Aviso
Conjunto de Ciberseguridad identifica las tendencias recientes en la sofisticación del ransomware.
Julio de 2022 - Un
reciente Aviso Conjunto de Ciberseguridad fué emitido por
agencias clave en los Estados Unidos (CISA, FBI y la NSA), el Centro de
Ciberseguridad de Australia (ACSC) y el Centro Nacional de Seguridad
Cibernética del Reino Unido, que identifica las
tendencias recientes en la sofisticación del ransomware. El aviso
señaló que las tácticas y técnicas utilizadas por los actores de
amenazas, y la sofisticación general que exhiben, continúan
convirtiéndose en una amenaza cada vez mayor para las empresas y
el gobierno a nivel mundial. La alerta se basó en 14 incidentes
observados dirigidos a 16 sectores de infraestructura crítica dentro de
los Estados Unidos.
El aviso observó comportamientos y tendencias de los actores de amenazas en 2021 para incluir:
• Obtener
acceso a redes a través de phishing, credenciales de protocolos de
escritorio remoto (RDP) robadas o fuerza bruta, y explotar
vulnerabilidades. Los
correos electrónicos de phishing, la explotación de RDP y la
explotación de vulnerabilidades de software siguieron siendo los tres
principales vectores de infección inicial para incidentes de ransomware
en 2021. Una vez que un actor de amenazas de ransomware
obtiene la ejecución del código en un dispositivo o acceso a la red,
puede implementar el ransomware. Infoblox ha cubierto llas brechas RDP
durante nuestros informes de amenazas trimestrales.
• Uso de servicios de ciberdelincuentes por contrato. El
mercado del ransomware se volvió cada vez más "profesional" en 2021, y
el modelo comercial criminal
del ransomware ahora está bien establecido. Además de su mayor uso de
ransomware-as-a-service (RaaS), los actores de amenazas de ransomware
emplearon servicios independientes para negociar pagos, ayudar a las
víctimas a realizar pagos y arbitrar disputas de
pago entre ellos y otros ciberdelincuentes.
• Compartir información dela víctima.
Los grupos de ransomware euroasiáticos han compartido información de
víctimas entre sí, diversificando la amenaza a
las organizaciones objetivo. Por ejemplo, después de anunciar su
cierre, el grupo de ransomware BlackMatter transfirió a sus víctimas
existentes a la infraestructura propiedad de otro grupo, conocida como
Lockbit 2.0.
• Alejarse de organizaciones percibidas como de alto valor y moverse hacia víctimas medianas.
En la primera mitad de 2021, las autoridades de seguridad cibernética
en los Estados Unidos y Australia observaron a los actores de amenazas
de ransomware apuntando a organizaciones percibidas de alto valor y/o
aquellas que brindan servicios críticos en varios incidentes de alto
perfil. Esto cambió dentro de los Estados Unidos
a fines de 2021 después de la ruptura de varias redes importantes de
ransomware. Los actores de amenazas que apuntaban a empresas dentro de
los Estados Unidos parecían mover su energía más hacia las empresas
medianas. El ACSC observó que el ransomware continúa
apuntando a organizaciones australianas de todos los tamaños, incluidos
los servicios críticos y el "gran juego", a lo largo de 2021. De manera
similar, el NCSC-UK observó el ataque a organizaciones del Reino Unido
de todos los tamaños durante todo el año,
con algunas víctimas del "gran juego". En general, las víctimas
incluyeron empresas, organizaciones benéficas, la profesión legal y los
servicios públicos en los sectores de educación, gobierno local y
salud.
• Diversificar los enfoques para extorsionar dinero.
Después de cifrar las redes de las víctimas, los actores de amenazas de
ransomware utilizaron cada vez
más la "triple extorsión" al amenazar con (1) divulgar públicamente
información confidencial robada, (2) interrumpir el acceso a Internet de
la víctima y/o (3) informar a los socios, accionistas o proveedores de
la víctima sobre el incidente.
Además, el aviso señala que los grupos criminales de ransomware han aumentado su impacto por medio de:
• Orientarse a la nube.
Los desarrolladores de ransomware se dirigieron a las infraestructuras
de la nube para explotar las vulnerabilidades conocidas en
las aplicaciones de la nube, el software de máquinas virtuales y el
software de orquestación de máquinas virtuales. Los actores de amenazas
de ransomware también se dirigieron a las cuentas en la nube, las
interfaces de programación de aplicaciones (API) en
la nube y los sistemas de respaldo y almacenamiento de datos para negar
el acceso a los recursos de la nube y cifrar los datos.
• Orientarse a proveedores de servicios gestionados.
Los actores de amenazas de ransomware se han dirigido a los proveedores
de servicios administrados (MSP).
Los MSP tienen acceso generalizado y confiable a múltiples
organizaciones de clientes. Al comprometer un MSP, un actor de amenazas
de ransomware podría acceder a múltiples víctimas a través de un
compromiso inicial. Las autoridades de seguridad cibernética
en los Estados Unidos, Australia y el Reino Unido evalúan que habrá un
aumento en los incidentes de ransomware donde los actores de amenazas se
dirigen a los MSP para llegar a sus clientes.
• Atacar procesos industriales.
Aunque la mayoría de los incidentes de ransomware contra la
infraestructura crítica afectan los sistemas de tecnología e
información comercial, el FBI observó que varios grupos de ransomware
han desarrollado un código diseñado para detener la infraestructura
crítica o los procesos industriales.
• Atacar la cadena de suministro de software.
A nivel mundial, en 2021, los actores de amenazas de ransomware se
dirigieron a las entidades de la cadena
de suministro de software para posteriormente comprometer y extorsionar
a sus clientes. Dirigirse a las cadenas de suministro de software
permite a los actores de amenazas de ransomware aumentar la escala de
sus ataques al acceder a múltiples víctimas a través
de un solo indicador de compromiso.
• Dirigirse a organizaciones en días festivos y fines de semana.
El FBI y CISA observaron que los ciberdelincuentes realizaron ataques
cada vez más impactantes contra entidades de EE. UU. en días festivos y
fines de semana a lo largo de 2021. Los actores de amenazas de
ransomware pueden considerar los días festivos y los
fines de semana, cuando las oficinas normalmente están cerradas, como
períodos de tiempo atractivos, ya que hay menos defensores de la red y
personal de soporte de TI en organizaciones de víctimas. Para obtener
más información, consulte el Aviso de seguridad
cibernética conjunto FBI-CISA, Concientización sobre ransomware para
días festivos y fines de semana.
El
aviso cubre las mitigaciones recomendadas que pueden reducir la
probabilidad de un ataque exitoso y el impacto de cualquier incidente de
ransomware. Estos incluyen
mantener los sistemas operativos y el software actualizados con
actualizaciones y parches oportunos. También se mencionan precauciones
sobre el uso de RDP. Incluso hoy en día, muchas organizaciones tienen
servidores RDP en sus redes, quizás nunca utilizados,
¡con contraseñas predeterminadas! También se pone énfasis en la
capacitación de los usuarios para crear conciencia entre los usuarios
acerca de visitar sitios web potencialmente maliciosos, hacer clic en
enlaces sospechosos y abrir archivos adjuntos sospechosos.
Finalmente, las técnicas defensivas bien conocidas, como la
implementación de la segmentación de la red, el cifrado de extremo a
extremo y muchas más, se tratan ampliamente en el aviso.
El DNS es una parte fundamental de la defensa.
El
DNS casi siempre se encuentra en la cadena de eliminación de la mayoría
de los ataques cibernéticos, incluido el ransomware, y se puede usar
como un canal de
C&C, y para la descarga de malware y/o la filtración de datos. Sus
nubes, recursos en las instalaciones, entornos de TI/OT y trabajadores
remotos/roaming necesitan seguridad de DNS como una forma de monitorear y
protegerse contra ataques cibernéticos.
En
algunos casos, los atacantes pueden usar dominios maliciosos y
direcciones IP que ya podrían tener una reputación y pueden
identificarse mediante el uso de inteligencia
de amenazas en su infraestructura de DNS. Además, el comportamiento y
el contexto de las consultas de DNS pueden proporcionar los indicadores
esenciales que necesita para identificar y detener un ataque de día cero
y amenazas más avanzadas.
Es
importante recordar que las tecnologías y los controles de seguridad
estándar, como los firewalls, IPS y puertas de enlace de próxima
generación, no supervisan
el DNS para detectar comunicaciones maliciosas. Estos controles de
seguridad, si bien son muy importantes, a menudo no pueden detener
ataques específicos como la exfiltración de datos DNS. Peor aún, no
pueden detectar las amenazas sutiles de dominios recién
registrados y observados que podrían usarse para lanzar ataques. La
seguridad del DNS brinda visibilidad y protección contra tales amenazas,
lo que es especialmente importante en el entorno incierto de hoy en
día, donde hay un aumento en los ataques cibernéticos
asociados con los estados nacionales.
La
seguridad de DNS está diseñada para evitar la conexión de los usuarios a
destinos maliciosos y detectar comportamientos anómalos en las redes,
actividad de amenazas
persistentes avanzadas, comunicaciones de botnet, tunelización de DNS y
exfiltración de datos. La solución de seguridad DNS de Infoblox, BloxOne
Threat Defense, combina
análisis
avanzados basados en aprendizaje automático, inteligencia de amenazas
agregada y altamente precisa y automatización para detectar y prevenir
una amplia gama de amenazas, que incluyen ransomware, phishing,
exfiltración de datos, familias DGA, dominios similares.
uso, y muchos otros. La integración con sistemas de Automatización y
Remediación de Orquestación de Seguridad (SOAR), soluciones de ITSM,
escáneres de vulnerabilidades y otros ecosistemas de seguridad para la
remediación automatizada es una capacidad importante
de la seguridad del DNS.
Los
registros de DNS también contienen una gran cantidad de información
para una respuesta a incidentes más eficiente. Los registros de DNS son
una forma muy eficaz
de ver a qué recursos ha estado accediendo un cliente históricamente.
La huella dactilar de DHCP y los metadatos de IPAM brindan información
contextual sobre los dispositivos comprometidos, como el tipo de
dispositivo, la información del sistema operativo,
la ubicación de la red y las asignaciones de direcciones IP actuales e
históricas. Toda esta información ayuda con la correlación de eventos y
la determinación del alcance de una infracción en curso, mientras
vincula las solicitudes de DNS a un dispositivo
y usuario.
A
la luz de las fuentes probables de estos ataques, es importante tener
en cuenta que BloxOne Threat Defense también aborda las EECN de las
direcciones. Está basado
en políticas que contiene direcciones IP de países de Europa del Este y
China que a menudo se citan como fuentes de ciberataques que buscan
propiedad intelectual u otros datos confidenciales o clasificados, así
como el robo de tarjetas de crédito o información
financiera. Es natural esperar su presencia en medio del bombardeo
continuo de actividad de ransomware.
No olvidemos que la seguridad de DNS es un control de seguridad convencional. Un informe de Gartner recomienda
que las organizaciones aprovechen los registros de DNS para la
detección de amenazas y fines forenses con sus plataformas de gestión de
eventos e información de seguridad.
Para obtener más información sobre cómo puede ayudar Infoblox, comuníquese con nosotros: https://info.infoblox.com/contact-form/.