Detenga el ransomware de día cero con IA


2021 ha visto un aumento dramático en los ataques de ransomware, pero no es solo su volumen lo que es alarmante. La automatización y velocidad del ransomware también está aumentando, ya que los atacantes agregan continuamente nuevas capacidades y emplean diferentes técnicas. Actualmente estamos viendo un número récord de malwares de «día cero» lanzados por ciberdelincuentes: las nuevas variedades de ransomware nunca antes vistas que el mundo de la seguridad aún tiene que catalogar.

Esto es preocupante porque los enfoques de seguridad que se basan en reglas, firmas e inteligencia de amenazas históricas, mirando por el espejo retrovisor los ataques de ayer, permanecerán ciegos a estas amenazas a medida que surjan en la empresa.

Sin embargo, la inteligencia artificial (IA) está ganando muchas batallas. Las organizaciones de todo el mundo armadas con una sofisticada tecnología de inteligencia synthetic capaz de reconocer estos ataques previamente desconocidos pueden detenerlos a la velocidad de una computadora. En este artículo, analizaremos un ataque de ransomware en el mundo serious en el que un fabricante de productos electrónicos de EE. UU. Utilizó la IA de autoaprendizaje de Darktrace para identificar y contener una cepa de ransomware nunca antes vista antes de que fuera demasiado tarde.

Cómo se ve un ataque de ransomware de día cero
En la organización en cuestión, la tecnología de inteligencia synthetic de Darktrace se había implementado e inmediatamente comenzó a aprender los «patrones de vida» de cada usuario y dispositivo de la organización, desde cero. Esta comprensión evoluciona en tiempo actual a medida que cambia la organización, detectando desviaciones sutiles que indican una amenaza.

Cuando los atacantes obtuvieron acceso remoto a un dispositivo, posiblemente a través de un correo electrónico de phishing o una credencial comprometida, la IA reconoció que el dispositivo del «paciente cero» comenzó a desviarse de su comportamiento típico. La IA comprendió lo que se consideraría «regular» para los sistemas digitales de la empresa de fabricación y utilizó la información para detectar los primeros signos de comportamiento malicioso.

En respuesta, la IA disparó una serie de alertas que indicaban que el dispositivo estaba haciendo conexiones SMB inusuales y búsquedas de DNS inversas. La IA pudo determinar que el comportamiento anómalo del dispositivo era significativamente comparable al ransomware e inició una serie de acciones en respuesta a la infección de malware.

El dispositivo estaba realizando una cantidad inesperadamente grande de conexiones, leyendo y escribiendo una gran cantidad de archivos SMB y transfiriendo los datos internamente a un servidor con el que normalmente no se comunicaba. El aumento en las conexiones internas entre el paciente cero y el servidor fue un fuerte indicador de que el malware intentaba moverse lateralmente a través de la red. Las búsquedas de DNS inversas eran sospechosas porque se utilizan con frecuencia durante la fase de reconocimiento de un ataque. Además, el ransomware había comenzado su fase de cifrado y algunos de estos archivos estaban en proceso de cifrado.

Una investigación más a fondo sobre la actividad de SMB reveló que el dispositivo había accedido a cientos de archivos relacionados con Dropbox en recursos compartidos de SMB a los que no había accedido anteriormente.

Tan pronto como la IA detectó que algunos archivos habían sido encriptados, la tecnología bloqueó inmediatamente las conexiones anómalas durante cinco minutos. Esto tuvo el efecto inmediato de detener el cifrado de otros archivos.

Darktrace evita que el dispositivo infectado lleve a cabo actividades maliciosas.
Evite que el dispositivo infectado realice movimientos laterales y actividades de rescate.

La velocidad de respuesta es importante. Debido a que la IA bloqueó esas conexiones tan pronto como lo hizo, el ransomware logró cifrar con éxito solo cuatro archivos. Las conexiones se bloquean durante cinco minutos para que la IA tenga tiempo de recopilar evidencia de otras actividades potencialmente maliciosas y minimizar el posible daño causado durante ese intervalo.

No es suficiente que la IA simplemente bloquee las conexiones, ya que los atacantes todavía están en la crimson y pueden moverse lateralmente a otros sistemas. Según la escala y el alcance de la actividad anómala que la IA había detectado, había suficiente evidencia para decidir que este dispositivo de paciente cero debería ser puesto en cuarentena durante 24 horas. Los atacantes ya no podían escanear la red para conocer otros sistemas, usar credenciales de administrador recolectadas para obtener acceso elevado o realizar otras formas de reconocimiento.

Al evitar que el dispositivo se conecte al servidor o cualquier otro dispositivo en la pink, la tecnología neutralizó efectivamente la amenaza.

Sin firmas, no hay problema
Según lo que la IA sabía sobre todos los dispositivos en la pink antes del ataque y todo lo que aprendió del inusual conjunto de alertas que se dispararon durante el curso de la infección, la tecnología pudo detener la actividad de cifrado y el movimiento lateral del ransomware. La intervención quirúrgica neutralizó la amenaza y permitió que continuaran las operaciones comerciales normales.

Hay un claro ejemplo de retorno de la inversión en seguridad. Según las tendencias recientes, el fabricante en cuestión puede haber recibido pagos de rescate por valor de cientos de miles de dólares si el ataque no se hubiera frustrado. Es poco probable que se haya detectado o detenido esta nueva variedad de ransomware en función de los signos de un ataque encontrados anteriormente.

No podemos evitar que se produzcan infracciones, pero, como muestra este ejemplo, la tecnología de IA de autoaprendizaje puede actuar antes de que los atacantes causen estragos. Al detectar los indicadores sutiles de actividad maliciosa y responder en segundos para detener las actividades, la IA ayuda a la organización a evitar posibles interrupciones.



Enlace a la noticia unique