Security Operations

MTR en tiempo real: combate cuerpo a cuerpo con REvil ransomware persiguiendo un día de pago de $ 2.5 millones

Hace unas semanas, una empresa de medios 24/7 de tamaño mediano que había realizado actividades críticas en línea durante la pandemia, se encontró enfrascada en un combate en vivo con los atacantes del ransomware REvil decididos a asegurar un pago multimillonario. El ataque falló, pero la empresa aún no se ha recuperado por completo.

A principios de junio de 2021, una detección de Cobalt Strike desencadenó una alerta de seguridad. Cobalt Strike es un agente de acceso remoto ampliamente utilizado por los adversarios como precursor de un ataque de ransomware.

Los atacantes lanzaron ransomware unas horas más tarde a las 4 am, hora local. Durante las siguientes cuatro horas, el equipo de TI del objetivo y el equipo de respuesta rápida de Sophos se enfrascaron en un combate en vivo con los adversarios humanos que orquestaban el ataque.

El ataque finalmente fracasó, pero no antes de que los atacantes encriptaran los datos en dispositivos desprotegidos, borraran las copias de seguridad en línea y diezmaran un dominio en línea y sin defensa.

La nota de rescate dejada en los dispositivos cifrados exigía un pago de 2,5 millones de dólares y estaba firmada por REvil, también conocido como Sodinokibi.

Cómo comenzó

REvil es un ransomware como servicio, lo que significa que los criminales pueden arrendar el malware de los desarrolladores y luego usar sus propias herramientas y recursos para atacar y realizar el ataque. El objetivo de este cliente particular de REvil era una empresa de medios con aproximadamente 600 dispositivos informáticos, 25 de ellos servidores, y tres dominios de Active Directory, que eran fundamentales para la capacidad de la empresa de mantener sus operaciones 24 horas al día, 7 días a la semana.

La necesidad de operaciones remotas y en línea

Como tantas organizaciones durante las primeras etapas de la pandemia COVID-19, se habían apresurado a equipar y habilitar una fuerza de trabajo remota, y no todos los dispositivos tenían el mismo nivel de protección. La empresa también decidió conectar a Internet una red que anteriormente estaba aislada. Desafortunadamente, estas acciones se tornarían en su contra.

Una vez que los intrusos estuvieron dentro de la red, se dirigieron directamente a los dispositivos desprotegidos y otros sistemas en línea a los que podían acceder, instalando sus herramientas de ataque y usándolas para extender el ataque a otros dispositivos.

El ataque en desarrollo

Cuando el equipo de Respuesta Rápida de Sophos llegó a la escena, descubrieron que los atacantes ya habían logrado comprometer varias cuentas y habían podido moverse sin obstáculos entre computadoras desprotegidas.

“Uno de los mayores desafíos para la respuesta a incidentes es la falta de visibilidad sobre lo que está sucediendo en dispositivos desprotegidos”, dijo Paul Jacobs, líder de respuesta a incidentes de Sophos. “Podemos ver y bloquear los ataques entrantes que provienen de estos dispositivos a un punto final protegido, pero no podemos eliminar de forma centralizada al intruso de esos dispositivos desprotegidos o ver qué están haciendo”.

El equipo también examinó las aplicaciones instaladas en los dispositivos para comprobar si se podían utilizar como parte del ataque.

“Como resultado de la pandemia, no es raro encontrar aplicaciones de acceso remoto instaladas en los dispositivos de los empleados”, dijo Jacobs. “Cuando vimos Screen Connect en 130 terminales, asumimos que estaba allí intencionalmente para ayudar a las personas que trabajan desde casa. Resultó que la empresa no sabía nada al respecto: los atacantes habían instalado el software para garantizar que pudieran mantener el acceso a la red y los dispositivos comprometidos “.

Este fue solo uno de los varios mecanismos que implementaron los atacantes para mantener la persistencia. Los atacantes también crearon su propia cuenta de administrador de dominio como respaldo después de robar otro conjunto de credenciales de administrador de dominio.

Combate mano a mano

“A medida que el ataque se hizo más ruidoso, los atacantes sabían que serían detectados y bloqueados. Podíamos decir que sabían que estábamos allí y que estaban haciendo todo lo posible para derrotarnos ”, dijo Jacobs. “Nuestros productos de seguridad tienen una funcionalidad llamada CryptoGuard que detecta y bloquea los intentos de cifrar archivos incluso si la fuente es un dispositivo remoto y desprotegido. Una vez que comenzamos a ver tales detecciones, supimos que el ransomware se había desatado y la batalla estaba en marcha “.

Los atacantes intentaron repetidamente violar dispositivos protegidos y cifrar archivos, lanzando ataques desde diferentes dispositivos desprotegidos que habían podido comprometer.

Todos los intentos debían ser bloqueados e investigados para garantizar que no sucediera nada más y que no hubiera más daños, aunque para entonces el siguiente intento de ataque ya estuviera en marcha. Esta tarea se hizo más difícil de lo normal porque la organización necesitaba mantener la mayoría de sus servidores en línea para soportar los sistemas de transmisión 24 horas al día, 7 días a la semana.

Finalmente, la embestida comenzó a disminuir. Para el segundo día, los ataques entrantes todavía se detectaban de forma intermitente, pero estaba claro que el intento principal había terminado y había fallado.

Las secuelas

A medida que el personal de respuesta a incidentes y el equipo de seguridad de TI de la empresa hicieron un balance, descubrieron que el daño se limitaba principalmente a los dispositivos y dominios desprotegidos. El dominio en línea, fue completamente destruido y necesitaba ser reconstruido y las copias de seguridad en línea se habían eliminado, pero la empresa no quedó totalmente paralizada por el ataque y no tuvo que pagar el exorbitante rescate. A pesar de esto, el regreso a pleno funcionamiento ha sido un proceso lento y está en curso en el momento de esta publicación.

Las lecciones aprendidas

“En la mayoría de los casos, para cuando nos llaman, el ataque ya ha tenido lugar y estamos allí para ayudar a contener, neutralizar e investigar las secuelas”, dijo Peter Mackenzie, gerente de Sophos Rapid Response. “En esta ocasión estuvimos allí mientras se desarrollaba la etapa final del ataque y pudimos ver de primera mano la determinación y la frustración creciente de los atacantes, que nos arrojaron todo, desde todas las direcciones que pudieron”.

Los expertos de Sophos creen que hay dos lecciones importantes que los defensores pueden aprender de este incidente:

  1. El primero tiene que ver con la gestión de riesgos. Cuando realiza cambios en su entorno, por ejemplo, cambiando una red aislada a una red online como en el caso de este negocio, su nivel de riesgo cambia. Se abren nuevas áreas de vulnerabilidad y los equipos de seguridad de TI deben comprender y abordar esto.
  2. El segundo tiene que ver con la conservación de datos. La primera cuenta comprometida en este ataque pertenecía a un miembro del equipo de TI. Todos los datos habían sido borrados y esto significa que se perdió información valiosa, como detalles de la violación original, que podría haber sido utilizada para análisis e investigaciones forenses. Cuanta más información se mantenga intacta, más fácil será ver lo que sucedió y asegurarse de que no vuelva a suceder.

Recomendaciones

Sophos recomienda las siguientes prácticas para ayudar a defenderse contra REvil y otras familias de ransomware y ciberataques relacionados:

  1. Supervise y responda a las alertas: asegúrese de que las herramientas, los procesos y los recursos (personas) adecuados estén disponibles para supervisar, investigar y responder a las amenazas observadas en el entorno. Los atacantes de ransomware a menudo programan su ataque durante las horas de menor actividad, los fines de semana o durante las vacaciones, asumiendo que poco o ningún personal está mirando.
  2. Establezca y despliegue contraseñas seguras: las contraseñas seguras sirven como una de las primeras líneas de defensa. Las contraseñas deben ser únicas o complejas y nunca deben reutilizarse
  3. Autenticación multifactor (MFA): incluso las contraseñas seguras pueden verse comprometidas. Cualquier forma de autenticación multifactor es mejor que ninguna para asegurar el acceso a recursos críticos como correo electrónico, herramientas de administración remota y activos de red.
  4. Bloquee los servicios accesibles: realice escaneos de la red de su organización desde el exterior e identifique y bloquee los puertos comúnmente utilizados por VNC, RDP u otras herramientas de acceso remoto. Si una máquina necesita ser accesible mediante una herramienta de administración remota, coloque esa herramienta detrás de una VPN o una solución de acceso a la red de Zero Trust que use MFA como parte de su inicio de sesión.
  5. Segmentación y Zero Trust: separe los servidores críticos entre sí y de las estaciones de trabajo colocándolos en VLANs independientes mientras trabaja hacia un modelo de red de Zero Trust.
  6. Realice backups fuera de línea de la información y las aplicaciones, manténgalas actualizadas y guarde una copia fuera de línea.
  7. Haga un inventario de sus activos y cuentas: los dispositivos sin protección y sin parches en la red aumentan el riesgo y crean una situación en la que las actividades maliciosas podrían pasar desapercibidas. Es vital tener un inventario actualizado de todas las computadoras y dispositivos IOT conectados. Utilice escáneres de red comprobaciones físicas para localizarlos y categorizarlos.
  8. Instale protección en capas para bloquear a los atacantes en tantos puntos como sea posible y extienda esa seguridad a todos los puntos finales que permita en su red
  9. Configuración del producto: los sistemas y dispositivos mal protegidos también son vulnerables. Es importante que se asegure de que las soluciones de seguridad estén configuradas correctamente y que verifique y, cuando sea necesario, actualice las políticas de seguridad con regularidad. Las nuevas funciones de seguridad no siempre se habilitan automáticamente
  10. Active Directory (AD): realice auditorías periódicas en todas las cuentas de AD, asegurándose de que ninguna tenga más acceso del necesario para su propósito. Deshabilite las cuentas para los empleados que se van tan pronto como dejen la empresa
  11. Parche todo: mantenga Windows y otros programas actualizados. Esto también significa verificar dos veces que los parches se hayan instalado correctamente y, en particular, que estén en su lugar para sistemas críticos como máquinas conectadas a Internet o controladores de dominio.

Consejos adicionales para el liderazgo en seguridad

  1. Comprenda las tácticas, técnicas y procedimientos (TTP) que los atacantes pueden utilizar y cómo detectar las primeras señales de advertencia de un ataque inminente.
  2. Tenga un plan de respuesta a incidentes que se revisa y actualiza continuamente para reflejar los cambios en su entorno de TI y operaciones comerciales y cómo afectan su postura de seguridad y nivel de riesgo.
  3. Recurra al soporte externo si no tiene los recursos o la experiencia interna para monitorear la actividad en la red o responder a un incidente. El ransomware a menudo se desencadena al final del ataque, por lo que necesita tecnología dedicada contra el ransomware y la búsqueda de amenazas dirigida por humanos para detectar las tácticas, técnicas y procedimientos reveladores que indican que un atacante está en el entorno o intenta entrar en él.
  4. Si lo golpean, hay expertos en respuesta a incidentes disponibles las 24 horas, los 7 días de la semana, a los que puede llamar para contener y neutralizar el ataque.

Puede encontrar información técnica sobre las tácticas, técnicas y procedimientos (TTP) utilizados en este y otros ataques de REvil en los siguientes artículos complementarios, Qué esperar cuando ha sido golpeado con REvil Ransomware y Relentless REvil, Revealed: RaaS as Variable como los criminales que lo usan.