MTR en tiempo real: combate cuerpo a cuerpo con REvil ransomware persiguiendo un pago de 2,5 millones de dólares

Security Operations

Hace unas semanas, una empresa de medios 24 horas al día, 7 días a la semana, de tamaño medio que había migrado sus actividades críticas a en línea durante la pandemia, se encontró enfrascada en un combate en vivo con atacantes de ransomware REvil decididos a recibir un pago multimillonario. El ataque falló, pero la empresa aún no se ha recuperado por completo.

A principios de junio de 2021, una detección de Cobalt Strike en la red de una empresa de medios de tamaño medio desencadenó una alerta de seguridad. Cobalt Strike es un agente de acceso remoto ampliamente utilizado por los adversarios como precursor del ataque de ransomware.

Los atacantes lanzaron ransomware unas horas más tarde a las 4 am, hora local. Durante las siguientes cuatro horas, el equipo de TI del objetivo y el equipo de Rapid Response de Sophos se enfrascaron en un combate directo con los adversarios humanos que orquestaban el ataque.

El ataque finalmente fracasó, pero no antes de que los ciberdelincuentes cifraran los datos en dispositivos desprotegidos, borraran las copias de seguridad en línea y diezmaran un dominio en línea y sin defensa.

La nota de rescate dejada en los dispositivos cifrados exigía un pago de 2,5 millones de dólares y estaba firmada por REvil, también conocido como Sodinokibi.

Cómo comenzó

REvil es un tipo de ransomware como servicio, lo que significa que los clientes pueden alquilar el malware de los desarrolladores y luego usar sus propias herramientas y recursos para preparar y realizar el ataque. El objetivo de este cliente particular de REvil era una empresa de medios con aproximadamente 600 dispositivos informáticos, 25 de ellos servidores, y tres dominios de Active Directory, que eran fundamentales para la capacidad de la empresa de mantener sus operaciones 24 horas al día, 7 días a la semana.

La prisa por las operaciones remotas y en línea

Como tantas organizaciones durante las primeras etapas de la pandemia COVID-19, el objetivo era equipar y habilitar una fuerza de trabajo remota lo antes posible, y no todos los dispositivos tenían el mismo nivel de protección. La empresa también decidió conectar a Internet una red que anteriormente estaba aislada. Desafortunadamente, estas acciones se volverían contra ellos.

Una vez que los intrusos estuvieron dentro de la red, se dirigieron directamente a los dispositivos desprotegidos y otros sistemas en línea a los que podían acceder, instalando sus herramientas de ataque y usándolas para extender el ataque a otros dispositivos.

El desarrollo del ataque

Cuando el equipo de Rapid Response de Sophos llegó a la escena, descubrieron que los atacantes ya habían logrado comprometer varias cuentas y habían podido moverse sin obstáculos entre ordenadores desprotegidos.

“Uno de los mayores desafíos para la respuesta a incidentes es la falta de visibilidad sobre lo que está sucediendo en los dispositivos desprotegidos”, dijo Paul Jacobs, líder de respuesta a incidentes de Sophos. “Podemos ver y bloquear los ataques entrantes provenientes de estos dispositivos a un punto final protegido, pero no podemos eliminar centralmente al intruso de esos dispositivos o ver lo que están haciendo”.

El equipo también examinó las aplicaciones de software instaladas en los dispositivos para comprobar si se podían utilizar como parte del ataque.

“Como resultado de la pandemia, no es raro encontrar aplicaciones de acceso remoto instaladas en los dispositivos de los empleados”, dijo Jacobs. “Cuando vimos Screen Connect en 130 terminales, asumimos que estaba allí intencionalmente para ayudar a las personas que trabajan desde casa. Resultó que la empresa no sabía nada al respecto: los atacantes habían instalado el software para garantizar que pudieran mantener el acceso a la red y los dispositivos comprometidos”.

Este fue solo uno de los distintos mecanismos que implementaron para mantener la persistencia. Los atacantes también crearon su propia cuenta de administrador de dominio como respaldo después de robar otro conjunto de credenciales de administrador de dominio.

Combate mano a mano

“A medida que el ataque se hizo más notable, los ciberdelincuentes sabían que serían detectados y bloqueados. Podíamos decir que sabían que estábamos allí y que estaban haciendo todo lo posible para derrotarnos”, dijo Jacobs. “Nuestros productos de seguridad tienen una función de comportamiento llamada CryptoGuard que detecta y bloquea los intentos de cifrar archivos incluso si la fuente es un dispositivo remoto y desprotegido. Una vez que comenzamos a ver tales detecciones, supimos que el ransomware se había desatado y la batalla estaba en marcha”.

Los atacantes intentaron repetidamente violar dispositivos protegidos y cifrar archivos, lanzando ataques desde diferentes dispositivos desprotegidos que habían podido comprometer.

Todos los intentos debían ser bloqueados e investigados para garantizar que no sucediera nada más y que no hubiera más daños, aunque para entonces el siguiente intento de ataque ya estaba en marcha. Esta tarea se hizo más difícil de lo normal porque la organización necesitaba mantener la mayoría de sus servidores en línea para soportar los sistemas de transmisión 24 horas al día, 7 días a la semana.

Finalmente, el ataque comenzó a disminuir. Para el segundo día, los ataques entrantes todavía se detectaban de forma intermitente, pero estaba claro que el intento de ataque principal había terminado y había fallado.

Las secuelas

A medida que el personal de respuesta a incidentes y el equipo de seguridad de TI de la empresa hicieron un balance, descubrieron que el daño se limitaba principalmente a los dispositivos y dominios desprotegidos. El dominio en línea, que anteriormente estaba air-gapped, fue completamente destruido y necesitaba ser reconstruido y las copias de seguridad en línea se habían eliminado, pero la empresa no quedó totalmente paralizada por el ataque y no tuvo que pagar el exorbitante rescate. A pesar de esto, el regreso a pleno funcionamiento ha sido un proceso lento y está en curso en el momento de la publicación.

Las lecciones aprendidas

“En la mayoría de los casos, cuando nos llaman, el ataque ya ha tenido lugar y estamos allí para ayudar a contener, neutralizar e investigar las secuelas”, dijo Peter Mackenzie, gerente de Sophos Rapid Response. “En esta ocasión estuvimos allí mientras se desarrollaba la etapa final del ataque y pudimos ver de primera mano la determinación y la frustración creciente de los ciberdelincuentes, que nos arrojaron todo, desde todas las direcciones que pudieron”.

Los expertos de Sophos creen que hay dos lecciones importantes que los defensores pueden aprender de este incidente:

  1. El primero tiene que ver con la gestión de riesgos. Cuando realizas cambios en tu entorno, por ejemplo, cambiando una red air-gapped a online como en el caso de esta empresa, tu nivel de riesgo cambia. Se abren nuevas áreas de vulnerabilidad y los equipos de seguridad de TI deben comprender y abordar esto.
  2. El segundo tiene que ver con la conservación de datos. La primera cuenta comprometida en este ataque pertenecía a un miembro del equipo de TI. Todos los datos habían sido borrados y esto significaba que se perdió información valiosa, como detalles de la violación original, que podría haber sido utilizada para análisis e investigaciones forenses. Cuanta más información se mantenga intacta, más fácil será ver lo que sucedió y asegurarse de que no vuelva a suceder.

Recomendaciones

Sophos recomienda las siguientes prácticas para ayudar a defenderse contra REvil y otras familias de ransomware y ciberataques relacionados:

  1. Supervisa y responde a las alertas: asegúrate de que las herramientas, los procesos y los recursos (personas) adecuados están disponibles para supervisar, investigar y responder a las amenazas observadas en el entorno. Los atacantes de ransomware a menudo programan su ataque durante las horas de menor actividad, los fines de semana o durante las vacaciones, asumiendo que poco o ningún personal está mirando.
  2. Establece y aplica contraseñas seguras: las contraseñas seguras sirven como una de las primeras líneas de defensa. Las contraseñas deben ser únicas y robustas y nunca deben reutilizarse. Esto es más fácil de hacer si se le proporciona al personal un administrador de contraseñas que pueda almacenar sus credenciales.
  3. Autenticación multifactor (MFA): incluso las contraseñas seguras pueden verse comprometidas. Cualquier forma de autenticación multifactor es mejor que ninguna para asegurar el acceso a recursos críticos como correo electrónico, herramientas de administración remota y activos de red.
  4. Bloquea los servicios accesibles: realiza escaneos de la red de tu organización desde el exterior e identifica y bloquea los puertos comúnmente utilizados por VNC, RDP u otras herramientas de acceso remoto. Si una máquina necesita ser accesible mediante una herramienta de administración remota, coloca esa herramienta detrás de una VPN o una solución de acceso a la red de confianza cero que use MFA como parte de su inicio de sesión.
  5. Segmentación y confianza cero: separa los servidores críticos entre sí y de las estaciones de trabajo colocándolos en VLAN independientes mientras trabajas hacia un modelo de red de confianza cero.
  6. Realiza copias de seguridad offline de la información y las aplicaciones, mantenlas actualizadas y guarda una copia offline.
  7. Haz un inventario de tus activos y cuentas: los dispositivos sin protección y sin parches en la red aumentan el riesgo y crean una situación en la que las actividades maliciosas podrían pasar desapercibidas. Es vital tener un inventario actualizado de todos los ordenadores y dispositivos IoT conectados. Utiliza exploraciones de red y comprobaciones físicas para localizarlos y catalogarlos
  8. Instala protección en capas para bloquear a los atacantes en tantos puntos como sea posible y extiende esa seguridad a todos los puntos finales que permitas en tu red
  9. Configuración del producto: los sistemas y dispositivos subprotegidos también son vulnerables. Es importante que te asegures de que las soluciones de seguridad estén configuradas correctamente y que lo verifiques y, cuando sea necesario, actualices las políticas de seguridad con regularidad. Las nuevas funciones de seguridad no siempre se habilitan automáticamente
  10. Active Directory (AD): realiza auditorías periódicas en todas las cuentas de AD, asegurándote de que ninguna tenga más acceso del necesario para su propósito. Deshabilita las cuentas para los empleados que se van tan pronto como dejen la empresa
  11. Parchea todo: mantén Windows y otros programas actualizados. Esto también significa verificar dos veces que los parches se hayan instalado correctamente y, en particular, que estén en su lugar para sistemas críticos como máquinas conectadas a Internet o controladores de dominio.

Consejos adicionales para el liderazgo en seguridad

  1. Comprender las tácticas, técnicas y procedimientos (TTP) que los atacantes pueden utilizar y cómo detectar las primeras señales de advertencia de un ataque inminente.
  2. Tener un plan de respuesta a incidentes que se revisa y actualiza continuamente para reflejar los cambios en tu entorno de TI y operaciones comerciales y cómo afectan tu postura de seguridad y nivel de riesgo.
  3. Recurre a la ayuda externa si no tienes los recursos o la experiencia interna para monitorear la actividad en la red o responder a un incidente. El ransomware a menudo se desencadena al final del ataque, por lo que necesitas tecnología dedicada contra el ransomware y la búsqueda de amenazas dirigida por humanos para detectar las tácticas, técnicas y procedimientos reveladores que indican que un atacante está en el entorno o intenta entrar en él.
  4. Si te atacan, hay expertos en respuesta a incidentes disponibles las 24 horas, los 7 días de la semana, a los que puedes llamar para contener y neutralizar el ataque.

Puedes encontrar información técnica sobre las tácticas, técnicas y procedimientos (TTP) utilizados en este y otros ataques de REvil en los siguientes artículos complementarios, What to Expect When You’ve Been Hit with REvil Ransomware, y Relentless REvil, Revealed: RaaS as Variable as the Criminals Who Use It.

1 Comentario

Leave a Reply

Your email address will not be published.