Los ataques de ransomware solo están aumentando en complejidad y se están volviendo más eficientes en la explotación de las vulnerabilidades de la red y el sistema, lo que deja a las organizaciones con una factura de limpieza significativa. Los firewalls modernos son muy efectivos para defenderse de este tipo de ataques, pero deben tener la oportunidad de hacer su trabajo.
Cómo se propagan los ataques de ransomware:
En 2018, el ransomware se ha alejado de la fuerza bruta, los ataques a gran escala y los ataques enfocados, planificados y ejecutados manualmente que son mucho más difíciles de detectar y bloquear. Veamos cómo operan las diferentes formas de ransomware y qué debería hacer su organización para minimizar la vulnerabilidad a un ataque.
Ataques de ransomware dirigidos
Como sugiere el nombre, los atacantes de ransomware dirigidos han hecho sus deberes. Saben quién es usted, conocen su organización, si es capaz de pagar el rescate y cuánto podría estar dispuesto a pagar.
Han obtenido acceso a la red de su organización y pueden ver y controlar el daño que están causando. Y se adaptan. Si encuentran un obstáculo, lo solucionan una y otra vez hasta que lo logran. No persiguen objetivos difíciles con seguridad avanzada, ¿por qué molestarse? Hay suficiente fruta madura para que puedan seguir en el negocio.
Las variantes que incluyen Dharma, SamSam y BitPaymer son algunos de los tipos de ransomware dirigidos más conocidos y exitosos. Si bien estos ejemplos varían en su alcance y complejidad, comparten muchos puntos en común en sus métodos.
Un ataque de ransomware dirigido típico se ve así:
+ Obtenga acceso a través de una función de administración o uso compartido de archivos remotos como el Protocolo de escritorio remoto (RDP) o FTP, a través de piratería informática por fuerza bruta o simplemente adivinando una contraseña débil.
+ Escalar privilegios hasta convertirse en administrador. (Los atacantes aprovechan las vulnerabilidades del sistema para obtener niveles de privilegios que les permitan eludir el software de seguridad).
+ Omita cualquier software de seguridad. (Con privilegios escalados, los atacantes pueden ejecutar herramientas como controladores de kernel de terceros que pueden deshabilitar procesos y forzar la eliminación de archivos, evitando las protecciones que les impiden desinstalar el software de seguridad directamente).
+ Difundir ransomware que cifra los archivos de la víctima Utilizar vulnerabilidades de la red y del host o protocolos básicos de intercambio de archivos para comprometer otros sistemas en la red y difundir ransomware de cifrado de archivos.
+ Deje una nota de rescate exigiendo el pago de los archivos para que no estén encriptados.
+ Espere a que la víctima se comunique con ellos por correo electrónico o un sitio web oscuro.
Las consecuencias de ser víctima de estos ataques pueden ser graves. Además del tiempo de inactividad significativo y la pérdida de productividad empresarial, está la propia demanda de rescate. SamSam exige alrededor de 50.000 dólares en bitcoins, mientras que se sabe que BitPaymer pide 500.000 dólares para desbloquear archivos cifrados.
En 2018, el ransomware se ha alejado de la fuerza bruta, los ataques a gran escala y los ataques enfocados, planificados y ejecutados manualmente que son mucho más difíciles de detectar y bloquear. Veamos cómo operan las diferentes formas de ransomware y qué debería hacer su organización para minimizar la vulnerabilidad a un ataque.
Ataques de ransomware dirigidos
Como sugiere el nombre, los atacantes de ransomware dirigidos han hecho sus deberes. Saben quién es usted, conocen su organización, si es capaz de pagar el rescate y cuánto podría estar dispuesto a pagar.
Han obtenido acceso a la red de su organización y pueden ver y controlar el daño que están causando. Y se adaptan. Si encuentran un obstáculo, lo solucionan una y otra vez hasta que lo logran. No persiguen objetivos difíciles con seguridad avanzada, ¿por qué molestarse? Hay suficiente fruta madura para que puedan seguir en el negocio.
Las variantes que incluyen Dharma, SamSam y BitPaymer son algunos de los tipos de ransomware dirigidos más conocidos y exitosos. Si bien estos ejemplos varían en su alcance y complejidad, comparten muchos puntos en común en sus métodos.
Un ataque de ransomware dirigido típico se ve así:
+ Obtenga acceso a través de una función de administración o uso compartido de archivos remotos como el Protocolo de escritorio remoto (RDP) o FTP, a través de piratería informática por fuerza bruta o simplemente adivinando una contraseña débil.
+ Escalar privilegios hasta convertirse en administrador. (Los atacantes aprovechan las vulnerabilidades del sistema para obtener niveles de privilegios que les permitan eludir el software de seguridad).
+ Omita cualquier software de seguridad. (Con privilegios escalados, los atacantes pueden ejecutar herramientas como controladores de kernel de terceros que pueden deshabilitar procesos y forzar la eliminación de archivos, evitando las protecciones que les impiden desinstalar el software de seguridad directamente).
+ Difundir ransomware que cifra los archivos de la víctima Utilizar vulnerabilidades de la red y del host o protocolos básicos de intercambio de archivos para comprometer otros sistemas en la red y difundir ransomware de cifrado de archivos.
+ Deje una nota de rescate exigiendo el pago de los archivos para que no estén encriptados.
+ Espere a que la víctima se comunique con ellos por correo electrónico o un sitio web oscuro.
Las consecuencias de ser víctima de estos ataques pueden ser graves. Además del tiempo de inactividad significativo y la pérdida de productividad empresarial, está la propia demanda de rescate. SamSam exige alrededor de 50.000 dólares en bitcoins, mientras que se sabe que BitPaymer pide 500.000 dólares para desbloquear archivos cifrados.
¿Protocolo de escritorio remoto o protocolo de implementación de ransomware?
El Protocolo de escritorio remoto (RDP) y otras herramientas de uso compartido de escritorio como Virtual Network Computing (VNC) son características inofensivas y muy útiles de la mayoría de los sistemas operativos que permiten al personal acceder y administrar sistemas de forma remota. Desafortunadamente, sin las protecciones adecuadas en su lugar, también proporciona un camino conveniente para los atacantes y comúnmente es explotado por ransomware dirigido.
No proteger adecuadamente RDP y otros protocolos de administración remota similares detrás de una red privada virtual (VPN) o al menos restringir las direcciones IP a las que se puede conectar puede dejarlo abierto a los atacantes. Atacantes que utilizan herramientas de piratería de fuerza bruta que prueban cientos de miles de combinaciones de inicio de sesión / contraseña hasta que obtienen la correcta y comprometen su red.
Ransomware basado en gusanos
2017 fue el año de los ataques de ransomware como WannaCry y Petya que paralizaron innumerables organizaciones e infectaron cientos de miles de computadoras en todo el mundo. Estos ataques en particular se propagan aprovechando una vulnerabilidad en el protocolo de intercambio de archivos de la red Server Message Block (SMB) de Microsoft. Este protocolo es omnipresente en las LAN corporativas y permite que las computadoras se descubran entre sí con el propósito de compartir archivos y otros recursos como impresoras. También se puede utilizar para compartir archivos fuera del firewall si los puertos necesarios (TCP 139 y / o 445) están abiertos o reenviados en el firewall.
El exploit particular utilizado por WannaCry y Petya se conoce como EternalBlue. EternalBlue permite la ejecución remota de código enviando mensajes cuidadosamente elaborados a través de la red al servicio SMB vulnerable en computadoras que ejecutan Microsoft Windows.
En general, todos los sistemas en red, ya sea que ejecuten Windows, Linux, Mac OS u otro sistema operativo, se basan en una variedad de servicios para la funcionalidad de la red y ocasionalmente se descubren nuevas vulnerabilidades en estos servicios que pueden tener graves consecuencias si se explotan.
En el caso del exploit EternalBlue, Microsoft emitió rápidamente un parche para la vulnerabilidad (MS17-010). Pero los hackers que actuaban rápidamente pudieron atacar antes de que muchas organizaciones tuvieran tiempo de implementar el parche.
Cómo mantenerse protegido del ransomware
Incluso en las organizaciones más diligentes, siempre existe una brecha entre el descubrimiento de vulnerabilidades y la implementación de parches, por lo que es tan importante tener tecnología líder de próxima generación que proteja su red y sus puntos finales de este tipo de ataques.
Entonces, ¿cómo puede proteger a su organización de permitir que estos ataques entren en la red en primer lugar? Y si un ataque debe penetrar de alguna manera en su red, ¿cómo puede evitar que se propague e infecte otros sistemas a su paso?
Gestión remota de bloqueo
Bloquear el acceso al Protocolo de escritorio remoto de su organización y otros protocolos de administración es uno de los pasos más efectivos que puede tomar para protegerse contra ataques de ransomware dirigidos. Hay varias formas de hacer esto: exigir que los usuarios estén en una VPN antes de que puedan acceder a RDP, restringir el acceso a direcciones IP conocidas. El firewall de su organización debería poder implementar ambos métodos.
Bloqueo de exploits de red
IPS (Intrusion Prevention System) es un componente de seguridad crítico de cualquier firewall de próxima generación, ya que realiza una inspección profunda de paquetes del tráfico de red para identificar vulnerabilidades y bloquearlas antes de que lleguen a un host de destino. IPS busca patrones o anomalías en el código que coincidan con un exploit específico o una vulnerabilidad de destino más amplia.
Incluso en las organizaciones más diligentes, siempre existe una brecha entre el descubrimiento de vulnerabilidades y la implementación de parches, por lo que es tan importante tener tecnología líder de próxima generación que proteja su red y sus puntos finales de este tipo de ataques.
Entonces, ¿cómo puede proteger a su organización de permitir que estos ataques entren en la red en primer lugar? Y si un ataque debe penetrar de alguna manera en su red, ¿cómo puede evitar que se propague e infecte otros sistemas a su paso?
Gestión remota de bloqueo
Bloquear el acceso al Protocolo de escritorio remoto de su organización y otros protocolos de administración es uno de los pasos más efectivos que puede tomar para protegerse contra ataques de ransomware dirigidos. Hay varias formas de hacer esto: exigir que los usuarios estén en una VPN antes de que puedan acceder a RDP, restringir el acceso a direcciones IP conocidas. El firewall de su organización debería poder implementar ambos métodos.
Bloqueo de exploits de red
IPS (Intrusion Prevention System) es un componente de seguridad crítico de cualquier firewall de próxima generación, ya que realiza una inspección profunda de paquetes del tráfico de red para identificar vulnerabilidades y bloquearlas antes de que lleguen a un host de destino. IPS busca patrones o anomalías en el código que coincidan con un exploit específico o una vulnerabilidad de destino más amplia.
Al igual que con el exploit EternalBlue discutido anteriormente, estos ataques generalmente intentan enviar entradas maliciosas a una aplicación o servicio host para comprometerlo y obtener cierto nivel de control para finalmente ejecutar el código, como una carga útil de ransomware en el caso de Wanna y Petya.
Bloqueo de cargas útiles de ransomware basadas en archivos
Si bien Wanna y Petya se propagan como gusanos, muchas variantes de ransomware aprovechan los trucos de ingeniería social a través de ataques de phishing por correo electrónico, spam o descargas web para acceder a su red a través de medios más convencionales. Estos ataques suelen comenzar como malware inteligentemente diseñado que acecha en archivos comunes como documentos de Microsoft Office, PDF o ejecutables, como actualizaciones para aplicaciones de confianza comunes. Los piratas informáticos se han vuelto muy efectivos para hacer que estos archivos parezcan benignos u ofuscar el malware para superar la detección de antivirus tradicional basada en firmas.
Como resultado de esta nueva generación de malware basado en archivos, la tecnología de espacio aislado se ha convertido en una capa de seguridad esencial en el perímetro de su red. Afortunadamente, el sandboxing basado en la nube generalmente no requiere ninguna implementación adicional de hardware o software; simplemente identifica los archivos sospechosos en la puerta de enlace y los envía a una infraestructura de sandboxing segura en la nube para detonar contenido activo y monitorear el comportamiento a lo largo del tiempo. Puede ser extremadamente eficaz para bloquear amenazas desconocidas, como nuevos ataques de ransomware, antes de que ingresen a la red.
Prácticas recomendadas para la configuración de redes y firewall
Es importante tener en cuenta que IPS, sandboxing y todas las demás protecciones que proporciona el firewall solo son efectivas contra el tráfico que realmente atraviesa el firewall y cuando se aplican políticas de protección y cumplimiento adecuadas a las reglas de firewall que rigen ese tráfico. Entonces, con eso en mente, siga estas mejores prácticas para prevenir la propagación de ataques de gusanos en su red:
Es importante tener en cuenta que IPS, sandboxing y todas las demás protecciones que proporciona el firewall solo son efectivas contra el tráfico que realmente atraviesa el firewall y cuando se aplican políticas de protección y cumplimiento adecuadas a las reglas de firewall que rigen ese tráfico. Entonces, con eso en mente, siga estas mejores prácticas para prevenir la propagación de ataques de gusanos en su red:
Asegúrese de tener la protección adecuada, incluido un moderno motor IPS de firewall de próxima generación de alto rendimiento y una solución de espacio aislado.
Bloquee RDP con su firewall. Su firewall debería poder restringir el acceso a los usuarios de VPN e incluir direcciones IP autorizadas en la lista blanca.
Reduzca el área de superficie de ataque tanto como sea posible revisando y revisando a fondo todas las reglas de reenvío de puertos para eliminar cualquier puerto abierto no esencial. Cada puerto abierto representa una potencial apertura en su red. Siempre que sea posible, utilice VPN para acceder a los recursos de la red interna desde el exterior en lugar del reenvío de puertos.
Asegúrese de proteger adecuadamente los puertos abiertos aplicando una protección IPS adecuada a las reglas que rigen ese tráfico.
Aplique el sandboxing al tráfico web y de correo electrónico para asegurarse de que todos los archivos activos sospechosos que ingresan a través de descargas web y los archivos adjuntos de correo electrónico se analizan adecuadamente para detectar comportamientos maliciosos antes de ingresar a su red.
Minimice el riesgo de movimiento lateral dentro de la red segmentando las LAN en zonas aisladas o VLAN más pequeñas que están aseguradas y conectadas entre sí por el firewall. Asegúrese de aplicar políticas IPS adecuadas a las reglas que rigen el tráfico que atraviesa estos segmentos de LAN para evitar que los exploits, gusanos y bots se propaguen entre los segmentos de LAN.
Aísle automáticamente los sistemas infectados. Cuando aparece una infección, es importante que su solución de seguridad de TI pueda identificar rápidamente los sistemas comprometidos y aislarlos automáticamente hasta que se puedan limpiar (ya sea de forma automática o mediante intervención manual).
Utilice contraseñas seguras para sus herramientas de administración remota y uso compartido de archivos que no se vean comprometidas fácilmente por las herramientas de piratería de fuerza bruta.
Segmentación de LAN para minimizar el movimiento lateral
Desafortunadamente, muchas organizaciones operan con una topología de red plana, con todos sus puntos finales conectados en una estructura de conmutador común. Esta topología compromete la protección al permitir un movimiento lateral fácil o la propagación de ataques de red dentro de la red de área local, ya que el firewall no tiene visibilidad ni control sobre el tráfico a través del conmutador.