Tiempo de permanencia del atacante: la métrica más importante del ransomware



Cómo reforzar las defensas de seguridad al concentrarse en el tiempo que un intruso permanece sin ser detectado dentro de su purple.

El ransomware sigue siendo una de las amenazas de seguridad más generalizadas e insidiosas para las organizaciones empresariales. Solo en 2020, decenas de marcas, desde Garmin hasta Jack Daniels, se han visto obligadas a revelar que sus redes fueron violadas y sus datos encriptados por un grupo heterogéneo de organizaciones criminales globales.

Si bien gran parte de la atención en torno a los ataques de ransomware se ha centrado en los métodos mediante los cuales los actores de amenazas se abren camino dentro de la purple, a menudo se pasa por alto un aspecto crítico de estos ataques: el tiempo de permanencia del atacante, que representa la cantidad de tiempo que un intruso permanece sin ser detectado dentro de la crimson. purple.

Durante la mayor parte de la última década, la mayoría de los ataques de ransomware fueron del tipo aplastar y agarrar en el que el archivo malicioso implementado con éxito cifraría tantos archivos y máquinas tan rápido como fuera posible antes de revelarse en forma de pantalla de bloqueo. . Más recientemente, los operadores de ransomware se están quedando, acechando en las sombras de la red para realizar reconocimientos y esperando pacientemente para identificar activos de mayor valor para comprometer.

Si bien el tiempo promedio de permanencia del ataque para el ransomware es relativamente breve en comparación con otras cepas de malware, 43 días en promedio para ransomware versus meses o incluso años para amenazas más persistentes: cada día que pasa sin ser detectado presenta al atacante nuevas oportunidades para desatar su ira y llenar sus bolsillos.

Una nueva generación de atacantes envalentonados
Durante la última década, el ransomware se ha convertido en el vehículo de malware preferido por piratas informáticos y organizaciones criminales por igual. No solo hay decenas de miles de variantes contra las que los equipos de seguridad deben defenderse, sino que los propios actores de amenazas ya no siguen el mismo libro de jugadas.

El grupo detrás de la cepa de ransomware Sodinokibi no es más que un ejemplo de un operador que ha logrado encontrar formas creativas de maximizar sus retornos al robar datos antes de criptobloquear los sistemas de un objetivo y luego amenazar con filtrar o subastar datos robados a menos que sus víctimas paguen. .

Otros grupos criminales como REvil han democratizado esencialmente el ransomware al hacer que los aspirantes a piratas informáticos y los piratas informáticos puedan perpetrar sus propios ataques al ofrecer una suscripción de malware como servicio asequible y fácil de usar. Estos modelos también permiten a los operadores monetizar aún más sus esfuerzos mediante el empleo de modelos afiliados en los que reciben un porcentaje de los rescates pagados, y eliminan el riesgo ya que ellos mismos no encabezan el ataque.

Los operadores de ransomware también se sienten envalentonados por la enorme cantidad de personas que ahora trabajan de forma remota debido a la pandemia, explotando vulnerabilidades de seguridad conocidas en los protocolos de escritorio remoto y aprovechando las malas prácticas de seguridad de una fuerza laboral que no está familiarizada con los protocolos de seguridad remota adecuados.

Por qué el tiempo de permanencia del atacante es una métrica crítica
A medida que los operadores de ransomware cambian sus objetivos a un enfoque de calidad sobre cantidad, el enfoque de los equipos de seguridad debe evolucionar desde una mentalidad de mantener fuera a los actores de amenazas a toda costa a asumir que ya están adentro.

Cuando los atacantes pueden pasar desapercibidos dentro de una pink, pueden pasar semanas o meses explorándola en profundidad, tratando de escalar los privilegios y aprovechar esos permisos para enviar ransomware a tantos dispositivos terminales como sea posible. También pueden utilizar este tiempo para identificar recursos de crimson críticos, como copias de seguridad del sistema, segmentos de pink que almacenan datos confidenciales y otros sistemas clave que pueden usarse para difundir ampliamente su ransomware.

3 formas de reducir el tiempo de permanencia del atacante
Si bien una onza de prevención vale una libra de cura, los equipos de seguridad deben reconsiderar el paradigma de seguridad existente de tratar de mantener a los atacantes fuera de los activos de purple clave y asumir que ya están adentro. El objetivo, por supuesto, es mantener alejados a los malos actores, pero como Mike Tyson lo expresó elegantemente, «Todos tienen un strategy hasta que los golpean en la cara».

Por lo tanto, si bien es posible que no siempre sea posible mantener a los intrusos fuera por completo, puede tomar algunas medidas inmediatas para limitar su impacto adoptando algunas de las siguientes iniciativas:

  • Medir intencionalmente el compromiso: Las pruebas de penetración periódicas y la búsqueda de amenazas son el sello distintivo de una práctica de seguridad madura, pero también están fuera del alcance de muchos. La adopción de un marco de evaluación de compromiso continuo permite a los equipos de seguridad integrar las diversas fuentes de administración de eventos y redes que una empresa ya recopila para que puedan medir su nivel de compromiso a un nivel más granular.
  • Inteligencia de purple correlacionada: Los atacantes usan la purple como su puerto de entrada y también deben usarla para moverse lateralmente, comunicarse con sus servidores de comando y eventualmente exfiltrar datos. Todo este movimiento arroja fragmentos de metadatos, ya sea al intentar resolver una consulta de DNS o al escanear el firewall en busca de puertos abiertos. Al correlacionar estos pequeños bits de datos en una vista unificada, los defensores de la pink pueden determinar claramente si su crimson se está comunicando con la infraestructura de un adversario.
  • Hacer cumplir un marco de confianza cero: La confianza cero es uno de los temas más candentes en la seguridad de la red, ya que busca reemplazar el modelo convencional de confianza pero verificación con una capa definida por software program que puede hacer cumplir más fácilmente el acceso con privilegios mínimos y la microsegmentación en toda la red. Desde la perspectiva de un ataque de ransomware, esto hará que sea mucho más difícil para un atacante saltar a través de la purple y escalar privilegios.

Sin duda, los operadores de ransomware continuarán encontrando nuevas formas de violar la crimson y colocar sus ejecutables. El verdadero desafío no será detenerlos fuera de la puerta, sino iluminar los muchos puntos ciegos en la purple para que podamos evitar que los incidentes menores se conviertan en violaciones de datos en toda regla.

Ricardo Villadiego es el fundador y CEO de Lumu, una empresa de ciberseguridad enfocada en ayudar a las organizaciones a medir el compromiso en tiempo genuine. Antes de LUMU, Ricardo fundó Effortless Remedies, un proveedor líder de soluciones de prevención de fraude que fue adquirido por Cyxtera en 2017 como … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original