Cómo están evolucionando las amenazas de ransomware y cómo detectarlas


Una serie de nuevos informes explica cómo los atacantes de ransomware están cambiando las técnicas y cómo las organizaciones pueden detectar criminales sigilosos.

Los investigadores modernos informan que los operadores modernos de ransomware están adoptando técnicas similares a las de los actores avanzados de los estados nacionales. Sus ataques son más silenciosos y a largo plazo, ya que se sientan en las redes objetivo y buscan la información exacta que necesitan para derribar a sus víctimas.

Los investigadores de Sophos publicaron hoy una serie de informes que detallan la evolución del ransomware y cómo los atacantes están encontrando nuevas formas de obtener más dinero de las víctimas de las grandes empresas. Si bien la gama de ransomware todavía abarca ataques de bajo nivel a alto nivel, su análisis se centra principalmente en amenazas avanzadas como WastedLocker y laberinto ransomware.

«En los viejos tiempos, todo el mundo estaba llegando a las computadoras de escritorio por $ 400, y había grupos exitosos haciendo eso y grupos no exitosos haciendo eso», dice el científico principal de investigación de Sophos, Chet Wisniewski. «Ahora las personas exitosas no se están molestando con eso: han pasado a ataques (específicos) más específicos y específicos, ya sea extorsión o simplemente ransomware empresarial increíblemente sofisticado».

Sophos se centró en WastedLocker. en un reporte, el director de ingeniería Mark Loman y el investigador principal de amenazas Anand Ajjan explican cómo utiliza Windows Cache Supervisor a través de E / S mapeadas en memoria para evadir el monitoreo mediante herramientas basadas en el comportamiento. Esto permite que el ransomware cifre de forma transparente los documentos almacenados en caché en la memoria, sin causar E / S de disco adicionales. Es posible que las herramientas utilizadas para monitorear las escrituras en disco no noten que el malware está accediendo a un documento almacenado en caché.

«La inteligencia, la creatividad y el conocimiento íntimo de estos detalles técnicos muy, muy minúsculos para crear un bypass como ese casi no se ve en el malware felony», dice Wisniewski. «Es el tipo de cosas que esperamos ver en los ataques de espionaje, no en los ataques criminales».

Algunos atacantes evitan las herramientas técnicas al «vivir de la tierra» o al usar herramientas de administración legítimas para lograr los objetivos. Algunos usan herramientas de implementación de program para implementar ransomware en lugar de entregar parches a las máquinas con Home windows, dice Wisniewski como ejemplo. Pueden abusar de PowerShell, otras herramientas de Microsoft o las llamadas herramientas de «sombrero gris» como Metasploit o Cobalt Strike.

Este comportamiento no es nuevo, dice Wisniewski. «Lo nuevo es que puede ser la única indicación de que están en su pink». Las organizaciones pueden notar cosas pequeñas e inusuales de vez en cuando, remediarlas y cerrar el ticket sin darse cuenta de que son parte de un incidente mayor. Para cuando lo hacen, un atacante ha estado en su red durante semanas. WastedLocker y Maze se «sentarán allí durante un mes» para descubrir lo que cerrará sus víctima de la empresa.

«Quiero asegurarme de obtener el activo más crítico que poseen, y lo incapacito completamente para destruir su negocio», dice sobre la mentalidad del atacante. Están dispuestos a tomarse el tiempo para descubrir el modelo de negocio, qué bases de datos tienen las joyas de la corona y cómo robarles datos.

Los atacantes no necesitan estas técnicas para apuntar a todas las empresas, señala Wisniewski, pero son necesarias para empresas de primer nivel con mayores reservas de efectivo y mejores defensas. Señala a SamSam, que representa el nivel «intermedio» del ransomware. El tiempo de permanencia del grupo fue mucho más corto, aproximadamente 72 horas, y no fue necesario identificar cada activo para lograr sus objetivos. Fue para empresas con defensas más bajas, atacó a sus servidores y cobró $ 100,000– $ 800,000 por víctima.

Si bien la motivación es diferente para cada grupo avanzado de ransomware, las técnicas son similares. WastedLocker está más enfocado en la explotación técnica amenazas como Maze dependen de la doble extorsión: cobran a las víctimas para recuperar sus datos y evitar que los publiquen. Están enfocados en el aspecto más social de cómo pueden manipular a sus víctimas, agrega. Maze ha invitado a otros grupos a publicar en su sitio world wide web y, al hacerlo, impulsar su comercialización.

«Ninguno de estos grupos es técnicamente inepto, pero la salsa especial que traen a la mesa es diferente», continúa Wisniewski. «Cada uno de estos grupos tiene su propia firma».

Cómo saber si has estado comprometido
Si bien puede ser difícil saber cuándo hay un atacante avanzado en su red, aún es posible. Peter Mackenzie, gerente global de escaladas de malware en Sophos, comparte un pocos indicadores clave eso podría alertar a las empresas sobre actividades sospechosas.

Uno es un escáner de crimson, especialmente en un servidor. Los atacantes generalmente comienzan a reconocer accediendo a una máquina y buscando información como el dominio y el nombre de la compañía, los derechos de administrador del dispositivo, and many others. Luego escanean la red para ver a qué más pueden acceder. Si la empresa detecta un escáner de pink como AngryIP o Innovative Port Scanner, pregunte al particular administrativo. Si no lo están usando, puede ser un intruso.

Las empresas también deben estar atentas a las herramientas diseñadas para deshabilitar el program antivirus, que los atacantes pueden usar para evitar la detección. Mackenzie señala a System Hacker, IOBit Uninstaller, GMER y Laptop Hunter como ejemplos de herramientas legítimas que podrían apuntar a actividades nefastas si aparecen de repente. Además, dice, cualquier detección de MimiKatz debe investigarse.

«Si nadie en un equipo de administración puede responder por usar MimiKatz, esto es una señal de alerta porque es una de las herramientas de piratería más utilizadas para el robo de credenciales», escribe. Los atacantes también pueden usar Microsoft Process Explorer, una herramienta legítima que puede volcar LSASS (.) Exe de la memoria.

Incluso si se han detectado y eliminado archivos maliciosos, las empresas deben estar atentas a cualquier detección que ocurra a la misma hora todos los días, o en otro patrón repetitivo. Esto podría indicar que algo está sucediendo pero aún no se ha identificado.

Un atacante puede darse a conocer en «ataques de prueba», que son intrusiones más pequeñas realizadas en algunas computadoras para ver si su método de implementación funcionará. Si las herramientas de seguridad detienen el ataque, pueden cambiar las estrategias antes de volver a intentarlo.

«A menudo es cuestión de horas antes de que se lance un ataque mucho más grande», dice Mackenzie.

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Kelly Sheridan es la Editora de own de Dim Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente informó para InformationWeek, donde cubrió Microsoft, y Insurance & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia authentic