Entendiendo la dinámica de los incidentes de seguridad con Ransomware

Martiniano Mallavibarrena    12 julio, 2021
Entendiendo la dinámica de los incidentes de seguridad con Ransomware

El fenómeno ransomware

Si hay un término que se ha ganado a pulso los primeros puestos en los titulares en medios de comunicación durante los dos últimos años, ransomware es sin duda, el claro ganador. Es rara la semana en la que los medios no nos hablan de un incidente utilizando este tipo de aproximación y es raro el sector que se ha librado de esta especie de maldición bíblica de última generación.

Se entienda realmente el trasfondo o no, la ciudadanía traduce siempre este término como sinónimo de graves ataques informáticos y un nivel de daño importante para las empresas. Normalmente, la narrativa de los medios es algo confusa pues se habla del impacto (la página web que no está operativa o la fábrica que no puede abrir) y no tanto del incidente en sí mismo, que suele haber ocurrido tiempo atrás y que suele tener otras historias que contar.

Esta publicación inicia una serie de cuatro artículos donde vamos a tratar de compartir nuestra visión cercana al fenómeno, narrando como se vive la dinámica de este tipo de incidentes de ciberseguridad cuando son una realidad en nuestra organización.

Respuesta a incidentes Ransomware de un vistazo

En un incidente de este tipo, un actor habrá conseguido acceso a la infraestructura del cliente y habrá comenzado una secuencia de pasos fácilmente previsibles donde se descargará herramientas (para analizar su entorno, detectar máquinas y direcciones IP, para enumerar sistemas y usuarios, etc.) para luego intentar ir realizando distintos movimientos laterales hacia un escalado progresivo de privilegios que optimicen culminar su actividad eliminando la resistencia propia del entorno. Las conexiones con su C2 (centro de operaciones del atacante, conocido como Command & Control) serán frecuentes en estos movimientos.

Los plazos de tiempo necesarios para realizar las múltiples fases solían necesitar de varias semanas para producirse, aunque en las últimas experiencias durante 2021, hemos podido confirmar plazos más cortos (alrededor de una semana en total, en muchos casos) lo que hace, si cabe, más necesarias y urgente las plataformas de detección y respuesta (EDR, XDR, etc.).

Una vez el actor tiene el nivel de conocimiento y acceso deseados, se producirá realmente el ataque, bien porque se exfiltran y cifran gran cantidad de datos, bien por filtrarse únicamente (no todos los actores que siguen esta pauta exfiltrando los datos). Sea como sea, en un plazo muy corto, una cantidad importante de carpetas y ficheros de nuestro cliente habrán sido comprometidos y cifrados, apareciendo ahora las célebres “notas de rescate” (análogas a las tradicionales cuando se trata de secuestros de personas) donde se nos suele informar del ataque, sobre sus autores (que se identificarán por algún nombre de guerra, de organización, etc.) y sobre las condiciones del “rescate”. La recuperación de los archivos cifrados en el ataque suele ser muy compleja (los mecanismos de cifrado son muy robustos) y por ello, el actor nos invitará a visitar alguna página en TOR (Darkweb) donde podremos comprobar cuanto tiempo tenemos para realizar el pago (cuenta atrás) y la forma esperada de hacerlo (normalmente, con criptomonedas, para dificultar su rastreo).

Es importante resaltar el hecho de que, en los últimos meses, el enfoque RaaS (Ransomware as a service, utilizando la nomenclatura de los servicios en la nube) se han utilizado de forma muy intensa. En estos casos, un primer actor desarrolla un software para realizar ataques con Ransomware y es compartido con otro actor distinto que en base a distintos modelos (compartición de beneficios, pago mensual, etc.) realizará finalmente los ataques. En este modelo, el primer actor proporcionará soporte técnico al segundo por lo que el actor que realmente ataca no debe tener grandes conocimientos de tecnología ofensiva.

Una vez la organización es víctima de un ataque con Ransomware, un número importante de equipos (suelen ser siempre servidores y colateralmente, estaciones de trabajo) serán cifrados y su funcionamiento comenzará a degradarse (los atacantes no cifran los sistemas de forma completa para permitir que se muestre la nota de rescate) o a pararse por completo.

En muchos casos, los servicios de IT/Seguridad del propio cliente detectarán el ataque o al menos algunos aspectos. Quizás puedan con suerte, contener parte del ataque. En cualquier caso, la situación será obvia en cuestión de minutos el impacto en servicios será absoluto.

Cuando una organización sufre un incidente de seguridad basado en Ransomware, iniciará un proceso de respuesta al incidente (IR) que normalmente sigue diversas mejores prácticas de entidades internacionales como el NIST (USA) o ENISA (Europa). Durante este proceso se intentará esencialmente cubrir tres etapas:

  1. La contención (evitar que se extienda el daño y la amenaza crezca)
  2. La erradicación (eliminar la presencia del actor/malware de forma que no se reactive en el futuro)
  3. La recuperación (de sistemas y servicios, de forma segura).

Es poco frecuente que la compañía/organización tenga suficientes recursos o activados (empresas de servicios ya activas) como para afrontar este proceso de IR con solo recursos propios y es por ello que la oferta de servicios DFIR (Digital Forensics, Incident Response) de Telefónica Tech suelen ser requeridos.

Como llevamos a cabo un proceso de IR-Ransomware

El equipo de respuesta a incidentes de Telefónica Tech tiene recursos en varios países y ofrece diversos servicios de tipo IR a nivel global, habiendo realizado trabajos para clientes en Europa, USA y LATAM. El servicio de IR se entrega tanto en castellano como en inglés.

El elemento principal sobre el que orbita todo el trabajo es una plataforma de tipo EDR (Endpoint Detection & Response). En caso de que el cliente no disponga de un sistema de este tipo ya desplegado, el equipo activa en la nube y despliega en cuestión de minutos alguna de las soluciones de nuestros aliados tecnológicos.

La primera reunión con el cliente es fundamental para poder dar unas primeras pautas de orientación y para dar soporte a la toma de decisiones del cliente: cortar o minimizar las comunicaciones externas, desplegar o reutilizar alguna plataforma EDR, apagado preventivo de otros sistemas y comunicaciones, comunicación a medios, usuarios, clientes etc. Así como la correspondiente comunicación con la agencia de protección de datos que aplique en el caso concreto.

Una vez el cliente toma las primeras decisiones, se conforma un equipo de trabajo mixto en el que participan distintos roles técnicos tanto de Telefónica Tech como del cliente (o terceros relacionados como fabricantes o proveedores de servicios) y que iniciarán una rutina de trabajos y puntos de control regulares en modo 24×7 (el tiempo de reacción es fundamental). Tras un periodo que no suele bajar de 15 días, la situación es relativamente estable, se habrá contenido y erradicado la amenaza y el nivel de recuperación suele ser elevado o total (quizás con algunas pérdidas de datos por impacto del ataque). Es habitual mantener sesiones paralelas para dar soporte al cliente en aspectos paralegales, regulatorios, denuncias a cuerpos policiales o sobre el proceso de comunicación.

En los siguientes artículos de esta serie veremos con más detalle la operativa concreta de los tres grupos principales que desde Telefónica Tech trabajan en estos procesos de IR-ransomware:

  • El DFIR (coordinación general, trabajo forense diverso, análisis de malware, etc.)
  • El conocido como Threat Hunting (que investigará y apoyará de formas diversas el proceso utilizando la consola del EDR como centro focal)
  • El grupo de inteligencia cuyos informes y sugerencias específicas permitirán enfocar de forma óptima todo el trabajo de contención y la investigación forense.

Una vez el proceso de IR llega a su fin, el equipo de Telefónica Tech completará la entrega de documentación relacionada, incluyendo siempre un informe final de investigación y diversos informes colaterales de inteligencia. En la reunión final, se revisará el informe, se resolverán dudas del equipo cliente y se revisarán las recomendaciones de seguridad mas importantes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *