02
Jun

Los grupos de ransomware continúan apuntando a servicios críticos de salud; aquí le mostramos cómo reducir el riesgo

En un momento en que el trabajo remoto se está volviendo universal y la presión sobre SecOps, especialmente en las industrias de salud y críticas, nunca ha sido tan alta, los actores de ransomware son implacables y continúan con sus operaciones normales.

Múltiples grupos de ransomware que han acumulado acceso y han mantenido la persistencia en las redes objetivo durante varios meses activaron docenas de implementaciones de ransomware en las primeras dos semanas de abril de 2020. Hasta ahora, los ataques han afectado a organizaciones de ayuda, compañías de facturación médica, fabricación, transporte e instituciones gubernamentales. , y proveedores de software educativo, que muestran que estos grupos de ransomware dan poca importancia a los servicios críticos que impactan, a pesar de la crisis global. Sin embargo, estos ataques no se limitan a los servicios críticos, por lo que las organizaciones deben estar atentas a las señales de compromiso.

Las implementaciones de ransomware en este período de dos semanas parecen causar un ligero aumento en el volumen de los ataques de ransomware. Sin embargo, la inteligencia de seguridad de Microsoft, así como los datos forenses de los trabajos relevantes de respuesta a incidentes del Equipo de Detección y Respuesta de Microsoft (DART) mostraron que muchos de los compromisos que permitieron estos ataques ocurrieron antes. Usando un patrón de ataque típico de las campañas de ransomware operadas por humanos , los atacantes han comprometido las redes objetivo durante varios meses a partir de principios de este año y han estado esperando monetizar sus ataques mediante la implementación de ransomware cuando verían la mayor ganancia financiera.

Muchos de estos ataques comenzaron con la explotación de dispositivos de red vulnerables que se enfrentan a Internet; otros usaron la fuerza bruta para comprometer los servidores RDP. Los ataques entregaron una amplia gama de cargas útiles, pero todos usaron las mismas técnicas observadas en las campañas de ransomware operadas por humanos: robo de credenciales y movimiento lateral, que culminaron en el despliegue de una carga útil de ransomware de elección del atacante. Debido a que las infecciones de ransomware están al final de los ataques prolongados, los defensores deben centrarse en buscar signos de adversarios que realicen actividades de robo de credenciales y movimiento lateral para evitar el despliegue de ransomware.

En este blog, compartimos nuestro análisis en profundidad de estas campañas de ransomware. A continuación, cubriremos:

Hemos incluido detalles técnicos adicionales que incluyen guía de caza y priorización recomendada para operaciones de seguridad (SecOps).

Los sistemas vulnerables y no supervisados ​​de Internet proporcionan un acceso fácil a los ataques operados por humanos.

Si bien los ataques recientes desplegaron varias cepas de ransomware, muchas de las campañas compartieron infraestructura con campañas de ransomware anteriores y utilizaron las mismas técnicas comúnmente observadas en los ataques de ransomware operados por humanos.

En marcado contraste con los ataques que entregan ransomware por correo electrónico, que tienden a desarrollarse mucho más rápido, con el ransomware implementado dentro de una hora de la entrada inicial, los ataques que vimos en abril son similares a las campañas de ransomware Doppelpaymer de 2019, donde los atacantes obtuvieron acceso a los afectados redes con meses de anticipación. Luego permanecieron relativamente inactivos dentro de los entornos hasta que identificaron un momento oportuno para implementar el ransomware.

Para obtener acceso a las redes objetivo, las recientes campañas de ransomware explotaron los sistemas orientados a Internet con las siguientes debilidades:

  • Protocolo de escritorio remoto (RDP) o puntos finales de escritorio virtual sin autenticación multifactor (MFA)
  • Las plataformas más antiguas que han llegado al final del soporte y ya no reciben actualizaciones de seguridad, como Windows Server 2003 y Windows Server 2008, exacerbadas por el uso de contraseñas débiles
  • Servidores web mal configurados, incluidos IIS, software de registro de salud electrónico (EHR), servidores de respaldo o servidores de administración de sistemas
  • Sistemas Citrix Application Delivery Controller (ADC) afectados por CVE-2019-19781
  • Sistemas Pulse Secure VPN afectados por CVE-2019-11510

La aplicación de parches de seguridad para sistemas con conexión a Internet es fundamental para prevenir estos ataques. También es importante tener en cuenta que, aunque los investigadores de seguridad de Microsoft no han observado los ataques recientes que explotan las siguientes vulnerabilidades, las señales históricas indican que estas campañas pueden explotarlas para obtener acceso, por lo que vale la pena revisarlas: CVE-2019-0604 , CVE- 2020-0688 , CVE-2020-10189 .

Al igual que muchas violaciones, los atacantes emplearon el robo de credenciales, capacidades de movimiento lateral utilizando herramientas comunes, como Mimikatz y Cobalt Strike, reconocimiento de redes y exfiltración de datos. En estas campañas específicas, los operadores obtuvieron acceso a credenciales de administrador altamente privilegiadas y estaban listos para tomar medidas potencialmente más destructivas si se les molestaba. En las redes donde los atacantes implementaron ransomware, mantuvieron deliberadamente su presencia en algunos puntos finales, con la intención de reiniciar la actividad maliciosa después de que se paga el rescate o se reconstruyen los sistemas. Además, aunque solo unos pocos de estos grupos ganaron notoriedad por vender datos, se observó que casi todos vieron y extrajeron datos durante estos ataques, incluso si aún no se han anunciado o vendido.

Al igual que con todas las campañas de ransomware operadas por humanos, estos ataques recientes se extendieron por un entorno que afecta las identidades de correo electrónico, los puntos finales, las bandejas de entrada, las aplicaciones y más. Debido a que puede ser un desafío incluso para los expertos garantizar la eliminación completa de los atacantes de una red totalmente comprometida, es fundamental que los sistemas vulnerables que se enfrentan a Internet tengan parches proactivos y se implementen mitigaciones para reducir el riesgo de este tipo de ataques.

Un equipo heterogéneo de cargas útiles de ransomware

Si bien las campañas individuales y las familias de ransomware exhibieron atributos distintos como se describe en las secciones a continuación, estas campañas de ransomware operadas por humanos tendieron a ser variaciones de un patrón de ataque común. Se desplegaron de manera similar y emplearon generalmente las mismas técnicas de ataque. En última instancia, la carga útil específica del ransomware al final de cada cadena de ataque fue casi exclusivamente una elección estilística realizada por los atacantes.

diagrama que muestra diferentes etapas y técnicas de ataque en cada etapa que utilizan varios grupos de ransomware

RobbinHood ransomware

Los operadores de ransomware RobbinHood ganaron cierta atención por explotar a los conductores vulnerables al final de su cadena de ataque para desactivar el software de seguridad. Sin embargo, como muchas otras campañas de ransomware operadas por humanos, generalmente comienzan con un ataque de fuerza bruta RDP contra un activo expuesto. Eventualmente obtienen credenciales privilegiadas, en su mayoría cuentas de administrador local con contraseñas compartidas o comunes, y cuentas de servicio con privilegios de administrador de dominio. Los operadores de RobbinHood, como Ryuk y otros grupos de ransomware bien publicitados, dejan atrás nuevas cuentas de usuarios locales y de Active Directory, para que puedan recuperar el acceso después de que se hayan eliminado su malware y herramientas.

Cargador Vatet

Los atacantes a menudo cambian la infraestructura, las técnicas y las herramientas para evitar la notoriedad que podría atraer a los investigadores de la ley o de seguridad. A menudo los retienen mientras esperan que las organizaciones de seguridad comiencen a considerar los artefactos asociados inactivos, por lo que enfrentan menos escrutinio. Vatet, un cargador personalizado para el framework Cobalt Strike que se ha visto en campañas de ransomware a principios de noviembre de 2018, es una de las herramientas que ha resurgido en las campañas recientes.

El grupo detrás de esta herramienta parece estar particularmente concentrado en apuntar a hospitales, así como a organizaciones de ayuda, proveedores de insulina, fabricantes de dispositivos médicos y otras verticales críticas. Son uno de los operadores de ransomware más prolíficos durante este tiempo y han causado docenas de casos.

Usando Vatet y Cobalt Strike, el grupo ha entregado varias cargas útiles de ransomware. Más recientemente, han estado implementando ransomware en memoria que utiliza Alternate Data Streams (ADS) y muestra notas de rescate simplistas copiadas de familias antiguas de ransomware. Para acceder a las redes de destino, explotan CVE-2019-19781 , los puntos finales RDP de fuerza bruta y envían correos electrónicos que contienen archivos .lnk que lanzan comandos maliciosos de PowerShell. Una vez dentro de una red, roban las credenciales, incluidas las almacenadas en la bóveda de Credential Manager, y se mueven lateralmente hasta que obtienen privilegios de administrador de dominio. Se ha observado que el grupo extrajo datos antes de implementar el ransomware.

NetWalker ransomware

Los operadores de campaña de NetWalker ganaron notoriedad por dirigirse a hospitales y proveedores de atención médica con correos electrónicos que decían proporcionar información sobre COVID-19. Estos correos electrónicos también entregaron el ransomware NetWalker directamente como un archivo adjunto .vbs, una técnica que ha llamado la atención de los medios. Sin embargo, los operadores de la campaña también pusieron en peligro las redes que utilizan aplicaciones basadas en IIS mal configuradas para lanzar Mimikatz y robar credenciales, que luego usaron para lanzar PsExec y, finalmente, implementar el mismo ransomware NetWalker.

PonyFinal ransomware

Este ransomware basado en Java se había considerado una novedad, pero las campañas que implementaron PonyFinal no eran inusuales. Los operadores de campaña comprometieron los sistemas web con conexión a Internet y obtuvieron credenciales privilegiadas. Para establecer la persistencia, utilizaron los comandos de PowerShell para iniciar la herramienta del sistema mshta.exe y configurar un shell inverso basado en un marco de ataque común de PowerShell. También utilizaron herramientas legítimas, como Splashtop, para mantener conexiones de escritorio remotas.

Ransomware laberinto

Una de las primeras campañas de ransomware en aparecer en los titulares por vender datos robados, Maze continúa apuntando a proveedores de tecnología y servicios públicos. Maze tiene un historial de perseguir a los proveedores de servicios administrados (MSP) para obtener acceso a los datos y las redes de los clientes de MSP.

Maze se ha entregado por correo electrónico, pero los operadores de campaña también han implementado Maze en las redes después de obtener acceso mediante vectores comunes, como la fuerza bruta RDP. Una vez dentro de una red, realizan el robo de credenciales, se mueven lateralmente para acceder a los recursos y filtrar datos, y luego implementan ransomware.

En una campaña reciente, los investigadores de seguridad de Microsoft rastrearon a los operadores de Maze estableciendo el acceso a través de un sistema con conexión a Internet mediante la fuerza bruta RDP contra la cuenta del administrador local. Utilizando la contraseña forzada por fuerza bruta, los operadores de campaña pudieron moverse lateralmente porque las cuentas de administrador integradas en otros puntos finales usaban las mismas contraseñas.

Después de obtener el control sobre una cuenta de administrador de dominio a través del robo de credenciales, los operadores de campaña utilizaron Cobalt Strike, PsExec y una gran cantidad de otras herramientas para implementar varias cargas útiles y acceder a los datos. Establecieron la persistencia sin archivos utilizando tareas y servicios programados que lanzaron shells remotos basados ​​en PowerShell. También activaron la Administración remota de Windows para un control persistente utilizando privilegios de administrador de dominio robados. Para debilitar los controles de seguridad en preparación para la implementación del ransomware, manipularon varias configuraciones a través de la Política de grupo.

Ransomware REvil

Posiblemente el primer grupo de ransomware que aprovechó las vulnerabilidades de los dispositivos de red en Pulse VPN para robar credenciales para acceder a las redes, REvil (también llamado Sodinokibi) ganó notoriedad por acceder a MSP y acceder a las redes y documentos de los clientes, y vender el acceso a ambos. Mantuvieron esta actividad durante la crisis de COVID-19, apuntando a MSP y otros objetivos como los gobiernos locales. Los ataques REvil se diferencian en su uso de nuevas vulnerabilidades, pero sus técnicas se superponen con muchos otros grupos, confiando en herramientas de robo de credenciales como Mimikatz una vez en la red y realizando movimientos laterales y reconocimiento con herramientas como PsExec.

Otras familias de ransomware

Otras familias de ransomware utilizadas en campañas operadas por humanos durante este período incluyen:

  • Paradise, que solía distribuirse directamente por correo electrónico pero ahora se usa en ataques de ransomware operados por humanos
  • RagnarLocker, que es desplegado por un grupo que usa mucho RDP y Cobalt Strike con credenciales robadas
  • MedusaLocker, que posiblemente se implementa a través de infecciones existentes de Trickbot
  • LockBit, que es distribuido por operadores que utilizan la herramienta de prueba de penetración CrackMapExec disponible públicamente para moverse lateralmente

Acciones de respuesta inmediata para ataques activos.

Recomendamos encarecidamente que las organizaciones verifiquen de inmediato si tienen alertas relacionadas con estos ataques de ransomware y prioricen la investigación y la corrección. Los comportamientos maliciosos relevantes para estos ataques a los que los defensores deben prestar atención incluyen:

  • PowerShell malicioso, Cobalt Strike y otras herramientas de prueba de penetración que pueden permitir que los ataques se mezclen como actividades benignas del equipo rojo
  • Actividades de robo de credenciales, como acceso sospechoso al Servicio de subsistema de la autoridad de seguridad local (LSASS) o modificaciones sospechosas del registro, que pueden indicar nuevas cargas útiles de atacante y herramientas para robar credenciales
  • Cualquier manipulación de un registro de eventos de seguridad, artefactos forenses como USNJournal o un agente de seguridad, que los atacantes hacen para evadir las detecciones y borrar las posibilidades de recuperar datos.

Los clientes que usan la Protección avanzada contra amenazas (ATP) de Microsoft Defender pueden consultar un informe de análisis de amenazas complementario para obtener más detalles sobre alertas relevantes, así como consultas de búsqueda avanzadas. Los clientes suscritos al servicio Microsoft Threat Experts también pueden consultar la notificación de ataque dirigido , que tiene cronogramas detallados de ataques, pasos de mitigación recomendados para interrumpir ataques y consejos de remediación.

Si su red se ve afectada, realice las siguientes actividades de alcance e investigación de inmediato para comprender el impacto de esta violación. Usar solo indicadores de compromiso (IOC) para determinar el impacto de estas amenazas no es una solución duradera, ya que la mayoría de estas campañas de ransomware emplean infraestructura de “uso único” para las campañas, y a menudo cambian sus herramientas y sistemas una vez que determinan las capacidades de detección de sus objetivos. Las detecciones y mitigaciones deben concentrarse en la caza holística basada en el comportamiento, siempre que sea posible, y en fortalecer las debilidades de infraestructura favorecidas por estos atacantes lo antes posible.

Investigue los puntos finales afectados y las credenciales

Investigue los puntos finales afectados por estos ataques e identifique todas las credenciales presentes en esos puntos finales. Suponga que estas credenciales estaban disponibles para los atacantes y que todas las cuentas asociadas están comprometidas. Tenga en cuenta que los atacantes no solo pueden volcar las credenciales de las cuentas que han iniciado sesión en sesiones interactivas o RDP, sino que también pueden volcar las credenciales y contraseñas almacenadas en caché para las cuentas de servicio y las tareas programadas que se almacenan en la sección Secretos de LSA del registro.

  • Para los puntos finales incorporados a Microsoft Defender ATP , utilice la búsqueda avanzada para identificar las cuentas que han iniciado sesión en los puntos finales afectados. El informe de análisis de amenazas contiene una consulta de búsqueda para este propósito.
  • De lo contrario, revise el registro de eventos de Windows para ver si hay inicios de sesión posteriores al compromiso, aquellos que ocurren después o durante la actividad de incumplimiento sospechosa más temprana, con el ID de evento 4624 y los tipos de inicio de sesión 2 o 10. Para cualquier otro período de tiempo, verifique el inicio de sesión tipo 4 o 5.

Aislar puntos finales comprometidos

Aísle los puntos finales que tengan balizas de comando y control o que hayan sido objetivos de movimiento lateral. Localice estos puntos finales utilizando consultas de búsqueda avanzadas u otros métodos de búsqueda directa de IOC relacionados. Aísle las máquinas que usan Microsoft Defender ATP, o use otras fuentes de datos, como NetFlow, y busque a través de su SIEM u otras soluciones de administración de eventos centralizadas. Busque el movimiento lateral desde los puntos finales afectados conocidos.

Abordar las debilidades de Internet

Identifique los sistemas perimetrales que los atacantes podrían haber utilizado para acceder a su red. Puede usar una interfaz de exploración pública, como shodan.io , para aumentar sus propios datos. Los sistemas que deben considerarse de interés para los atacantes incluyen:

  • RDP o puntos finales de escritorio virtual sin MFA
  • Sistemas Citrix ADC afectados por CVE-2019-19781
  • Sistemas Pulse Secure VPN afectados por CVE-2019-11510
  • Servidores Microsoft SharePoint afectados por CVE-2019-0604
  • Servidores de Microsoft Exchange afectados por CVE-2020-0688
  • Sistemas Zoho ManageEngine afectados por CVE-2020-10189

Para reducir aún más la exposición organizacional, los clientes ATP de Microsoft Defender pueden usar la capacidad de Administración de amenazas y vulnerabilidades (TVM) para descubrir, priorizar y remediar vulnerabilidades y configuraciones erróneas. TVM permite a los administradores de seguridad y administradores de TI colaborar sin problemas para solucionar problemas.

Inspeccionar y reconstruir dispositivos con infecciones de malware relacionadas

Muchos operadores de ransomware ingresan a las redes objetivo a través de infecciones existentes de malware como Emotet y Trickbot. Estas familias de malware, tradicionalmente consideradas como troyanos bancarios, se han utilizado para entregar todo tipo de cargas, incluidos los implantes persistentes. Investigue y remedie cualquier infección conocida y considérelas posibles vectores para adversarios humanos sofisticados. Asegúrese de verificar las credenciales expuestas, las cargas útiles adicionales y el movimiento lateral antes de reconstruir los puntos finales afectados o restablecer las contraseñas.

Construyendo higiene de seguridad para defender redes contra ransomware operado por humanos

A medida que los operadores de ransomware continúan comprometiendo nuevos objetivos, los defensores deben evaluar proactivamente el riesgo utilizando todas las herramientas disponibles. Debe continuar aplicando soluciones preventivas comprobadas ( higiene de credenciales, privilegios mínimos y firewalls de host) para obstaculizar estos ataques, que se han observado constantemente aprovechando los problemas de higiene de seguridad y credenciales con privilegios excesivos.

Aplique estas medidas para hacer que su red sea más resistente frente a nuevas brechas, reactivación de implantes inactivos o movimiento lateral:

  • Aleatorice las contraseñas de administrador local utilizando una herramienta como LAPS.
  • Aplicar la política de bloqueo de cuenta .
  • Garantice una buena seguridad del perímetro parcheando los sistemas expuestos. Aplique factores atenuantes, como MFA u orientación de mitigación proporcionada por el proveedor, para las vulnerabilidades.
  • Utilice firewalls host para limitar el movimiento lateral . Evitar que los puntos finales se comuniquen en el puerto TCP 445 para SMB tendrá un impacto negativo limitado en la mayoría de las redes, pero puede interrumpir significativamente las actividades adversas.
  • Active la protección entregada en la nube para Microsoft Defender Antivirus o el equivalente de su producto antivirus para cubrir las herramientas y técnicas de ataque que evolucionan rápidamente. Las protecciones de aprendizaje automático basadas en la nube bloquean una gran mayoría de variantes nuevas y desconocidas.
  • Siga la guía estándar en las líneas de base de seguridad para Office y Office 365 y las líneas de base de seguridad de Windows. Utilice las evaluaciones de Microsoft Secure Score para medir la postura de seguridad y obtener acciones recomendadas de mejora, orientación y control.
  • Active las funciones de protección contra manipulaciones para evitar que los atacantes detengan los servicios de seguridad.
  • Active las reglas de reducción de superficie de ataque , incluidas las reglas que pueden bloquear la actividad del ransomware:
    • Utilice protección avanzada contra ransomware
    • Bloquea las creaciones de procesos que se originan a partir de comandos PsExec y WMI
    • Bloquee el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)

Para obtener orientación adicional sobre cómo mejorar las defensas contra ransomware operado por humanos y construir una mejor postura de seguridad contra los ataques cibernéticos en general, lea Ataques de ransomware operados por humanos: un desastre prevenible .

Protección contra amenazas de Microsoft: defensa coordinada contra ransomware complejo y de amplio alcance operado por humanos

Lo que hemos aprendido del aumento de las implementaciones de ransomware en abril es que los atacantes no prestan atención a las consecuencias del mundo real de la interrupción de los servicios, en este momento de crisis global, que causan sus ataques.

Los ataques de ransomware operados por humanos representan un nivel diferente de amenaza porque los adversarios son expertos en la administración de sistemas y las configuraciones incorrectas de seguridad y, por lo tanto, pueden adaptarse a cualquier camino de menor resistencia que encuentren en una red comprometida. Si se topan con una pared, intentan abrirse paso. Y si no pueden atravesar una pared, han demostrado que pueden encontrar hábilmente otras formas de avanzar con su ataque. Como resultado, los ataques de ransomware operados por humanos son complejos y de gran alcance. No hay dos ataques exactamente iguales.

Microsoft Threat Protections (MTP) proporciona defensas coordinadas que descubren la cadena de ataque completa y ayudan a bloquear ataques sofisticados como el ransomware operado por humanos. MTP combina las capacidades de múltiplesMicrosoft 365 servicios de seguridad para organizar la protección, prevención, detección y respuesta en puntos finales, correo electrónico, identidades y aplicaciones.

A través de la inteligencia, automatización e integración incorporadas, MTP puede bloquear ataques, eliminar su persistencia y sanar automáticamente los activos afectados. Correlaciona señales y consolida alertas para ayudar a los defensores a priorizar incidentes para investigación y respuesta. MTP también proporciona una capacidad única de búsqueda entre dominios que puede ayudar aún más a los defensores a identificar la expansión de ataques y obtener información específica de la organización para fortalecer las defensas.

Microsoft Threat Protection también es parte de un enfoque de seguridad de chip a nube que combina la defensa contra amenazas en el silicio, el sistema operativo y la nube. Las características de seguridad respaldadas por hardware en Windows 10, como la aleatorización del diseño del espacio de direcciones (ASLR), Control Flow Guard (CFG) y otras, fortalecen la plataforma contra muchas amenazas avanzadas, incluidas las que aprovechan los controladores de kernel vulnerables. Estas características de seguridad de la plataforma se integran perfectamente con Microsoft Defender ATP, proporcionando seguridad de extremo a extremo que parte de una sólida raíz de confianza de hardware. En las PC con núcleo seguro, estas mitigaciones están habilitadas de manera predeterminada.

Continuamos trabajando con nuestros clientes, socios y la comunidad de investigación para rastrear ransomware operado por humanos y otros ataques sofisticados. Para casos extremos, los clientes pueden usar los servicios disponibles como el equipo de Detección y Respuesta de Microsoft (DART) para ayudar a investigar y remediar.

Equipo de inteligencia de protección contra amenazas de Microsoft