Los ataques de ransomware continúan dominando el panorama de amenazas


Los ciberdelincuentes están explotando cada vez más el package de herramientas de prueba Cobalt Strike para llevar a cabo campañas de ransomware, dice Cisco Talos Incident Reaction.

Secuestro de datos

Imagen: kaptnali, Getty Images / iStockphoto

Los ataques de ransomware a menudo se basan en troyanos para infectar computadoras y robar información. Troyanos de productos básicos como Emotet y Trickbot son dos de los mejores jugadores del juego, ya que los ciberdelincuentes intentan exfiltrar datos confidenciales que pueden ser rehenes. Pero a medida que el ransomware continúa dominando como una ciberamenaza, los delincuentes están llevando a cabo cada vez más ataques utilizando Cobalt Strike, un marco de prueba ético. Un nuevo informe del grupo de inteligencia de amenazas Cisco Talos Incident Response (CTIR) describe esta tendencia.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito)

en un entrada de blog publicada el martes que se discute el informe, CTIR dijo que observó que el ransomware dominaba el panorama de amenazas el último trimestre por quinto trimestre consecutivo. Las infecciones de ransomware afectaron a una variedad de familias de malware, incluidos Ryuk, Maze, LockBit y Netwalker. Sin embargo, ha seguido apareciendo otra táctica.

Los ataques de ransomware ahora se basan menos en troyanos de productos básicos como Emotet y Trickbot y más en Golpe de cobalto, un potente conjunto de herramientas diseñado para la emulación de amenazas y las pruebas de penetración.

En lugar de utilizar la herramienta para los fines éticos para los que se creó, los ciberdelincuentes la utilizan para infectar y comprometer sistemas de los que luego pueden robar y controlar datos. El último trimestre, el 66% de todos los ataques de ransomware involucraron Cobalt Strike, según el informe.

En un ejemplo citado por CTIR, una empresa de ingeniería fue infectada con el ransomware LockBit. Los atacantes utilizaron Cobalt Strike para sus propósitos de comando y regulate (C2) cuando CTIR descubrió el tráfico hacia un sistema Cobalt Strike C2 cada seis minutos. Usando una herramienta de submit-compromiso de código abierto llamada «CrackMapExecWin», los atacantes pudieron explorar grandes redes de Active Listing y forzar a todos los sistemas en la pink a realizar una actualización de la Política de Grupo.

La actualización de la Política de grupo luego configuró un servicio para ejecutar el ransomware desde un único servidor comprometido. Se crearon cuentas de usuario en las máquinas comprometidas, que los atacantes utilizaron para iniciar conexiones de escritorio remoto. Los atacantes también utilizaron la aplicación de handle remoto TeamViewer para robar información y borrar los registros de eventos para borrar los rastros de sus acciones.

Los datos extraídos de este ataque se publicaron en un sitio world wide web utilizado por Maze para publicar información robada. Esta acción sugiere que el grupo LockBit y otras bandas de ransomware se han unido para compartir datos y recursos comprometidos.

«Parte de la razón por la que estamos viendo tanta actividad de Cobalt Strike en este momento es que básicamente se trata de una construcción prefabricada para malware», dijo a TechRepublic Amy Henderson, de CTIR&#39s Approach and Operations for Risk Intelligence and Interdiction. «Los adversarios lo usan para cubrir cualquier brecha que puedan tener, o para una construcción rápida y eficiente, de modo que puedan concentrarse en las partes más rentables y complejas de su ataque».

La tendencia hacia el uso de Cobalt Strike está surgiendo no solo en ransomware sino en otros tipos de ciberataques. El uso de balizas de Cobalt Strike, que pueden emular el tráfico legítimo, puede ser una de las razones por las que el conjunto de herramientas es atractivo para los ciberdelincuentes, según Henderson.

«Hemos visto con más frecuencia balizas de Cobal Strike utilizadas con fines de comando y control, lo que significa que la mayoría de los actores de amenazas ya han comprometido a una víctima de un vector de ataque diferente antes de utilizar esta herramienta», dijo Henderson.

Cobalt Strike también viene con una variedad de características y capacidades que los atacantes pueden aprovechar.

«Como herramienta común de formación de equipos rojos, Cobalt Strike ofrece de todo, desde herramientas de reconocimiento hasta herramientas posteriores a la explotación», dijo Henderson. «Les da a los actores de amenazas todos los registros de Lincoln para construir su cabina, incluidos los postes telefónicos para marcar».

Otro conjunto de herramientas éticas que se está utilizando con fines no éticos es el Marco de interfaz de usuario de Telerik, según CTIR. Normalmente utilizado para el desarrollo de program, recientemente se descubrió que el marco Telerik tenía una vulnerabilidad (CVE-2019-18935) que podría permitir la ejecución de código remoto. Esta vulnerabilidad puede ser particularmente peligrosa ya que muchas aplicaciones ASP.Internet pueden ejecutar versiones anteriores de la interfaz de usuario de Telerik que pueden dejar a los usuarios expuestos.

En un ejemplo, un atacante atacó el servidor de una empresa de tecnología que ejecuta Telerik UI. El ciberdelincuente pudo abrir un símbolo del sistema para ejecutar comandos maliciosos que resultaron en un ataque de ransomware. En otro ejemplo, se explotó el servidor Telerik de una empresa de fabricación, lo que permitió al atacante implementar shells web APSX.Net para realizar tareas maliciosas en el servidor world-wide-web.

Para ayudar a proteger su organización de los ataques de ransomware, Henderson ofrece los siguientes consejos.

  • Utilice una solución de correo electrónico sólida. El correo electrónico sigue siendo el principal vector de ataque inicial que hemos observado, por lo que las organizaciones deben tener una solución de seguridad de correo electrónico sólida. Esto no solo incluye la seguridad basada en productos, sino también la capacitación de los empleados para detectar e informar sobre ataques de phishing avanzados.
  • Establece las políticas adecuadas. Establezca políticas que limiten el acceso de los usuarios desfavorecidos a las aplicaciones de PowerShell o CMD y otras aplicaciones poderosas. Dichas políticas deberían evitar que los atacantes aumenten los privilegios como una forma de establecer la persistencia y moverse lateralmente a través de la purple.
  • Mejorar la detección de endpoints. Mejore la detección de puntos finales y monitoree las soluciones de detección de crimson implementadas que pueden alertarlo sobre los métodos que un adversario puede usar para el movimiento lateral a través de herramientas de acceso remoto y el Protocolo de escritorio remoto (RDP). Además, aplique la autenticación de múltiples factores para todos los accesos remotos y para el acceso a la cuenta del usuario administrador.
  • Eliminar usuarios de dominio del grupo de administración. Elimine los usuarios del dominio del grupo de administradores locales y utilice la Solución de contraseña de administrador neighborhood (LAPS) para aleatorizar las contraseñas de la cuenta del administrador community. Los adversarios utilizarán la cuenta de administrador area para girar alrededor de una crimson hasta que encuentren un host donde puedan robar una cuenta de administrador de dominio.
  • Hacer una copia de seguridad de los datos críticos. Asegúrese de tener copias de seguridad de los datos críticos que no se puedan modificar con las credenciales de dominio. Esto podría significar copias de seguridad sin conexión u otros métodos para asegurar las copias de seguridad. Las copias de seguridad en línea casi siempre son el objetivo de un adversario antes de ejecutar ransomware. Tener copias de seguridad seguras es clave para poder restaurar datos sin necesidad de pagar al delincuente.

Ver también



Enlace a la noticia authentic