Los incidentes de ransomware continúan dominando la amenaza …



Los compromisos de IR de Cisco Talos descubrieron que los atacantes dependían en gran medida de malware como Zloader y BazarLoader para distribuir ransomware en los últimos tres meses.

Los operadores de ransomware se basaron en gran medida en un puñado de troyanos básicos, herramientas de reconocimiento de código abierto y utilidades legítimas de Windows para ejecutar muchos de sus ataques durante el último trimestre, según datos de incidentes manejados por el equipo Cisco Talos Incident Reaction (CTIR).

Los datos, recopilados de las ubicaciones de los clientes entre noviembre de 2020 y enero de 2021, mostraron que los atacantes continuaban utilizando abrumadoramente correos electrónicos de phishing con documentos maliciosos para entregar troyanos para descargar ransomware en los sistemas de las víctimas.

Pero a diferencia del pasado reciente, donde las familias de malware Emotet y Trickbot eran los vehículos principales para distribuir ransomware, muchos de los troyanos utilizados para este propósito en el último trimestre eran herramientas básicas como Zloader, BazarLoader e IcedID. Según el equipo de CTIR, casi el 70% de los ataques de ransomware a los que respondió durante el período de tres meses utilizaron estos troyanos o similares para entregar ransomware.

«Vimos una variedad de troyanos de productos básicos utilizados este trimestre, a diferencia de los trimestres anteriores en los que Trickbot y Emotet eran dominantes», dice Brad Garnett, gerente normal del equipo de respuesta a incidentes de Cisco Talos.

Para las empresas, la tendencia podría significar aún más problemas en el frente del ransomware.

«Los troyanos de productos básicos son fáciles de obtener y poseen numerosas capacidades de movimiento lateral, comunicaciones de comando y management, and many others., que pueden aumentar la eficacia de un ataque de ransomware», señala Garnett.

El equipo CTIR datos de compromisos de respuesta a incidentes mostró que el ransomware dominó el panorama de amenazas durante el período de tres meses, al igual que lo ha hecho durante los últimos siete trimestres consecutivos. Las familias de ransomware más prolíficas incluyeron Ryuk, Vatet, WastedLocker y variantes de Egregor.

Como lo han hecho en el pasado, los operadores de ransomware aprovecharon varias herramientas y utilidades de administración legítimas y de código abierto para facilitar ataques, moverse lateralmente en redes comprometidas, ocultar actividades maliciosas y tomar otras acciones. Alrededor del 65%, o casi dos tercios, de los incidentes de ransomware a los que respondió el equipo de Cisco Talos involucraron el uso de PowerShell, y el 30% de los incidentes involucraron el uso de PsExec. Otras herramientas gratuitas, disponibles comercialmente y de doble uso de uso común incluyen Cobalt Strike, CCleaner para eliminar archivos no deseados, TightVNC de código abierto para permitir el regulate remoto de Personal computer con Home windows y Linux, y software program de compresión como WinRAR y 7-Zip.

Abusar de herramientas y utilidades legítimas
El equipo de CTIR también encontró varios incidentes en los que los atacantes utilizaron herramientas de reconocimiento de código abierto, como la utilidad de búsqueda de Energetic Listing (Advertisement) ADFind, la herramienta de recopilación de información de Ad ADRecon y la herramienta Bloodhound para visualizar entornos de Advertisement y encontrar posibles rutas de ataque.

Como un ejemplo de cómo los operadores de ransomware están aprovechando estas herramientas, el equipo de CTIR señaló un incidente en el que los atacantes, después de lograr un punto de apoyo inicial en la crimson de la víctima, aprovecharon la función de replicación de políticas de grupo en Windows Advert para instalar Ryuk ransomware. En ese caso, el adversario aprovechó PsExec para moverse lateralmente y ejecutar comandos remotos. Eventualmente obtuvieron credenciales de administrador de dominio (DA) y las usaron para cifrar unos 1,000 puntos finales y borrar índices de respaldo.

«El ransomware sigue siendo la mayor amenaza para las empresas», dice Garnett. «El phishing sigue siendo el vector de infección más observado para estos ataques, lo que subraya la importancia de la seguridad del correo electrónico y la formación en phishing».

Además, las empresas deben habilitar la autenticación multifactor cuando sea posible, deshabilitar los protocolos heredados y limitar el uso de poderosas herramientas de Windows en cuentas confiables.

El ransomware fue la amenaza predominante. Pero el equipo de CTIR también respondió a múltiples incidentes relacionados con malware distribuido a través de actualizaciones envenenadas de la tecnología de administración de red Orion de SolarWinds. Unas 18.000 organizaciones en todo el mundo, incluidos varios clientes de Cisco Talos, se vieron afectadas por esa infracción. Sin embargo, solo uno de los incidentes que investigó Cisco Talos involucró actividad posterior al compromiso. En ese incidente, los atacantes habían configurado un script de PowerShell que parecía que estaba diseñado para recibir más código para ejecutar actividades maliciosas.

Mirando el trimestre true, Garnett espera que Cisco Talos tenga que responder a más incidentes relacionados con SolarWinds porque el alcance overall y el impacto de ese incidente probablemente sea mayor de lo que se conoce hasta ahora. También espera que el equipo de CTIR tenga que responder a más incidentes relacionados con el grupo Hafnium con sede en China y sus recientes ataques dirigidos a cuatro vulnerabilidades críticas de día cero en Microsoft Exchange Server.

«Para Hafnium, estamos apoyando activamente a los clientes a nivel mundial en diferentes sectores y seguimos viendo un aumento en las solicitudes de servicios de IR de los clientes (afectados por los ataques)», dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original