Las fugas de datos son un punto delicado para los servicios de seguridad. Y ahora que la mayoría de la gente trabaja desde casa, el peligro de fugas es mucho mayor. Por este motivo, conocidos grupos de ciberdelincuentes prestan cada vez más atención a protocolos de acceso remoto obsoletos e insuficientemente seguros. Y, curiosamente, cada vez hay más filtraciones de datos asociadas con ransomware. Cómo, por qué y de qué manera: lea debajo del corte.
Empecemos por el hecho de que el desarrollo y distribución de ransomware es en sí mismo un negocio criminal muy rentable. Por ejemplo, según el FBI estadounidense, Durante el año pasado, ganó aproximadamente $1 millón por mes. Y los atacantes que utilizaron Ryuk recibieron aún más: al comienzo de las actividades del grupo, sus ingresos ascendían a 3 millones de dólares al mes. Por lo tanto, no sorprende que muchos directores de seguridad de la información (CISO) incluyan el ransomware como uno de sus cinco principales riesgos comerciales.
El Centro de Operaciones de Protección Cibernética (CPOC) de Acronis, ubicado en Singapur, confirma un aumento de los delitos cibernéticos en el área del Ransomware. En la segunda quincena de mayo, se bloqueó en todo el mundo un 20% más de ransomware de lo habitual. Después de un ligero descenso, ahora en junio volvemos a ver un aumento de la actividad. Y hay varias razones para ello.
Acceder al ordenador de la víctima
Las tecnologías de seguridad están evolucionando y los atacantes tienen que cambiar un poco sus tácticas para poder ingresar a un sistema específico. Los ataques de ransomware dirigidos continúan propagándose a través de correos electrónicos de phishing bien diseñados (incluida la ingeniería social). Sin embargo, últimamente los desarrolladores de malware han prestado mucha atención a los trabajadores remotos. Para atacarlos, puedes encontrar servicios de acceso remoto mal protegidos, como RDP, o servidores VPN con vulnerabilidades.
Esto es lo que ellos hacen. Incluso existen servicios de ransomware como servicio en la red oscura que brindan todo lo necesario para atacar a una organización o persona elegida.
Los atacantes buscan cualquier forma de penetrar una red corporativa y ampliar su espectro de ataques. Por ello, los intentos de infectar las redes de los proveedores de servicios se han convertido en una tendencia popular. Dado que los servicios en la nube están ganando popularidad hoy en día, la infección de un servicio popular permite atacar a decenas o incluso cientos de víctimas a la vez.
Si la gestión de seguridad basada en web o las consolas de respaldo se ven comprometidas, los atacantes pueden desactivar la protección, eliminar las copias de seguridad y permitir que su malware se propague por toda la organización. Por cierto, es por eso que los expertos recomiendan proteger cuidadosamente todas las cuentas de servicio mediante la autenticación multifactor. Por ejemplo, todos los servicios en la nube de Acronis le permiten instalar una doble protección, porque si su contraseña se ve comprometida, los atacantes pueden anular todos los beneficios de utilizar un sistema integral de ciberprotección.
Ampliando el espectro de ataque
Cuando se logra el objetivo deseado y el malware ya se encuentra dentro de la red corporativa, se suelen utilizar tácticas bastante estándar para su posterior distribución. Los atacantes estudian la situación y se esfuerzan por superar las barreras que se han creado dentro de la empresa para contrarrestar las amenazas. Esta parte del ataque puede ocurrir manualmente (después de todo, si ya han caído en la red, ¡entonces el cebo está en el anzuelo!). Para ello, se utilizan herramientas conocidas, como PowerShell, WMI PsExec, así como el nuevo emulador Cobalt Strike y otras utilidades. Algunos grupos criminales atacan específicamente a los administradores de contraseñas para penetrar más profundamente en una red corporativa. Y recientemente se vio malware como Ragnar en una imagen completamente cerrada de la máquina virtual VirtualBox, lo que ayuda a ocultar la presencia de software extraño en la máquina.
Así, una vez que el malware ingresa a la red corporativa, intenta verificar el nivel de acceso del usuario y utilizar contraseñas robadas. Utilidades como Mimikatz y Bloodhound & Co. ayudar a hackear cuentas de administrador de dominio. Y sólo cuando el atacante considera agotadas las opciones de distribución, el ransomware se descarga directamente en los sistemas del cliente.
Ransomware como tapadera
Dada la gravedad de la amenaza de pérdida de datos, cada año más empresas implementan el llamado “plan de recuperación ante desastres”. Gracias a esto, no tienen que preocuparse demasiado por los datos cifrados y, en caso de un ataque de Ransomware, no comienzan a cobrar el rescate, sino que inician el proceso de recuperación. Pero los atacantes tampoco duermen. Bajo la apariencia de Ransomware, se produce un robo masivo de datos. Maze fue el primero en utilizar este tipo de tácticas en masa allá por 2019, aunque otros grupos combinaron periódicamente ataques. Actualmente, al menos Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO y Sekhmet se dedican al robo de datos junto con el cifrado.
A veces, los atacantes logran desviar decenas de terabytes de datos de una empresa, que podrían haber sido detectados por herramientas de monitoreo de red (si se hubieran instalado y configurado). Después de todo, la mayoría de las veces la transferencia de datos se realiza simplemente mediante scripts FTP, Putty, WinSCP o PowerShell. Para superar los sistemas DLP y de monitoreo de red, los datos se pueden cifrar o enviar como un archivo protegido con contraseña, un nuevo desafío para los equipos de seguridad que necesitan verificar el tráfico saliente en busca de dichos archivos.
El estudio del comportamiento de los ladrones de información muestra que los atacantes no recopilan todo: solo les interesan los informes financieros, las bases de datos de los clientes, los datos personales de los empleados y clientes, los contratos, los registros y los documentos legales. El malware escanea los discos en busca de información que, en teoría, podría utilizarse para chantajear.
Si un ataque de este tipo tiene éxito, los atacantes suelen publicar un pequeño adelanto que muestra varios documentos que confirman que se han filtrado datos de la organización. Y algunos grupos publican el conjunto completo de datos en su sitio web si el plazo para pagar el rescate ya ha expirado. Para evitar bloqueos y garantizar una amplia cobertura, los datos también se publican en la red TOR.
Otra forma de monetizar es vendiendo datos. Por ejemplo, Sodinokibi anunció recientemente subastas abiertas en las que los datos se entregan al mejor postor. El precio inicial para dichas operaciones es de 50 a 100 dólares, dependiendo de la calidad y el contenido de los datos. Por ejemplo, un conjunto de 10 registros de flujo de efectivo, datos comerciales confidenciales y licencias de conducir escaneadas se vendían por tan solo 000 dólares, y por 100 dólares se podían comprar más de 000 documentos financieros más tres bases de datos de archivos contables y datos de clientes.
Los sitios donde se publican las filtraciones varían ampliamente. Puede ser una página sencilla en la que simplemente se publica todo lo robado, pero también hay estructuras más complejas con secciones y posibilidad de compra. Pero lo principal es que todos tienen el mismo propósito: aumentar las posibilidades de que los atacantes obtengan dinero real. Si este modelo de negocio muestra buenos resultados para los atacantes, no hay duda de que habrá aún más sitios similares y se ampliarán aún más las técnicas para robar y monetizar datos corporativos.
Así lucen los sitios actuales que publican filtraciones de datos:
Qué hacer con nuevos ataques
El principal desafío para los equipos de seguridad en estas condiciones es que últimamente cada vez más incidentes relacionados con ransomware resultan ser simplemente una distracción del robo de datos. Los atacantes ya no dependen únicamente del cifrado del servidor. Por el contrario, el objetivo principal es organizar una filtración mientras luchas contra el ransomware.
Por lo tanto, utilizar únicamente un sistema de respaldo, incluso con un buen plan de recuperación, no es suficiente para contrarrestar amenazas de múltiples capas. No, por supuesto, tampoco puedes prescindir de las copias de seguridad, porque los atacantes seguramente intentarán cifrar algo y pedirán un rescate. La cuestión es más bien que ahora cada ataque que utiliza ransomware debe considerarse como motivo para un análisis exhaustivo del tráfico y el inicio de una investigación sobre un posible ataque. También deberías pensar en características de seguridad adicionales que podrían:
- Detecte ataques rápidamente y analice la actividad inusual de la red mediante IA
- Recupere instantáneamente sistemas de ataques de ransomware de día cero para que pueda monitorear la actividad de la red
- Bloquee la propagación de malware clásico y nuevos tipos de ataques en la red corporativa
- Analizar software y sistemas (incluido el acceso remoto) para detectar vulnerabilidades y exploits actuales.
- Prevenir la transferencia de información no identificada más allá del perímetro corporativo
Solo los usuarios registrados pueden participar en la encuesta. por favor
¿Alguna vez analizó la actividad en segundo plano durante un ataque de ransomware?
-
20,0%Sí1
-
80,0%No4
5 usuarios votaron. 2 usuarios se abstuvieron.
Fuente: habr.com