La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA), que se autodenomina la “Agencia de Ciberdefensa de EE.UU.”, acaba de publicar un anuncio de servicio público bajo su lema #StopRansomware.
Este informe lleva el número AA23-061a, y si crees que el ransomware es la amenaza de ayer, o que otros ciberataques específicos deberían encabezar la lista en 2023, merece la pena leerlo.
Los riesgos a los que te expones al apartar la vista de la amenaza del ransomware en 2023 para centrarte en el siguiente tema que vuelve a estar de moda pese a ser ya conocido (¿ChatGPT? ¿Criptojacking? ¿Locklogging? ¿Robo de código fuente? ¿Fraude 2FA?) son similares a los riesgos a los que te habrías enfrentado si hubieras empezado a centrarte exclusivamente en el ransomware hace unos años, cuando era la nueva amenaza del momento.
En primer lugar, a menudo te darás cuenta que cuando una ciberamenaza parece estar disminuyendo, la verdadera razón es que otras amenazas están aumentando en términos relativos, en lugar de que la que crees que ya no existe esté desapareciendo en términos absolutos.
De hecho, el aparente aumento de la ciberdelincuencia X que va acompañado de un aparente descenso de Y podría deberse simplemente a que cada vez más ciberdelincuentes que antes estaban especializados en Y ahora se dedican a X además de a Y, en lugar de solo a Y.
En segundo lugar, incluso cuando un ciberdelito concreto muestra un descenso absoluto en su prevalencia, casi siempre descubrirás que sigue habiendo muchos, y que el peligro no disminuye si te atacan.
Como nos gusta decir: “Los que no pueden recordar el pasado están condenados a repetirlo”.
Royal
El aviso AA23-061a se centra en una familia de ransomware conocida como Royal, pero los puntos clave del aviso del CISA son los siguientes:
- Estos ciberdelincuentes utilizanmétodos probados y fiables. Entre ellos se incluyen el phishing (2/3 de los ataques), la búsqueda de servidores RDP mal configurados (1/6 de ellos), la búsqueda de servicios en línea sin parches en la red, o simplemente comprando credenciales de acceso a delincuentes que entraron antes que ellos. Los ciberdelincuentes que se ganan la vida vendiendo credenciales, normalmente a ladrones de datos y bandas de ransomware, se conocen en la jerga como IAB, abreviatura del término autodescriptivo initial access brokers.
- Una vez dentro, los delincuentes intentan evitar programas que puedan aparecer obviamente como malware. Buscan herramientas de administración ya existentes, o traen las suyas propias, sabiendo que es más fácil evitar sospechas si te vistes, hablas y actúas como un lugareño, o como se dice en la jerga: live off the land. Las herramientas legítimas de las que abusan los atacantes incluyen utilidades usadas a menudo para el acceso remoto legítimo, para ejecutar comandos administrativos a distancia y para las tareas típicas de un administrador de sistemas. Algunos ejemplos son: PsExec de Microsoft Sysinternals; la herramienta de acceso remoto AnyDesk; y Microsoft PowerShell, que viene preinstalada en todos los ordenadores Windows.
- Antes de cifrar los archivos, los atacantes intentan complicar la recuperación de archivos. Como probablemente esperas, eliminan las instantáneas de volumen (instantáneas “rollback” vivas de Windows). También añaden sus propias cuentas de administrador no oficiales para poder volver a entrar si les echas, modifican la configuración de tu software de seguridad para silenciar las alarmas, toman el control de archivos que de otro modo no podrían descifrar y desordenan los registros de tu sistema para que luego sea difícil averiguar qué han cambiado.
Para que quede claro, tienes que mejorar la defensa contra todas estas TTP (herramientas, técnicas y procedimientos), independientemente de que una oleada concreta de atacantes pretenda chantajearte como parte de su juego final.
Dicho esto, por supuesto, parece que esta banda Royal está muy interesada en la técnica identificada por el marco MITRE ATT&CK del gobierno de EE.UU. con la etiqueta T1486, que lleva el inquietante nombre de Cifrados de datos por impacto.
En pocas palabras, T1486 generalmente denota atacantes que planean extorsionarte a cambio de descifrar tus preciados archivos, y que pretenden exprimirte más que nunca creando el mayor trastorno posible, y por tanto dándose a sí mismos la mayor ventaja de chantaje que puedan.
De hecho, el boletín AA23-061a advierte de que:
Los [delincuentes del ransomware] Royal han pedido rescates que oscilan entre aproximadamente 1 millón y 11 millones de USD en bitcoins.
Y, para que quede claro, normalmente roban (o, más exactamente, hacen copias no autorizadas de) tantos datos como pueden antes de congelar tus archivos, para ejercer aún más presión extorsionadora:
Tras acceder a las redes de las víctimas, los Royal desactivan el software antivirus y exfiltran grandes cantidades de datos antes de desplegar finalmente el ransomware y cifrar los sistemas.
¿Qué hacer?
Los delincuentes como la banda Royal se conocen en la jerga como adversarios activos, porque no se limitan a disparar malware y ver si cuela.
Utilizan herramientas preprogramadas y scripts siempre que pueden (a los delincuentes les gusta la automatización tanto como a cualquiera), pero prestan atención individual a cada ataque.
Esto les hace no sólo más adaptables (cambiarán sus TTP en un momento si descubren una forma mejor de causar daño), sino también más sigilosos (adaptarán sus TTP en tiempo real a medida que descubran tu libro de jugadas defensivo).
- Obtén más información leyendo nuestro Active Adversary Playbook, un fascinante estudio de 144 ataques reales realizado por el CTO de Sophos, John Shier.
- Obtén más información sobre Sophos Managed Detection and Response, donde nos unimos a tu equipo para ayudarte a luchar, porque hoy en día no tienes tiempo de hacerlo todo tú solo.