Un post invitado de Arete , por
- Jim Jaeger , presidente y jefe de estrategias cibernéticas, Arete Incident Response
- Larry Wescott , CISSP, Cyber Strategist, Arete Incident Response
- Rae Jewell , Director, Operaciones de Seguridad MDR e IR, Respuesta a Incidentes de Arete, contribuyó a este artículo
Un ataque de ransomware no es una simple infección de malware. Es una serie compleja de acciones en las que la infección inicial es solo el primer paso. Un ataque de ransomware exitoso casi siempre involucra una variedad de vectores de ataque, frecuentemente guiados por la intervención humana. Resistir con éxito un ataque de ransomware requiere una solución que pueda neutralizar la gama completa de amenazas de estos vectores.

Microsoft emitió recientemente un informe detallado que describe cómo operan las variantes complejas de ransomware, que son guiadas manualmente por sus emisores. Estas son algunas de las características de estas variantes de ransomware guiadas por humanos:
- Comienzan con tipos de malware poco sofisticados que pueden activar múltiples alertas, pero tienden a ser calificados como poco importantes y no investigados a fondo.
- Pueden soltar múltiples variantes de malware hasta que el software antivirus no detecte una variante
- Pueden atacar servidores que tienen el Protocolo de escritorio remoto (RDP) configurado como abierto a Internet y usar ataques de fuerza bruta para obtener acceso a la red corporativa.
- Una vez dentro, vigilan la red.
- Pueden usar otras utilidades para robar credenciales para obtener privilegios administrativos
- Luego pueden detener servicios como la protección antivirus u otros servicios que pueden conducir a su detección
- Se descargan otras herramientas para permitir la persistencia del malware, la elevación de privilegios y la eliminación de registros de eventos.
- Pueden ejecutar scripts de PowerShell que se conectan a un servidor de comando y control, lo que permite un control persistente sobre otras máquinas
- Pararán Exchange Server, SQL Server y otros servicios similares que pueden bloquear ciertos archivos para que no puedan cifrarse
- Pueden introducir archivos binarios legítimos y utilizar flujos de datos alternativos para enmascarar la ejecución de código de ransomware como código legítimo.
Técnicas de ransomware vistas en la naturaleza
La ejecución de la carga útil del ransomware al más alto nivel de privilegio con la menor cantidad de obstáculos es el objetivo final del atacante. A menudo, los atacantes también deshabilitarán o encriptarán los sistemas de respaldo en línea para que no puedan usarse para recuperar datos encriptados en el ataque de ransomware. Ahora estamos viendo algunas variantes de ransomware que extraen datos confidenciales con el objetivo adicional de amenazar a la víctima con la exposición de los datos si no se paga el rescate .
Otras técnicas de ransomware perniciosos incluyen polimorfismo , o código que cambia constantemente a la detección evitar, y el uso de sin archivo estrategias para las máquinas de infectar sin dejar caer archivos en la máquina de destino . Algunos han notado el uso de tácticas de inteligencia artificial para hacerse cargo de algunas de las técnicas guiadas por humanos descritas anteriormente, como el reconocimiento y los ataques de escala.
Las firmas AV no pueden bloquear el ransomware
Los sistemas antivirus defensivos basados en firmas son totalmente insuficientes para repeler los ataques de esta amplia variedad de posibles vectores de ataque.
Respondemos a cientos de ataques de ransomware al año. En todos los casos en que la víctima usaba defensas antivirus basadas en firmas, NO detectó el ransomware y le permitió ejecutar y cifrar datos críticos.
El Instituto Nacional de Estándares y Tecnologías describe las limitaciones de los sistemas de detección basados en firmas de esta manera :
“La detección basada en firmas es muy efectiva para detectar amenazas conocidas, pero en gran medida ineficaz para detectar amenazas previamente desconocidas, amenazas disfrazadas utilizando técnicas de evasión y muchas variantes de amenazas conocidas. Por ejemplo, si un atacante modifica el malware para usar un nombre de archivo de “freepics2.exe”, una defensa basada en firmas que busque “freepics.exe” no coincidiría. “
“La detección basada en firmas es el método de detección más simple porque solo compara la unidad de actividad actual, como un paquete o una entrada de registro, con una lista de firmas mediante operaciones de comparación de cadenas. Las tecnologías de detección basadas en firmas tienen poca comprensión de muchos protocolos de red o aplicación y no pueden rastrear y comprender el estado de las comunicaciones complejas. También carecen de la capacidad de recordar solicitudes anteriores al procesar la solicitud actual. Esta limitación evita que los métodos de detección basados en firmas detecten ataques que comprenden múltiples eventos si ninguno de los eventos contiene una indicación clara de un ataque. “
El siguiente paso en la evolución: EPP
Una plataforma de protección de punto final (EPP) es un paso adelante en la escalera de protección. Un sistema EPP es un
“Conjunto de herramientas y tecnologías de software que permiten asegurar dispositivos de punto final. Es una solución de seguridad unificada que combina antivirus, antispyware, detección / prevención de intrusos, un firewall personal y otras soluciones de protección de punto final “.
Aunque algunas soluciones de EPP incluyen inteligencia de amenazas y análisis de datos, a veces carecen de capacidades como la capacidad de analizar la memoria, lo que permitiría la detección de ataques residentes en la memoria, o las capacidades y binarios existentes del sistema operativo (como PowerShell), que podrían detectar LOL ” “vivir en la tierra” ataques que secuestran estas funciones del sistema operativo.
Un EPP es un paso importante en la dirección correcta, ya que una solución implementada correctamente proporciona un perímetro defensivo alrededor de la organización, en todos los puntos finales que representan posibles canales de acceso para malware. Incluso un punto de acceso no supervisado puede ser todo lo que se necesita para que un intruso entre y comience los procesos que podrían culminar en un ataque de ransomware exitoso.
Sin embargo, una consecuencia de una solución EPP completamente implementada es una cantidad potencialmente masiva de datos generados por los puntos finales, que deben analizarse para detectar los impactos que incluso generaría un proceso de detección basado en firmas. Eso supone que el malware puede ser detectado por el sistema basado en firmas, que el malware polimórfico en constante evolución no está involucrado, y que el malware se identifica por las firmas almacenadas por el sistema, lo cual no es un hecho. Además, a medida que aumenta el tamaño del negocio, obviamente la magnitud de los datos generados aumenta exponencialmente.
Problema resuelto: EDR
Pero quizás lo más importante, como lo señaló el comentario del NIST, un sistema basado en firmas no podrá analizar el contexto de un ataque y disparará una alerta si surge un patrón, como intentos repetidos de inicio de sesión, especialmente en varios puntos finales, lo que puede indicar un ataque de fuerza bruta . En la medida en que una solución EPP contenga inteligencia de amenazas o análisis de datos, puede detectar este tipo de ataques.
Pero a medida que los ataques se vuelven más sofisticados, la forma en que esas soluciones implementan sus capacidades analíticas puede convertirse en un problema. En términos de gran volumen, un estudio de la Universidad de Maryland estimó en 2007 que los ataques ocurren cada 39 segundos , un volumen que sin duda ha aumentado. Tanto las soluciones basadas en la nube como las que involucran una base de datos central pueden presentar cuellos de botella y retrasos en la activación de alertas, lo que podría proporcionar a los atacantes ventajas críticas para establecerse dentro de las redes. Los ataques también están aumentando en sofisticación , y algunos ven indicios de que los atacantes están comenzando a incorporar inteligencia artificial en su malware.
La tecnología de detección y respuesta de punto final ( EDR ) incorpora soluciones de análisis de datos e inteligencia de amenazas en un paquete que puede responder a la amenaza, eliminando o poniendo en cuarentena el proceso malicioso. Las soluciones más efectivas y avanzadas son las soluciones activas de EDR , que incorporan inteligencia artificial y aprendizaje automático (AI / ML) en el análisis del comportamiento de la actividad del sistema. Estas soluciones aplican análisis de datos en el punto final, aprovechando métodos avanzados de aplicación de la ciencia de datos en el punto final en tiempo real, con una sobrecarga de rendimiento mínima.Otra ventaja de la EDR activa es la respuesta autónoma: la capacidad de responder a las amenazas a la velocidad de la máquina. El uso de IA permite que la EDR activa responda a un ataque de ransomware antes de que el malware pueda cifrar los datos, mucho más rápido de lo que un humano podría responder a una alerta.Orgullosos de proteger a las empresas líderes del mundoLas empresas líderes y más grandes del mundo confían en SentinelOne.ESCUCHA SUS HISTORIAS
Conclusión
Al centrarse en el comportamiento en lugar de la conformidad con una firma , la EDR activa puede detectar patrones en desacuerdo con la línea base del sistema, ya sea de variantes nuevas (o evolucionadas) o actividades que ocurren dentro de la red que están en desacuerdo con lo normal. Los procesos que indican actividad sospechosa se pueden matar o aislar antes de que se puedan propagar.
Active EDR también automatiza el análisis de la actividad para proporcionar un contexto para el analista humano, reduciendo así en orden de magnitud los datos generados por una solución EPP. Este contexto adicional reduce la cantidad de tiempo requerido para el análisis humano, lo que les permite mantenerse al día con las anomalías generadas por el sistema o reducir el número de analistas humanos necesarios en ausencia del sistema EDR activo.
Empleamos habitualmente tecnología EDR activa en cada incidente de ransomware al que respondemos y encontramos que es 100% efectivo para contener y neutralizar el malware. Active EDR nos permite recuperar con seguridad los sistemas encriptados en un entorno limpio, ya sea que estemos restaurando desde copias de seguridad (fuera de línea) o empleando claves de descifrado. La tecnología EDR activa ha demostrado ser efectiva contra las variantes de ransomware más persistentes empleadas por los atacantes. Una vez que nuestros clientes ven cuán efectivas son las herramientas activas de EDR que empleamos durante nuestras operaciones de respuesta a incidentes, con frecuencia compran estos sistemas para uso a largo plazo en sus redes.
Articulo original https://www.sentinelone.com/blog/ransomware-a-complex-attack-needs-a-sophisticated-defense/