas) pueden no ser intrínsecamente maliciosas, pero en el contexto de un ataque que ya ha tenido lugar, podrían tomarse como un indicador temprano de un ciberdelincuente que realiza operaciones en la red de la víctima.
Si vemos alguno de estos cinco indicadores saltamos sobre ellos de inmediato. Cualquiera de estos encontrados durante una investigación es casi con certeza una indicación de que los atacantes están investigando: para tener una idea de cómo es la red y para saber cómo pueden obtener las cuentas y el acceso que necesitan para lanzar un ataque de ransomware.
Los ataques de ransomware son complejos y constan de varias etapas. Antes de desplegar el malware, los atacantes suelen dedicar tiempo a explorar las redes de sus víctimas y a obtener accesos.
Los atacantes utilizan herramientas de administración legítimas para preparar el escenario para los ataques de ransomware. Sin saber qué herramientas utilizan normalmente los administradores en sus máquinas, fácilmente se podrían pasar por alto estos datos. En retrospectiva, estos cinco indicadores representan banderas rojas que deben ser investigadas.
Sniffer o escáner de red, especialmente en un servidor
Los atacantes suelen comenzar obteniendo acceso a una máquina en la que buscan información: si se trata de un Mac o Windows, cuál es el dominio y el nombre de la empresa, qué tipo de derechos de administrador tiene el ordenador y más. A continuación, los atacantes querrán saber qué más hay en la red y a qué pueden acceder. La forma más sencilla de determinar esto es escanear la red. Si se detecta un escáner de red, como AngryIP o Advanced Port Scanner, pregunta al personal de administración. Si nadie intenta usar el escáner, es hora de investigar.
Herramientas para desactivar el software antivirus
Una vez que los atacantes tienen derechos de administrador, a menudo intentarán deshabilitar el software de seguridad utilizando aplicaciones creadas para ayudar con la eliminación forzada de software, como Process Hacker, IOBit Uninstaller, GMER y PC Hunter. Este tipo de herramientas comerciales son legítimas, pero en las manos equivocadas, los equipos de seguridad y los administradores deben preguntarse por qué han aparecido de repente.
La presencia de MimiKatz
Se debe investigar cualquier detección de MimiKatz en cualquier lugar. Si nadie en un equipo de administración puede responder por el uso de MimiKatz, esto es una señal de alerta porque es una de las herramientas de piratería más utilizadas para el robo de credenciales. Los atacantes también usan Microsoft Process Explorer, incluido en Windows Sysinternals, una herramienta legítima que puede volcar LSASS.exe de la memoria, creando un archivo .dmp. Luego pueden llevar esto a su propio entorno y usar MimiKatz para extraer de forma segura nombres de usuario y contraseñas en su propia máquina de prueba.
Patrones de comportamiento sospechosos
Cualquier detección que ocurra a la misma hora todos los días, o en un patrón repetitivo, es a menudo una indicación de que algo más está sucediendo, incluso si se han detectado y eliminado archivos maliciosos. Los equipos de seguridad se deben preguntar “¿por qué vuelve?” Los investigadores de seguridad saben que normalmente significa que ha ocurrido algo más malicioso que no se ha identificado (hasta el momento).
Ataques de prueba
Ocasionalmente, los atacantes implementan pequeños ataques de prueba en algunos ordeadores para ver si el método de implementación y el ransomware se ejecutan correctamente o si el software de seguridad lo detiene. Si las herramientas de seguridad detienen el ataque, cambian de táctica y vuelven a intentarlo. Esto mostrará su mano y los atacantes sabrán que su tiempo ahora es limitado. A menudo es cuestión de horas antes de que se lance un ataque mucho mayor.