Lucha contra las nuevas técnicas de ransomware con las últimas innovaciones de McAfee


En 2021, los ataques de ransomware han sido dominantes entre las historias de seguridad cibernética más importantes. Por lo tanto, no me sorprendió ver que el informe de amenazas de junio de 2021 de McAfee se centra principalmente en este tema.

Este informe proporciona una amplia gama de estadísticas que utilizan el lago de datos de McAfee detrás de MVISION Insights, incluidas las principales técnicas de MITRE ATT & CK. En este informe destaco las siguientes técnicas de MITRE:

  1. Enlaces de spear phishing (acceso inicial)
  2. Explotar aplicaciones de cara al público (acceso inicial)
  3. Shell de comandos de Windows (ejecución)
  4. Ejecución del usuario (ejecución)
  5. Inyección de proceso (escalamiento de privilegios)
  6. Credenciales de navegadores web (acceso a credenciales)
  7. Exfiltración a almacenamiento en la nube (exfiltración)

También quiero destacar una técnica obvia que sigue siendo común en todos los ataques de ransomware al final del ciclo de vida del ataque:

  1. Datos encriptados para impacto (Impact)

Las defensas tradicionales basadas en firmas anti-malware y protección web contra dominios maliciosos conocidos y direcciones IP pueden ser insuficientes para protegerse contra estas técnicas. Por lo tanto, durante el resto de este artículo, quiero cubrir algunas innovaciones recientes de McAfee que pueden marcar una gran diferencia en la lucha contra el ransomware.

Cloud Edge unificado con aislamiento remoto del navegador

Las siguientes tres técnicas de ransomware están vinculadas al acceso web:

  • Enlaces de spear phishing
  • Ejecución del usuario
  • Exfiltración al almacenamiento en la nube

Además, la mayoría de los ataques de ransomware requieren algún tipo de acceso a un servidor de comando y control para estar en pleno funcionamiento.

McAfee Remote Browser Isolation (RBI) garantiza que ningún contenido web malicioso llegue nunca a los navegadores web de los puntos finales empresariales al aislar toda la actividad de navegación a desconocidos y riesgosos sitios web en un entorno virtual remoto. Con los enlaces de spear phishing, RBI funciona mejor cuando se ejecuta el cliente de correo en el navegador web. Los sistemas de usuario no pueden verse comprometidos si el código web o los archivos no se pueden ejecutar en ellos, lo que convierte a RBI en la forma más poderosa de protección contra amenazas web disponible. RBI está incluido en la mayoría de las licencias de McAfee United Cloud Edge (UCE) sin costo adicional.

Figura 1. Concepto de aislamiento de navegador remoto

McAfee Client Proxy (MCP) controla todo el tráfico web, incluido el tráfico web de ransomware iniciado sin un navegador web mediante herramientas como MEGAsync y Rclone. MCP es parte de McAfee United Cloud Edge (UCE).

Protección contra ataques sin archivos

Las siguientes técnicas de ransomware están vinculadas a los ataques sin archivos:

  • Shell de comandos de Windows (ejecución)
  • Inyección de proceso (escalamiento de privilegios)
  • Ejecución del usuario (ejecución)

Muchos ataques de ransomware también utilizan Potencia Shell.

Figura 2. Ejemplo de un ataque kill chain con fileless

McAfee proporciona una amplia gama de tecnologías que protegen contra los métodos de ataque sin archivos, que incluyen Prevención de exploits de McAfee ENS (Endpoint Security) y McAfee ENS 10.7 Protección adaptable frente a amenazas (ATP). A continuación, se muestran algunos ejemplos de reglas de ATP y prevención de exploits:

  • Exploit 6113-6114-6115-6121 Amenaza sin archivo: autoinyección
  • Explotar 6116-6117-6122: actividad sospechosa de Mimikatz
  • ATP 316: evitar que los lectores de PDF inicien cmd.exe
  • ATP 502: evitar que se creen nuevos servicios a través de sc.exe o powershell.exe

Con respecto al uso de Mimikatz en el ejemplo anterior, el nuevo Protección contra robo de credenciales ATP de McAfee ENS 10.7 está diseñado para detener los ataques contra Windows LSASS para que no tenga que depender de la detección de Mimikatz.

Figura 3. Ejemplo de reglas de prevención de exploits relacionadas con Mimikatz

ENS 10.7 ATP ahora se incluye en la mayoría de las licencias de McAfee Endpoint Security sin costo adicional.

Monitoreo y caza proactivos con MVISION EDR

Para evitar el acceso inicial, también debe reducir los riesgos relacionados con la siguiente técnica:

  • Explotar aplicaciones de cara al público (acceso inicial)

Por ejemplo, RDP (Protocolo de escritorio remoto de Windows) es un acceso inicial común utilizado por los ataques de ransomware. Es posible que tenga una política que ya prohíba o restrinja RDP, pero ¿cómo sabe que se aplica en todos los puntos finales?

Con MVISION EDR (Endpoint Detection and Response) puede realizar una búsqueda en tiempo real en todos los sistemas administrados para ver qué está sucediendo en este momento.

Figura 4. Búsqueda en tiempo real de MVISION EDR para verificar si RDP está habilitado o deshabilitado en un sistema

Figura 5. Búsqueda en tiempo real de MVISION EDR para identificar sistemas con conexiones activas en RDP

MVISION EDR mantiene un historial de conexiones de red entrantes y salientes del cliente. La realización de una búsqueda histórica del tráfico de red podría identificar sistemas que se comunicaron activamente en el puerto 3389 con direcciones no autorizadas, lo que podría detectar intentos de explotación.

MVISION EDR también permite el monitoreo proactivo por parte de un analista de seguridad. El Panel de control ayuda al analista del SOC a clasificar rápidamente el comportamiento sospechoso.

Para obtener más casos de uso de EDR relacionados con ransomware, consulte este artículo de blog.

Inteligencia de amenazas procesable

Con MVISION Insights, no necesita esperar al último Informe de amenazas de McAfee para estar informado sobre las últimas campañas de ransomware y perfiles de amenazas. Con MVISION Insights, puede cumplir fácilmente con los siguientes casos de uso:

  • Evalúe de forma proactiva la exposición de su organización al ransomware y prescriba cómo reducir la superficie de ataque:
    • Detecta si te ha afectado una campaña de ransomware conocida
    • Ejecute un programa de inteligencia contra amenazas cibernéticas a pesar de la falta de tiempo y experiencia
    • Priorice la búsqueda de amenazas utilizando los indicadores más relevantes

Estos casos de uso se tratan en el seminario web. Cómo luchar contra el ransomware con las últimas innovaciones de McAfee.

Con respecto a la siguiente técnica del Informe de amenazas de junio de 2021 de McAfee:

Credenciales de navegadores web (acceso a credenciales)

MVISION Insights puede mostrar las detecciones en su entorno, así como estadísticas de prevalencia.

Figura 6. Estadísticas de prevalencia de MVISION Insights en la herramienta LAZAGNE

MVISION Insights se incluye en varias licencias de Endpoint Security.

Reversión del cifrado de ransomware

Ahora nos quedamos con la última técnica en el ciclo de vida del ataque:

  • Datos encriptados para impacto (Impact)

McAfee ENS 10.7 Protección adaptable frente a amenazas (ATP) proporciona una aplicación dinámica de contención de procesos sospechosos y una corrección mejorada con una reversión automática del cifrado de ransomware.

Figura 7. Configuración de la corrección de reversión en ENS 10.7

Puede ver cómo se pueden restaurar los archivos afectados por ransomware a través de Remediación mejorada en este video. Para obtener más prácticas recomendadas sobre cómo ajustar las reglas de contención dinámica de aplicaciones, consulte el artículo de la base de conocimientos aquí.

Protección adicional de McAfee contra ransomware

El año pasado, McAfee publicó este artículo de blog que cubre capacidades adicionales de McAfee Endpoint Security (ENS), Endpoint Detection and Response (EDR) y Management Console (ePO) contra ransomware, que incluyen:

  • ENS Prevención de exploits
  • Cortafuegos ENS
  • Control web ENS
  • Autoprotección ENS
  • Gráfico de la historia de ENS
  • Espacio de trabajo de protección de ePO
  • Casos de uso de EDR adicionales contra ransomware

Resumen

Para aumentar su protección contra ransomware, es posible que ya tenga derecho a:

  • ENS 10.7 Protección adaptable frente a amenazas
  • Cloud Edge unificado con aislamiento remoto del navegador y McAfee Client Proxy
  • Perspectivas de MVISION
  • MVISION EDR

Si es así, debe comenzar a usarlos lo antes posible, y si no es así, comuníquese con nosotros.





Enlace a la noticia original