26 mar 2024

Ransomware: cómo defender el reino (I)

Seguimos viendo cómo las organizaciones se ven afectadas, de alguna manera enfermiza, por el rasnowmare. Creo que algunos de mis amigos en la industria y yo estamos aburridos con las respuestas tan dramáticas de "sofisticado", "avanzado" e "imprevisible", porque la mayoría de las veces las cadenas de destrucción simplemente no son así.

Ransomware 101

No se trata sólo de que sus datos se cifrarán, sino que probablemente serán exfiltrados y vendidos. Es probable que le vendan el acceso, le vendan los datos y le extorsionen. El modelo de negocio de Ransomware se está adaptando a las respuestas de los defensores. Incluso si puedes restaurar desde la copia de seguridad, es probable que intenten extorsionarte.

Esto trae un punto clave en esta ecuación: la mejor posición es NO ser vulnerados (pwn3d) para empezar. Puede parecer una tontería decirlo, pero cuando miramos las cadenas de infección, es posible ver el mundo un poco desde la perspectiva de la prevención proactiva y no desde el post-incidente.

Acceso inicial

Las rutas de acceso inicial típicas del ransomware incluyen:

Diccionarios: ataques a servicios de acceso remoto expuestos (a menudo RDP expuesto en TCP 3389 o puertos cercanos) que no están configurados de forma segura. A menudo tienen NLA deshabilitado y muchas veces no hay bloqueos de cuentas, MFA o monitoreo. El ransomware RDP, según Coveware, representa aproximadamente el 50% de todos los vectores de acceso inicial históricamente, aunque esta cantidad disminuyó en el cuarto trimestre de 2020 con preferencia al phishing:

Las vulnerabilidades de ejecución remota de código (RCE) de los servicios expuestos son otro vector importante. Existe una variedad de CVE relacionados con esto, pero incluyen:

  • Servidor de intercambio
  • VPN de pulso
  • Vmware
  • Citrix
  • Varios productos VPN y Firewall

Estos vectores tiende a reducirse en gran medida a favor del phishing, porque el mismo puede conducir al acceso remoto por parte de los delincuentes de varias maneras. Las partes clave aquí pueden incluir:

  • Recolección de credenciales que conduce al acceso remoto
  • Ejecución de malware en el dispositivo de destino.
  • Ingeniería social para brindar a los delincuentes acceso remoto asistido por el usuario (por ejemplo, utilizando software como TeamViewer o asistencia remota de Windows)

Entonces, ¿qué podemos hacer aquí para identificar, prevenir y detectar? Bueno, mira la lista de verificación:

  • Lista de verificación de prevención de acceso inicial.
  • Auditar la superficie de ataque frente a Internet.
  • Auditar la configuración de los servicios de acceso remoto.
  • Garantizar que los servicios de seguridad perimetral estén actualizados y funcionando en una configuración reforzada y segura.
  • Implementar controles de autenticación sólidos.
  • Implementar buenas políticas y controles de contraseñas.
  • Bloqueos y deshabilitación de cuentas estén habilitados.
  • Realizar auditorías de contraseñas.
  • Asegurar que los registros de eventos se envíen y supervisen.
  • Implementar la autenticación multifactor.
  • Agregue capas de protección, por ejemplo una VPN con MFA (esto no es una solución mágica)
  • Habilitar servicios de seguridad de correo (por ejemplo, antiphishing)..
  • Deshabilitar las macros en los dispositivos de punto final.
  • Ejecutar servicios antimalware/EDR.
  • Habilitar el registro de operaciones de usuarios normales y privilegiados.
  • Implementar configuraciones reforzadas.
  • Implementar listas de aplicaciones/binarios permitidas (por ejemplo, Applocker)
  • Deshabilitar las extensiones de archivos no seguras (por ejemplo, MSHTA, VBS, WSH, JS, etc.)
  • Deshabilitar Powershell, WMI, etc.
  • Bloquear extensiones riesgosas (por ejemplo, ISO, VHD/VHDX, etc).
  • Restringir el tráfico de salida riesgoso.
  • Aprovechar servicios de DNS protector (por ejemplo, Cloudflare o similar).
  • Filtrar el tráfico para permitir solo los tipos de archivos y sitios que se esperaría recibir.
  • Bloquear sitios web que se sabe que son maliciosos.
  • Inspeccionar activamente el contenido.
  • Usar firmas para bloquear código malicioso conocido.
  • Deshabilitar RDP si no es necesario.
  • Habilitar MFA en todos los puntos de acceso remoto a la red y aplicar listas de permisos de IP mediante firewalls de hardware.
  • Utilizar el modelo de privilegios mínimos para proporcionar acceso remoto: utilizar cuentas con privilegios bajos para autenticarse y proporcione un proceso auditado para permitir que un usuario escale sus privilegios dentro de la sesión remota cuando sea necesario.
  • Parchear las vulnerabilidades conocidas en todos los dispositivos de acceso remoto y externos de inmediato (consultar la guía sobre cómo administrar las vulnerabilidades dentro de su organización) y seguir las instrucciones de solución del proveedor, incluida la instalación de nuevos parches tan pronto como estén disponibles.
  • Administrar dispositivos de forma centralizada para permitir que solo las aplicaciones en las que la empresa confía se ejecuten en los dispositivos, utilizando tecnologías que incluyen AppLocker o desde tiendas de aplicaciones confiables (u otras ubicaciones confiables).
  • Proporcionar educación sobre seguridad y capacitación en concientización a su personal, por ejemplo, los mejores consejos para el personal del NCSC.
  • Deshabilitar o restringir entornos de secuencias de comandos y macros.
  • Deshabilitar la ejecución automática para medios automontados (se debe evirar uso de medios extraíbles USB si no es necesario).

Para obtener más orientación sobre rescates, se puede consultar el de NCSC de UK.

Fuente: PwnDefend

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!