Tropiezos del ransomware: los ciberdelincuentes también se equivocan

Incluso los ataques de ransomware más cuidadosamente planificados no siempre salen según lo planeado.

Tomemos, por ejemplo, un ataque avanzado de ransomware dirigido por humanos en el que los intrusos suelen estar en la red durante días, si no semanas, antes de liberar la carga útil del ransomware. Durante este tiempo, entre otras cosas, se mueven a través de la red, comprometen activos, instalan nuevas herramientas, eliminan copias de seguridad y borran datos. En cualquier momento, los defensores podrían detectar y bloquear el ataque.

Esto puede ejercer presión sobre los atacantes. Es posible que tengan que cambiar de táctica a mitad de la implementación o relanzar el ransomware en un segundo intento, si el primero falla. La presión puede provocar descuidos o errores.

“Los ciberdelincuentes pueden parecer temibles para los defensores que se enfrentan al impacto directo de un ataque”, dijo Peter Mackenzie, Director de Sophos Rapid Response. “Los atacantes de ransomware no dudan en explotar esto, con comportamientos amenazantes y agresivos y demandas de rescate. Pero es útil recordar que los adversarios también son humanos y tan capaces de cometer errores como todos los demás”.

Estos son los cinco principales tropiezos de los ciberdelincuentes que los equipos de respuesta a incidentes de Sophos Rapid Response detectaron recientemente:

1. Los atacantes de ransomware Avaddon cuya víctima pidió que filtraran sus datos robados porque tenían problemas para restaurar algunos de los archivos. Los atacantes continuaron realizando la amenaza estándar de publicar los datos si la víctima no cooperaba. La víctima no lo hizo, los atacantes filtraron los datos y, como resultado, la víctima recuperó la información que buscaba.
2. Los atacantes del ransomware Maze que exfiltraron una serie de archivos de las víctimas solo para descubrir que eran ilegibles porque habían sido cifrados por el ransomware DoppelPaymer una semana antes.
3. Los atacantes del ransomware Conti que cifraron su propia puerta trasera recién instalada. Los atacantes habían instalado AnyDesk en una máquina infectada para proporcionar acceso remoto y luego lanzaron un ransomware que cifraba todo en la máquina, incluido AnyDesk.
4. Los atacantes del ransomware Mount Locker que no podían entender por qué una víctima se negó a pagar después de que filtraron una muestra de su información, sin darse cuenta de que habían publicado información que pertenecía a otra empresa.
5. Los atacantes que dejaron los archivos de configuración del servidor FTP que estaban usando para la exfiltración de datos, permitiendo que la víctima inicie sesión y elimine todos los datos robados.

“Los tropiezos que detectamos son evidencia de lo saturado y mercantilizado que se ha vuelto el panorama del ransomware”, dijo Mackenzie. “Como resultado de estas tendencias, puedes encontrar varios atacantes centrados en la misma víctima potencial. Si añades la presión defensiva del software de seguridad y el personal de respuesta a incidentes, es comprensible que los adversarios cometan errores.

“Todo lo que un atacante necesita para armar e implementar un ataque de ransomware probablemente esté disponible como un servicio pago en algún lugar de la web oscura, desde Initial Access Brokers que venden acceso a objetivos verificados hasta ofertas de Ransomware-as-a-Service (RaaS) que alquilan ejecutables e infraestructura de ransomware. Incluso las familias de ransomware de alto perfil que buscan ganar millones de dólares en pagos de rescate utilizan agentes de acceso para el acceso de las víctimas. Y el acceso a los objetivos más valiosos o aquellas organizaciones que han demostrado estar dispuestas a pagar el rescate, bien puede revenderse varias veces, lo que lleva a que múltiples actores de amenazas intenten atacar la misma red.

“También hay una tendencia a que aparezcan familias de ransomware y luego desaparezcan. Solo en 2021, supuestamente hemos perdido REvil y Avaddon, entre otros, y los operadores detrás de ellos probablemente se unan a otros grupos o creen una nueva ‘marca’, posiblemente llevándose su colección de técnicas con ellos”.

Cómo podemos defendernos

Saber que los ciberdelincuentes cometen errores no significa que los defensores deban relajar las mejores prácticas. De alguna manera, la ciberseguridad es aún más crítica porque ciertos errores pueden aumentar el riesgo, por ejemplo, una codificación deficiente de cifrado puede llevar a que las claves de descifrado no funcionen.

A continuación, se muestran los pasos proactivos que se deben tomar para mejorar la seguridad de TI:

• Supervisar la seguridad de la red las 24 horas del día, los 7 días de la semana y ser conscientes de los cinco indicadores tempranos de la presencia de un atacante para detener los ataques de ransomware antes de que se inicien
• Cerrar el protocolo de escritorio remoto (RDP) orientado a Internet para bloquear el acceso de los ciberdelincuentes a las redes. Si los usuarios necesitan acceso a RDP, se debe colocar detrás de una conexión de acceso de red VPN o de confianza cero y aplicar el uso de la autenticación multifactor (MFA)
• Formar a los empleados sobre qué buscar en términos de phishing y spam malicioso e introducir políticas de seguridad sólidas.
• Mantener copias de seguridad periódicas de los datos más importantes en un dispositivo de almacenamiento offline. La recomendación estándar para las copias de seguridad es seguir el método 3-2-1: 3 copias de los datos, usando 2 sistemas diferentes, 1 de los cuales debe estar offline, y probar que la restauración funciona correctamente
• Evitar que los atacantes accedan a la seguridad y la deshabiliten: elegir una solución con una consola de administración alojada en la nube con autenticación multifactor habilitada y administración basada en roles para limitar los derechos de acceso
• Recuerda, no existe una fórmula mágica única para la protección. Un modelo de seguridad de defensa en capas es esencial: extiéndelo a todos los endpoints y servidores y asegúrate de que puedan compartir datos relacionados con la seguridad.
• Dispón de un plan de respuesta a incidentes eficaz y actualízalo según sea necesario. Recurrir a expertos externos para monitorear amenazas o responder a incidentes de emergencia para obtener ayuda adicional, si es necesario.

Más información sobre comportamientos de atacantes, informes de incidentes del mundo real y consejos para profesionales de operaciones de seguridad está disponible en Sophos News SecOps.

Las tácticas, técnicas y procedimientos (TTP), y más, para diferentes tipos de ransomware, están disponibles en SophosLab Uncut, donde puedes encontrar la inteligencia de amenazas más reciente de Sophos.