Lo que toda empresa puede aprender del ataque cibernético de Rusia a Ucrania



A lo largo de la guerra en curso en Ucrania, los actores del estado-nación rusos conocidos y sospechosos han comprometido objetivos ucranianos. Han utilizado una combinación de técnicas que incluyen campañas de phishing, explotando vulnerabilidades sin parches en servidores locales y comprometiendo a los proveedores de servicios de TI aguas arriba. Estos actores de amenazas también han desarrollado y utilizado malware de limpieza destructivo o herramientas destructivas similares en las redes ucranianas.

Entre fines de febrero y principios de abril de 2022, Microsoft vio evidencia de casi 40 ataques destructivos discretos que destruyó permanentemente archivos en cientos de sistemas en docenas de organizaciones en Ucrania. Después de cada ola de ataques, los actores de amenazas modificó el malware para evitar mejor la detección. Con base en estas observaciones, hemos desarrollado recomendaciones estratégicas para organizaciones globales sobre cómo abordar la defensa de la pink en medio de un conflicto militar.

Técnicas comunes de intrusión rusa

Las operaciones cibernéticas alineadas con Rusia han desplegado varias tácticas, técnicas y procedimientos comunes. Éstos incluyen:

  • Explotar aplicaciones orientadas al público o phishing selectivo con archivos adjuntos/enlaces para el acceso inicial.
  • Robo de credenciales y aprovechamiento de cuentas válidas a lo largo del ciclo de vida del ataque, incluso dentro de los servicios de dominio de Lively Directory y a través de redes privadas virtuales (VPN) u otras soluciones de acceso remoto. Esto ha convertido a las identidades en un vector de intrusión clave.
  • Usar protocolos, herramientas y métodos de administración válidos para el movimiento lateral, confiando en particular en identidades administrativas comprometidas.
  • Utilizar capacidades ofensivas conocidas y disponibles públicamente, a veces disfrazándolas con métodos específicos del actor para derrotar firmas estáticas.
  • “Vivir de la tierra” durante el descubrimiento de sistemas y redes, a menudo utilizando utilidades nativas o comandos que no son estándar para los entornos.
  • Aprovechar las capacidades destructivas que acceden a los sistemas de archivos sin procesar para sobrescribir o eliminar.

5 formas de proteger sus operaciones

En foundation a nuestras observaciones en Ucrania hasta el momento, recomendamos seguir los siguientes pasos para proteger su organización.

1. Minimice el robo de credenciales y el abuso de cuentas: La protección de las identidades de los usuarios es un componente fundamental de la seguridad de la red. Recomendamos habilitar la autenticación multifactor (MFA) y las herramientas de detección de identidad, aplicar el acceso con privilegios mínimos y proteger las cuentas y los sistemas más confidenciales y privilegiados.

2. Sistemas seguros orientados a Net y soluciones de acceso remoto: Asegúrese de que sus sistemas orientados a Internet estén actualizados a los niveles más seguros, que se evalúen periódicamente para detectar vulnerabilidades y se auditen para detectar cambios en la integridad del sistema. Las soluciones antimalware y la protección de puntos finales pueden detectar y prevenir a los atacantes, mientras que los sistemas heredados deben aislarse para evitar que se conviertan en un punto de entrada para los actores de amenazas persistentes. Además, las soluciones de acceso remoto deben requerir autenticación de dos factores y estar parcheadas a la configuración más segura.

3. Aproveche las soluciones antimalware, detección de endpoints y protección de identidad: Las soluciones de seguridad de defensa en profundidad combinadas con particular capacitado y capacitado pueden empoderar a las organizaciones para identificar, detectar y prevenir intrusiones que afecten su negocio. También puede habilitar las protecciones en la nube para identificar y mitigar amenazas de purple nuevas y conocidas a escala.

4. Habilite las investigaciones y la recuperación: La auditoría de los recursos clave puede ayudar a habilitar las investigaciones una vez que se detecta una amenaza. También puede evitar retrasos y disminuir el tiempo de permanencia de los actores de amenazas destructivas creando y promulgando un plan de respuesta a incidentes. Asegúrese de que su empresa tenga una estrategia de respaldo que tenga en cuenta el riesgo de acciones destructivas y esté preparada para ejecutar planes de recuperación.

5. Revisar e implementar las mejores prácticas para la defensa en profundidad: Ya sea que su entorno sea solo en la nube o una empresa híbrida que abarque la(s) nube(s) y los centros de datos locales, hemos desarrollado amplios recursos y orientación práctica para ayudarlo a mejorar su postura de seguridad y reducir el riesgo. Estas mejores practicas de seguridad cubren temas como gobierno, riesgo, cumplimiento, operaciones de seguridad, gestión de acceso e identidad, seguridad y contención de redes, protección y almacenamiento de información, aplicaciones y servicios.

Qué significa esto para el panorama mundial de la ciberseguridad

A medida que avanza la guerra en Ucrania, esperamos descubrir nuevas vulnerabilidades y cadenas de ataque como resultado del conflicto en curso. Esto obligará a los actores de amenazas que ya cuentan con buenos recursos a revertir los parches y llevar a cabo «ataques de N días» adaptados a las vulnerabilidades subyacentes. Todas las organizaciones asociadas con el conflicto en Ucrania deben protegerse de manera proactiva y monitorear acciones similares en sus entornos.

Microsoft respeta y reconoce los esfuerzos continuos de los defensores ucranianos y el apoyo inquebrantable brindado por el Equipo Nacional de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) para proteger sus redes y mantener el servicio durante este momento difícil. Para una cronología más detallada del ataque cibernético de Rusia a Ucrania, explorar el informe completo.

Lee mas Perspectivas de socios de Microsoft



Enlace a la noticia authentic