Productos y Servicios PRODUCTOS Y SERVICIOS

Retrospectiva nº 7: Prepárate para lo peor

Este artículo forma parte de una serie que pretende mostrar a los profesionales de la ciberseguridad las lecciones aprendidas por las víctimas de ciberataques. Cada lección incluirá recomendaciones sencillas, muchas de las cuales no requieren que las organizaciones adquieran ninguna herramienta.

Nuestras retrospectivas anteriores se han centrado en el lado de la prevención, de aprender de otras víctimas. Este artículo tiene como objetivo ayudar a saber qué hacer si eres la desafortunada víctima de un ataque. Nos centraremos en cómo minimizar el daño y maximizar el aprendizaje de tus propias experiencias. Aunque nos centraremos en el ransomware, muchas de las recomendaciones se aplican a otros tipos de ataques, como los mineros de criptomonedas y el espionaje industrial.

Tener un plan

Un plan de respuesta a incidentes (IR) es una excelente manera de trazar las acciones a tomar en caso de un ataque. ¿Es grave el incidente? ¿Dónde están los sistemas críticos y cómo aislarlos? ¿Cómo comunicarse y con quién? ¿A quién contactar y qué acciones tomar? ¿Y las copias de seguridad? Mantén tu plan de IR simple y de alto nivel para que sea fácil de seguir en una situación de brecha de alta presión y concéntrate en confiar en que el equipo piense por sí mismo. El Manual del administrador de incidentes de SANS tiene una excelente sección sobre preparación, al igual que la propia Guía de respuesta a incidentes de Sophos.

Primero obtén ayuda

Antes incluso de comenzar a crear imágenes de las máquinas o negociar un rescate, asume el problema y busca ayuda. La respuesta a incidentes (IR) requiere un conjunto de habilidades especializadas y, la mayoría de las organizaciones, no disponen del personal de respuesta a incidentes para un evento que esperan que nunca suceda.

Planifica con anticipación y ten a mano los datos de contacto de un par de empresas de IR. Digo un par porque la industria de IR puede alcanzar su capacidad muy rápidamente si hay ataques frecuentes o a gran escala. Si el ataque es contra servidores y endpoints, como un incidente de ransomware, sugerimos que primero te pongas en contacto con tu proveedor de seguridad de endpoint por si proporciona un servicio de IR. Es probable que tengan telemetría de tu entorno y acceso a herramientas preinstaladas como EDR/XDR, lo que les permite actuar rápidamente. Puedes pensar que el proveedor te ha defraudado, pero, en realidad, la gran mayoría de las infracciones se deben a fallos de personas o procesos y no a la tecnología.

Otros puntos a considerar:

  • Involucra a las fuerzas del orden locales: es probable que se haya cometido un delito y es posible que tengan recursos que pueden ayudar
  • Ponte en contacto con tu proveedor de ciberseguros, si tienes uno y avísale del incidente.
  • Si trabajas con un proveedor de tecnología o un integrador de sistemas, es posible que puedan brindar asistencia “inicial” con la recuperación, como restaurar copias de seguridad.

Aislar y contener

Aquí no hay recomendaciones estrictas que no sean aislar y contener lo mejor que puedas. Esto puede incluir apagar los equipos, desconectar internet y desconectar los cables de red, usar aislamiento basado en software, aplicar reglas de firewall de negación total y apagar sistemas críticos. Si todavía tienes un controlador de dominio funcional, intenta mantenerlo así apagándolo y/o desconectándolo de la red. Si tienes copias de seguridad, asegúrate de que estén aisladas y fuera de la red. Cualquier contraseña que sospeches que puede estar comprometida debe cambiarse y restablecerse.

Los servicios de respuesta a incidentes se brindan en gran medida a través de Internet, por lo que debes buscar cómo volver a poner en línea los sistemas. Para cuando veas evidencia de ransomware, el ataque generalmente se encuentra en sus etapas finales, sin embargo, es importante eliminar a los ciberdelincuentes antes de que comience el trabajo de restauración, para que no vuelvan a atacar.

No pagues el rescate

Si bien puede parecer la salida más fácil, pagar el rescate envalentona aún más a los delincuentes. Atrás quedaron los días en que el rescate era de 500 dólares para desbloquear una máquina: el informe de Sophos El estado del Ransomware 2021 revela que el rescate promedio pagado el año pasado por las organizaciones medianas fue de 170.404 dólares. Los ciberdelincuentes buscan datos críticos, a menudo los exfiltran a la web oscura para su venta, eliminan las copias de seguridad y luego cifran los datos. Lo que se olvidan de decir al emitir su solicitud de rescate es que es muy poco probable que recuperes todos los datos; de hecho, nuestra encuesta reveló que solo el 65% de los datos cifrados se restauraron después de que se pagara el rescate, dejando más de un tercio inaccesible.

El ransomware, como cualquier software, tiene errores y vulnerabilidades, y los operadores humanos detrás de él también pueden tener días malos. Si bien en ocasiones esto puede jugar a tu favor, en general agrava aún más el desafío de descifrar los datos. Es más, las bandas de ransomware pueden desaparecer de la noche a la mañana, solo para reaparecer con una nueva marca si las cosas les salen mal y dejarte sin acceso a una clave de descifrado.

Ten en cuenta que las leyes sobre realizar pagos de rescate varía en todo el mundo. Sería conveniente que te mantuvieras actualizado sobre las limitaciones o restricciones en el país (o países) en los que opera tu organización.

Conservar las pruebas

Con demasiada frecuencia, vemos que las víctimas de un ataque se apresuran a restaurar los servicios lo más rápido posible y, en el proceso, pierden gran parte de la información que ayudaría a determinar la causa raíz y comprender el alcance de la infracción. Un gran ejemplo es una nota de rescate. Incluso si no tienes la intención de pagar o contactar al adversario, la nota en sí es interesante desde el punto de vista forense. La nota puede decir a un equipo de respuesta a incidentes a quién se enfrentan y las tácticas comunes utilizadas por ese grupo. Incluso podría revelar una variedad completamente nueva de ransomware y las tácticas, técnicas y procedimientos utilizados (TTP) por el grupo adversario.

Recientemente vimos la nota de Lockfile por primera vez y observamos cómo imitaba a Lockbit 2.0 pero usaba una estrategia de implementación mucho más agresiva. Esto significaba que podíamos aplicar los valiosos aprendizajes de nuestras experiencias con Lockbit 2.0 a cada ataque posterior de Lockfile, especialmente en torno a la identificación temprana de indicadores de incumplimiento (IoB). Guarda la nota de rescate: generalmente son documentos simples de texto o HTML que se pueden almacenar fácilmente en otro lugar.

Otro elemento interesante que se debe conservar para el análisis es a menudo la propia muestra de ransomware o malware. El estándar de la industria es que se agreguen a un archivo de almacenamiento con la contraseña “virus” o “infectado” y se almacenen en un lugar seguro. El .zip protegido con contraseña generalmente se puede pasar de manera segura a los analistas si es necesario. El malware se puede revertir para descubrir su modus operandi, lo que ayuda a determinar dónde buscar daños.

Si es posible, conserva también las imágenes del sistema y de la máquina virtual. Para obtener puntos extra, toda la evidencia forense debe almacenarse utilizando cifrado y el SHA256 guardado en el momento de la recolección, en caso de que se deba usar en los tribunales y debas demostrar que no ha sido manipulado. Aunque es poco común, esto puede ser necesario si las reclamaciones de seguros terminan en los tribunales o si necesitas demostrarle a un organismo gubernamental que no has infringido las leyes de divulgación.

Atribución y retribución

En muchos casos, hay varios grupos detrás de un ataque de ransomware. El grupo uno podría obtener el acceso inicial. Venden el acceso al grupo dos. El grupo dos usa ransomware como servicio del grupo tres para llevar a cabo el ataque. Los diferentes grupos y miembros del grupo a menudo se encuentran distribuidos en muchos países. Atribuir la brecha a un solo grupo es difícil y no ayudará mucho durante el caos después de una brecha. Por lo general, la información de la nota de rescate y los puntos en común en tácticas, técnicas y procedimientos (TTP) permitirán a un equipo de respuesta a incidentes con experiencia saber a qué y a quién se enfrentan muy rápidamente.

Se desaconseja encarecidamente intentar represalias como “Hack Back”. Probablemente sea ilegal para empezar y puede empeorar la situación.

El papel del ciberseguro

Si experimentas un ciberataque que está cubierto por un ciberseguro, un experto de la compañía de seguros dirigirá primero la contratación de un asesor legal externo para organizar los recursos internos y externos y coordinar las actividades a través de la resolución del incidente. Para un ataque de ransomware, estas actividades de servicio generalmente incluyen:

  • Establecer roles y responsabilidades, identificar la escala del impacto, establecer preferencias de comunicación
  • Investigar y analizar amenazas activas, detener daños, identificar indicadores de compromiso (IoC)
  • Si es necesario, designar a un especialista para asesorar sobre el manejo y negociación de la demanda de rescate.
  • Si es necesario, designar a un especialista para que asesore sobre la naturaleza del acceso, exfiltración y recuperación de datos. Identificar la forma más económica de restaurar los datos (pago de rescate, descifrado, copias de seguridad, etc.)
  • Implementar acciones preventivas, eliminar el acceso de los atacantes, establecer un cronograma de incidentes
  • Recopilar un informe final que indique el estado del entorno, el análisis de la causa raíz, la naturaleza del ataque y las tácticas, técnicas y procedimientos de los ciberdelincuentes identificados.

Si bien la mayoría de las compañías de seguros tienen un “panel de proveedores” con productos/servicios para cada una de las actividades mencionadas anteriormente, al contratar una póliza de seguro, vale la pena discutir por adelantado qué actividades y los proveedores correspondientes que estarán cubiertos si se experimenta un ciberataque importante. La mayoría de las pólizas de ciberseguros respaldarán el uso de proveedores preexistentes, pero es mejor garantizar la compatibilidad desde el principio. El cambio de agentes de protección durante un incidente crea riesgos de seguridad y de trabajo adicionales; a menudo, la solución existente evita que el ataque se intensifique y no debe eliminarse.

Comunicación

La comunicación se ve obstaculizada por una infracción. Los sistemas de correo electrónico pueden estar fuera de línea, las copias electrónicas de la póliza de seguro y el plan de IR cifrados, y el ciberdelincuente puede estar monitoreando las comunicaciones. Prepárate para esto y ten un método de comunicación alternativo, como una aplicación de mensajería instantánea, para que puedas comunicarte por un canal separado con tu equipo y todos los demás involucrados. Los detalles del seguro, el plan de IR y los contactos de la firma de IR deben ser guardados en forma física.

Práctica

Los ejercicios de mesa son una excelente manera de practicar en caso de violación de datos o evento de ransomware. Para agregar realismo, hazlo a las 2 am en un fin de semana largo y evita el uso del sistema de correo electrónico corporativo.

Recursos adicionales

Los artículos a continuación explican qué esperar cuando te encuentras con algunas de las familias más comunes de ransomware. Son una gran herramienta de aprendizaje, sin tener que experimentar el dolor de primera mano.

  • What to expect when you’ve been hit with REvil ransomware
  • What to expect when you’ve been hit with Avaddon ransomware
  • What to expect when you’ve been hit with Conti ransomware