Recientemente, Sophos X-Ops ha publicado un artículo muy interesante en el que se conectan los puntos de la actividad de algunos grupos de ransomware: un método de deducción derivado de un proceso que utilizamos para recopilar y correlacionar inteligencia sobre amenazas, llamado Clusters de Actividad de Amenazas (Threat Activity Clusters o TAC). Los TAC no son exactamente atribución, pero son útiles para la detección práctica de amenazas y para hacer las dos cosas más importantes que puedes hacer para derrotar los ciberataques modernos: reducir tanto el tiempo de detección (TTD) como el tiempo de respuesta (TTR).
La atribución suele ser innecesaria fuera de un contexto de aplicación de la ley, y es muy difícil de hacer con un alto grado de confianza, a menos que el actor de la amenaza cometa un error (o a menos que dispongas de otros medios para recabar información sobre la situación, como hacen los gobiernos). Lo que realmente necesitan los defensores es poder reconocer rápidamente patrones (clusters) de comportamientos de los atacantes, lo que a su vez agiliza la capacidad de desalojar a los adversarios de las redes.
Otra ventaja es que puede permitirnos identificar más fácilmente investigaciones ajenas a Sophos que también coincidan con el patrón, lo que nos permite añadir más detalles a una “coincidencia difusa” de actividades de amenaza. Después de descubrir los cuatro casos iniciales de los que hablamos en nuestro post, pudimos aprender de la información descubierta y publicada por Kroll sobre los casos adicionales de Cactus que coincidían con nuestro cluster.
Una de las ventajas de prestar servicios MDR (Detección y Respuesta Gestionadas) a más de 17.000 organizaciones es que llegamos a ver repetidamente a los mismos atacantes. Esto nos permite detectar patrones más rápidamente y ver a través de gran parte de la cortina de humo dejada por la denominación de diferentes cepas de ransomware y apodos delictivos. Desde que se generalizó la adopción del ransomware como servicio (RaaS), a menudo es un afiliado concreto lo que nos interesa conocer, más que la marca que ponen en sus notas de rescate.
Los viejos hábitos no mueren
Los grupos de ransomware van y vienen, pero el delito en sí está aquí para quedarse. Es importante celebrar nuestras victorias cuando grupos como Conti se autodestruyen o cuando el Departamento de Justicia de EEUU desmantela la infraestructura de un grupo como Hive, pero al final eso es todo lo que realmente es… un trastorno para los adversarios, un momento de celebración para nosotros. Los agentes sobre el terreno que irrumpieron en las redes de los grupos desarticulados en todo el mundo simplemente se reforman, se vuelven a unir y pasan a otros objetivos.
¿Qué nos queda? Bueno, sabemos mucho sobre los patrones de actividad que utilizan estos grupos de atacantes, y es poco probable que se molesten en reinventar la rueda. En este caso pudimos vincular cuatro “marcas” de ransomware diferentes a un conjunto de ataques en los que las tácticas utilizadas están demasiado relacionadas para ser una coincidencia.
Ninguna de estas técnicas individualmente llama mucho la atención, pero si tenemos en cuenta los pequeños detalles y el orden en que se llevan a cabo, acabamos teniendo el equivalente a huellas dactilares parciales. Quizá no las suficientes para condenar en un tribunal, pero sí para tener una idea bastante clara de quiénes son las pruebas que estamos reuniendo y cómo detectar su obra. Si funciona con los asesinos en serie, ¿por qué no con los encriptadores en serie?
Acortar la ventana
Una vez identificado un TAC, esto nos ayuda en nuestros dos objetivos principales como defensores: reducir nuestro TTD y TTR. Una mezcla aleatoria de técnicas puede alertar a un proveedor de MDR o a un SOC (Centro de Operaciones de Seguridad) de que algo va mal, pero nuestro cerebro humano tiene una capacidad extraordinaria para echar un vistazo a una colección de indicadores de compromiso (IoC), reconocer rápidamente un patrón y saltar instintivamente a la acción. Estas capacidades nos ayudan a reconocer lo que podrían ser herramientas de administración en su mayoría inofensivas como el arma que cada vez más resultan ser, y a saber que algo va mal. Una vez que sabemos que tenemos un problema, podemos deducir qué es probable que ocurra a continuación, acortando la ventana de compromiso y riesgo.
No solo utilizamos los TAC para proteger mejor a los clientes de Sophos MDR, sino que también compartimos estos IoC con la comunidad para ayudar a informar a todos y permitir respuestas más rápidas para cualquiera que consuma nuestros datos compartidos. A medida que los delincuentes se han ido especializando para perfeccionar sus habilidades para estafar, explotar y sacar provecho de sus fechorías, debemos unirnos para reconocer mejor su obra y desalojarlos de nuestros sistemas lo antes posible.
No dejes que lo perfecto sea enemigo de lo bueno
Con demasiada frecuencia, en el negocio de la ciberseguridad no siempre hacemos caso del acertado consejo de Voltaire de no dejar que nuestro deseo de perfección nos disuada de simplemente acercarnos lo suficiente. En el fondo, todos queremos atrapar a los criminales que están detrás de todo esto; queremos verles pasar algún tiempo en la cárcel, que se haga justicia. Sin embargo, ¿hay realmente algún consuelo en saber qué norcoreanos robaron tu criptomoneda, o qué Vladimir cifró tus archivos?
Debemos recordar que no debemos confundir lo que es verdaderamente útil para nuestras propias defensas y las colectivas y lo que es simplemente satisfactorio desde el punto de vista emocional. Si trabajamos juntos para hacer lo útil, quizá tengamos la suerte de conseguir ambas cosas.
Dejar un comentario