Muchos ataques de ransomware pueden detenerse antes de que …



La tendencia de muchos atacantes a esperar el momento adecuado para atacar les da a los defensores una oportunidad, dice FireEye.

Muchos actores de amenazas tienden a acechar en las redes comprometidas durante días antes de implementar el ransomware, lo que brinda a las organizaciones víctimas la oportunidad de prevenir los ataques si pueden detectar la actividad inicial lo suficientemente rápido.

Los investigadores de FireEye Mandiant revisaron recientemente más de dos años de datos de ataque de ransomware para ver qué tendencias podrían detectar. Los investigadores querían identificar características comunes en torno a los vectores de intrusión iniciales, el tiempo promedio de permanencia del atacante en una pink comprometida y la hora del día en que los atacantes generalmente tendían a implementar ransomware.

Su estudio mostró que en la mayoría de los incidentes, los atacantes esperaron al menos tres días después de entrar en una red para identificar sistemas clave para atacar con su ransomware. Este despliegue de ransomware posterior al compromiso está creciendo en popularidad porque a menudo es más perjudicial para las víctimas y más rentable para los atacantes que otros modelos, dice Kelli Vanderlee, gerente de análisis de inteligencia de FireEye.

Al pasar tiempo en un entorno de víctimas, los actores maliciosos a menudo pueden identificar activos importantes, como copias de seguridad y segmentos de purple que almacenan datos valiosos y sistemas clave que pueden utilizarse para difundir ampliamente su ransomware. «Esta focalización y despliegue más efectivos le dan a los actores de la amenaza más influencia contra una víctima, permitiéndoles exigir mayores rescates y mayores ganancias netas», dice Vanderlee. El reconocimiento posterior al compromiso también brinda a los atacantes oportunidades adicionales para actividades de seguimiento, como el robo de datos para la venta o extorsión.

Sin embargo, al mismo tiempo, el tiempo de permanencia entre el compromiso inicial y la implementación del ransomware brinda a las organizaciones la oportunidad de neutralizar el ataque antes de que incluso tenga la oportunidad de desarrollarse, dice Vanderlee. «En la mayoría de los casos, el ransomware no se ejecuta hasta días después de la intrusión inicial, lo que significa que es posible que los defensores eviten el cifrado del ransomware antes de que comience si pueden detectar los primeros signos de actividad lo suficientemente rápido», dice.

Según Vanderlee, la familia de ransomware Ryuk se implementa con mayor frecuencia después del compromiso. Otras familias desplegadas de manera identical incluyen Clop, Bitpaymer, Doppelpaymer, Lockergoga, Maze y Sodinokibi.

Estrategia de despliegue táctico
FireEye&#39s investigación También demostró que en más de las tres cuartas partes (76%) de los incidentes, los atacantes desplegaron el ransomware en una purple de víctimas fuera del horario ordinary de oficina. El veintisiete por ciento de los ataques que estudió el vendedor de seguridad ocurrieron los fines de semana. Aproximadamente la mitad (49%) ocurrió antes de las 8 a.m. o después de las 6 p.m. de lunes a viernes. Menos de una cuarta parte (24%) tuvo lugar durante el horario de oficina.

Los atacantes parecen estar favoreciendo las horas libres suponiendo que la respuesta y la corrección serían más lentas. «Cuando el ransomware se ejecuta durante el horario comercial, es más possible que los defensores de la purple puedan responder rápidamente, deteniendo potencialmente la propagación del ransomware en una red o evitando ejecuciones adicionales», dice Vanderlee.

La tendencia resalta la necesidad de una planificación de emergencia, dice Vanderlee. Las organizaciones necesitan contar con particular y tecnología de seguridad las 24 horas del día, los 7 días de la semana para detectar los primeros signos de actividad maliciosa. También deben tener planes de escalamiento claros y redundantes para que, cuando ocurra un incidente, se notifique a las partes interesadas correctas lo antes posible.

Push-by-downloads, servicios de protocolo de escritorio remoto (RDP) débiles y desprotegidos, y phishing con un enlace malicioso o un archivo adjunto fueron los vectores de infección iniciales más comunes en los ataques de ransomware en el estudio de FireEye. Los ataques RDP, donde los actores de amenazas inician sesión de forma remota en un sistema en un entorno objetivo a través del protocolo RDP, fueron especialmente comunes en 2017, pero parecen haber disminuido un poco su popularidad desde entonces.

Durante el mismo período, el phishing, en particular, y las descargas automáticas han ganado popularidad como una forma para que los atacantes intenten obtener un punto de apoyo inicial en una purple objetivo, dijo FireEye.

El año pasado, los ataques de ransomware les costaron a las empresas y otras organizaciones la asombrosa pérdida de $ 11.5 mil millones. Entre los más seleccionados se encontraban las entidades gubernamentales estatales y locales, las organizaciones de infraestructura crítica y las entidades del sector de la salud.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más strategies





Enlace a la noticia unique