Honeypot revela tácticas utilizadas por los ciberdelincuentes para implementar ransomware


Un honeypot creado por Cybereason para atraer a los cibercriminales y analizar sus métodos mostró que los ataques de ransomware se infiltran en sus víctimas en múltiples etapas.

Secuestro de datos

Imagen: kaptnali, Getty Visuals / iStockphoto

Algunos tipos de ataques cibernéticos son acuerdos únicos en los que los ciberdelincuentes entran y salen rápidamente después de infectar o comprometer a una organización. Sin embargo, otros tipos de ataques se expanden durante un período de tiempo a medida que intentan afectar los recursos adicionales dentro de la organización. Usando un honeypot, investigadores de la firma de seguridad Cybereason pudieron atraer a múltiples delincuentes usando ransomware y seguir cada etapa de un ataque.

VER: Conciencia de seguridad y política de capacitación (TechRepublic High quality)

Un honeypot es una infraestructura de crimson construida específicamente para atacar a los ciberdelincuentes para ver cómo se comportan y llevar a cabo un ataque típico. En este caso, Cybereason ideó una arquitectura de red extensa que pretendía ser parte de una purple de proveedor de transmisión y generación de electricidad. Como tal, este honeypot contenía un entorno de TI, un OT (tecnología operativa) medio ambiente y HMI (interfaz hombre-máquina) sistemas de gestión.

Después de que el honeypot se abrió oficialmente para los negocios, tomó solo tres días para que los ciberatacantes se infiltran en la pink y llenarlo con malware, Israel Barak, director de seguridad de la información en Cybereason, le dijo a ZDNet. Pero el ataque se llevó a cabo en distintas etapas a medida que los delincuentes se abrían paso cuidadosa y sigilosamente de un recurso a otro.

En la primera etapa, los atacantes obtuvieron acceso inicial al explotar las interfaces de administración remota de acceso público. Dichas interfaces suelen estar diseñadas por operadores de red para dar al individual de soporte técnico la capacidad de conectarse de forma remota a la purple. Para invadir la crimson, los atacantes pudieron forzar la contraseña de la cuenta del administrador e iniciar sesión de forma remota. Después de eso, los delincuentes cargaron y ejecutaron un script de PowerShell para crear una puerta trasera para que los atacantes pudieran usar y abusar persistentemente de la cuenta de administrador sin ser detectados.

honeypot-stage-1-cybereason.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/06/12/28daafda-6738-431d-8e67-15c0bd737bd0/resize/770x/f2a153016a014f873d79b0585967fee4 /honeypot-stage-1-cybereason.jpg

Imagen: Cybereason

En la segunda etapa, los delincuentes cargaron más herramientas de ataque a través de PowerShell. Uno de esos fue Mimikatz, una herramienta de código abierto utilizada para robar credenciales de usuario. Las credenciales robadas se usaron en un intento de moverse lateralmente a través de la purple hacia los controladores de dominio. Sin embargo, el intento falló ya que ninguna de las cuentas comprometidas tenía permiso para acceder a los controladores de dominio.

honeypot-stage-2-cybereason.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/06/12/d72c49b2-ed7f-45ca-adcf-ecaa70332c0b/resize/770x/9b17ddc22c1456fb10be5507c7d1461456fb10be5507c7d1461456fb10be5507c7d146146 /honeypot-stage-2-cybereason.jpg

Imagen: Cybereason

En la etapa tres, el ataque continuó intentando moverse lateralmente aprovechando un escáner de red para descubrir puntos finales adicionales. Finalmente, en la cuarta etapa, el ransomware se lanzó en todos los puntos finales comprometidos.

honeypot-stage-3-cybereason.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/06/12/770d2c4e-0583-4866-9c6c-07c4e54c3465/resize/770x/e947baedfc27588122d70bf893814ccc /honeypot-stage-3-cybereason.jpg

Imagen: Cybereason

El ataque de ransomware contra el honeypot muestra que los ciberdelincuentes usan múltiples etapas para infectar tantas máquinas como sea posible y maximizar sus ganancias. En lugar de simplemente implementar el ransomware en un sistema, se moverán lateralmente a través de la crimson para golpear una máquina tras otra antes de finalmente lanzar el ransomware.

«Este hallazgo es consistente con lo que hemos estado viendo sobre el ransomware en certain», dijo a TechRepublic Javvad Malik, defensor de la conciencia de seguridad de KnowBe4. «Ya no es un caso que los delincuentes quieran infectar todas las máquinas lo antes posible. Más bien, el ransomware, una vez que se ha introducido, marcará el estado de origen para poder determinar la mejor estrategia. Esto incluye qué cifrar, la capacidad de la víctima pagar, corromper copias de seguridad y exfiltrar datos y credenciales «.

Más allá de encriptar archivos confidenciales y exigir el pago de la víctima, los atacantes de ransomware van más allá con sus amenazas.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

«En todo este proceso, el ransomware es el último en implementarse porque permite a los delincuentes no solo exigir el pago de la clave de descifrado, sino también exigir el pago para no publicar o vender públicamente los datos que han extraído», dijo Malik. «A veces usarán la información robada para atacar a los socios o intentar extorsionar a los clientes».

Para proteger mejor a su organización contra ataques de ransomware, Cybereason ofrece las siguientes recomendaciones:

  1. Establezca herramientas y procedimientos de respuesta a incidentes cibernéticos en las redes de TI y OT con el objetivo de minimizar el tiempo medio de respuesta. Minimizar el daño y evitar que una red ICS (sistema de regulate industrial) se desconecte es esencialmente el juego del gato y el ratón que juegan los atacantes y defensores. Para mantener a raya a los grupos de piratería, las organizaciones deben minimizar el tiempo que lleva responder a una amenaza. Esto se puede lograr mediante la implementación de servicios de búsqueda de amenazas durante todo el día.
  2. Establezca un centro de operaciones de seguridad unificado y flujos de trabajo en entornos de TI y OT. El funcionamiento de un centro de operaciones de seguridad unificado (SOC) proporciona visibilidad en los entornos de TI y OT porque los atacantes buscan utilizar los entornos de TI como puertas de acceso a los entornos de OT. Algunas compañías ya pueden tener un centro de operaciones de red (NOC) que monitorea el entorno OT, pero un SOC combinado permite a los operadores ver todas las operaciones a medida que se mueven a través de la red.
  3. Diseñe y opere con la capacidad de recuperación en mente. La resistencia y la seguridad ya no pueden ser una ocurrencia tardía. A medida que se construyan e instalen nuevos sistemas de infraestructura crítica, las redes heredadas serán retiradas y desconectadas. Es muy importante que los sistemas de próxima generación se creen teniendo en cuenta la resistencia y la seguridad. El diseño y la operación continua del sistema deben tener en cuenta qué amenazas a la seguridad se volverán comunes en los próximos meses y años.
  4. Asociarse con expertos. Asegúrese de asociarse con expertos con amplio conocimiento de las amenazas de ICS. Los sectores público y privado deben trabajar en estrecha colaboración para proteger esta industria. Asóciese con una compañía de seguridad que pueda adelantarse a las nuevas amenazas y ayudar a los operadores a abordar los problemas en tiempo actual.
  5. Prueba, prueba, prueba. Las pruebas regulares deben ser un punto focal en este sector. Los ejercicios de mesa que permiten que un equipo rojo y azul jueguen diferentes escenarios catastróficos y la respuesta en tiempo true a esos escenarios es crítica cuando se tiene que enfrentar una amenaza en tiempo serious. Nunca subestimes el valor de los ejercicios de mesa para apuntalar las defensas debilitadas y ayudar a los ejecutivos a comprender la importancia de la seguridad.

Basado en las últimas amenazas de ransomware, Malik tiene otro consejo para las organizaciones:

«Incluso contar con copias de seguridad confiables y actualizadas no ayudará», dijo Malik, «por lo que evitar que los delincuentes se establezcan es de suma importancia. Los tres principales controles que las organizaciones pueden implementar incluirían capacitación en conciencia de seguridad para que los usuarios puede identificar y responder a ataques de phishing, MFA (autenticación multifactorial) para evitar el compromiso de credenciales y parchear sistemas externos «.

Ver también



Enlace a la noticia unique