Cyber Alert:  Evite un ataque de Ransomware

El ransomware es un tipo de ataque avanzado a plataformas críticas que requieren más que los controles tradicionales de seguridad para ser identificados, detectados y sobre todo atendidos.

Actualmente, es uno de los métodos de ataque más utilizados por los hackers y cibercriminales; el cual ha afectado a muchas organizaciones a nivel mundial, es muy eficaz y sobre todo perjudicial para la continuidad de las operaciones si no se está preparado para protegerse.

Es por esto que SPC Internacional recomienda a las organizaciones públicas y privadas llevar adelante las siguientes acciones:

Inicie con realizar algunas preguntas claves que le permitirán entender que debe proteger en su organización:

1. ¿Tiene identificados los procesos empresariales críticos que dependen de la tecnología?
2. ¿Cuenta con procesos definidos e innegociables para la protección de los sistemas y recursos empresariales críticos de su organización?
3. ¿Cómo esta protegiendo los sistemas y recursos críticos legados o heredados?

Realice las siguientes recomendaciones para la correcta protección de su infraestructura y sus datos:

1. Realizar revisiones de vulnerabilidades en equipos de red y equipos de usuario final, equipos OT y cualquier otro dispositivo conectado a su red.
2. Habilitar el doble factor de autenticación de usuario en los sistemas de acceso remoto y local.
3. Implemente y garantice una sólida segmentación de red entre redes y funciones para reducir la propagación del ransomware. Defina una zona desmilitarizada que elimine la comunicación no regulada entre redes, en virtud de la protección de los activos de información.
4. Actualizar equipos perimetrales y agregar los indicadores de compromiso dentro de sus reglas al igual que en los equipos de detección y prevención de intrusos.*
5. Actualizar los indicadores de compromiso dentro de sus email web filtering y crear análisis de archivos.*
6. Deshabilitar usuarios de las VPNs que no estén en uso o no requieran de la misma y habilitar el doble factor de autenticación en este tipo de conexión.
7. Activar filtros de spam para evitar que correos de phishing lleguen a los funcionarios de la organización, y filtrar los emails que contengan archivos ejecutables.
8. Filtrar el tráfico de red para prohibir las comunicaciones de entrada y salida de direcciones IP maliciosas conocidas.
9. Implementar bloqueo a las listas de sitios web maliciosos.
10. Mantener actualizados los sistemas operativos, aplicaciones y firmware en los activos de la red. Considerar el uso de un sistema centralizado de administración de parches.
11. Concientizar y comunicar a los colaboradores de la organización sobre los riesgos relacionados al phishing y como detectar un correo de este tipo y su proceso de atención.
12. Implemente herramientas de respuesta de detección en dispositivos finales.
13. Verificar respaldos de información (proceso de backup) y realizar las pruebas de funcionalidad de los mismos.
14. Implementar reglas de geocalización en los equipos perimetrales para evitar conexiones salientes y entrantes de países no necesarios para la operación.
15. Establezca políticas de acceso a la red por medio del modelo de seguridad de cero confianza (Zero Trust)
16. Instaure un correlacionador de eventos de seguridad (SIEM) en su infraestructura.
17. Elabore un plan de recuperación de incidentes para que sus equipos de tecnología y soporte sepan que hacer y como responder.

«Capacidad de Respuesta inmediata»

Si no lo tiene ya, procure habilitar en su Arquitectura de Seguridad la capacidad de interrumpir estos ataques cibernéticos en curso de manera inmediata por un componente de Inteligencia Artificial de última generación, para la gestión de Amenazas Persistentes Avanzadas que pueda responder de manera autónoma en segundos a este tipo de ataques, incluido el ransomware, el phishing de correo electrónico y las amenazas a los entornos de nube y la infraestructura crítica.

Otras recomendaciones de SPC Internacional para las empresas que ya adoptaron las Arquitecturas de red Digitales Definidas por Software

Promover dentro de la organización la estrategia para el desarrollo de una red digital segura multidominio (centros de datos, campus, wan, edge, cloud) aplicando técnicas de microsegmentación, identidad y autorización de los flujos y aplicaciones expresamente permitidos en el acceso al fabric de red, así como una auditoría detallada que permita obtener la visibilidad oportuna para la identificación rápida y eficiente de un posible vector de ataque.

Automatizar los procesos de gestión de identidad multifactor en el acceso a los recursos de infraestructura tecnológica de su organización, por medio de la aplicación de herramientas de última generación que fortalezcan la seguridad de los activos de la información.

El Ransomware Conti

En las últimas semanas, mucho se ha hablado de una variante de Ransomware llamado Conti creado por una banda cibercriminal denominada Wizard Spider, de origen ruso, se considera una variante de modelo de ransomware como servicio (RaaS), esto quiere decir que una organización tercera puede subcontratar el servicio del grupo criminal para atacar, es una amenaza muy  destructiva, poniendo en riesgo la información y la reputación de la entidad afectada. Según varias investigaciones, Conti no sólo es capaz de encriptar los archivos en el host (activo) infectado, sino que también se propaga a través del servicio de  SMB activo y expuesto en la red y encripta archivos en diferentes hosts, lo que podría comprometer toda la red de la organización. La rutina de encriptación rápida tarda solo unos segundos o minutos, debido al uso de subprocesos múltiples, lo que también hace que sea muy difícil detenerla una vez que se inicia la rutina de encriptación.

Al igual que la mayoría de los ataques de ransomware, Conti logra acceder a las redes de las instituciones por distintos medios:

1. Campañas de phishing, donde adjuntan documentos maliciosos en formato Word o envían enlaces. En ambos casos buscan que la persona descargue un malware como TrickBot o aplicaciones legítimas.
2. Buscan explotar vulnerabilidades.
3. Ataques sobre equipos o vulnerabilidades del servicio de escritorio remoto (RDP) expuesto  a internet.

Si requiere algún tipo de apoyo en la implementación de estas acciones no dude en buscarnos para apoyarle, contamos con más de 27 años de experiencia.

Carlos García

Cyber Solution Manager

SPC Internacional by SPC Knowledge

Referencias técnicas:

https://attack.mitre.org/groups/G0102/

https://attack.mitre.org/software/S0575/

https://attack.mitre.org/techniques/T1566/002/

https://www.fortiguard.com/threat-signal-report/4089/conti-ransomware-operational-procedures-and-associated-files-leaked-to-web

Referencia Indicadores de compromiso:

https://www.cisa.gov/uscert/ncas/alerts/aa21-265a

https://www.virustotal.com/gui/file/d21c71a090cd6759efc1f258b4d087e82c281ce65a9d76f20a24857901e694fc/details

https://www.darktrace.com/en/blog/how-conti-ransomware-took-down-operational-technology/