Todos conocemos las recomendaciones de seguridad que ofrecen los profesionales para protegerse del malware. Habitualmente: utilizar el sentido común (personalmente, uno de los consejos menos aplicables y abstractos que se pueden dar), usar un antivirus, un cortafuegos (?)… Todo buenas intenciones que no resultan prácticas, muy repetidas pero poco eficaces. Los usuarios y empresas siguen infectándose. Por tanto, ¿y si, para variar, escuchamos a los propios creadores de ransomware? ¿No es posible que tengan una visión más práctica y realista de lo que hay que hacer para evitar su propio ataque? ¿Cuáles son sus recomendaciones contra ellos mismos?
En primer lugar hay que diferenciar entre ransomware casero y ransomware profesional. En el primero, el objetivo es el ordenador aleatorio de cualquier individuo, le puede tocar al que no tome medidas. El segundo es el ransomware desarrollado con una empresa concreta como objetivo. Los atacantes se pasarán meses planeando el ataque, probablemente semanas dentro de la red y en unos minutos cifrarán todo lo que puedan para pedir un rescate millonario. Y una vez afectado, poco se puede hacer.
Garmin ha pagado hace poco y así lo ha hecho también CWT, una empresa de Estados Unidos de gestión de viajes de negocios y eventos que acaba de pagar 4.5 millones de dólares por descifrar sus propios datos. El trato con el atacante negociador ha sido por chat y se ha hecho público. De la transcripción se desprende la gestión de un negocio cualquiera entre profesionales. Vamos a detenernos en las recomendaciones que hacía el negociador “malo” al representante de CWT y analizar su efectividad.
Recomendaciones anti ransomware
Cabe destacar que son recomendaciones de los propios atacantes y para ayudar a empresas grandes atacadas por ransomware profesional. Vamos con ellas y analicemos si son adecuadas.
- Deshabilitar las contraseñas locales
En sistemas y servidores controlados por Controlador de Dominio, es buena idea no utilizar usuarios locales y centrarse en los del controlador de dominio. Esto permite mejorar la trazabilidad y reducir la exposición. Buena recomendación. - Forzar la finalización de sesiones de administradores
Cuando los atacantes se encuentren ya en la red a su anchas, intentarán escalar a administrador de dominio y abrirán sesiones con él, de lo contrario, no podrán cifrar todo lo importante y los respaldos. Es una buena idea que estas sesiones terminen, tengan caducidad y se encuentren totalmente monitorizadas. - Evitar que WDigest (Digest Authentication) usado en LDAP, almacene las contraseñas en memoria
El atacante aquí se refiere, veladamente y casi seguro, a Mimikatz y cómo muy probablemente recupera la contraseña de administrador de controlador de dominio y escala privilegios gracias a esta herramienta. Si se configura cierto valor de Windows a cero, no podrán ver la contraseña en claro y la elevación se les complicará a los atacantes. Excelente recomendación. - Actualizar las contraseñas cada mes
Hay mucha controversia con esto de actualizar las contraseñas. Para los usuarios es un tedio actualizar cada mes y terminan por apuntarlas o seguir un patrón. Pero para los administradores (que es donde apunta este delincuente) tiene sentido. Puede que los atacantes pasen más de un mes en una red sin revelarse, estudiando cuándo es el mejor momento de lanzar el ataque más eficaz. Cambiarles las contraseñas, que probablemente ya hayan averiguado, puede forzarles a replantear el ataque y puede que deshaga buena parte de su trabajo. Interesante recomendación. - Reduce los permisos de usuarios para que accedan a lo imprescindible
Bueno, esta es una recomendación habitual. También referida muy probablemente a cómo los atacantes consiguen, desde un usuario raso, elevar privilegios gracias a los descuidos en la segmentación de permisos y privilegios. - Applocker y el uso de las aplicaciones necesarias
Este es el sueño de todo administrador de red: poder tener una lista blanca de aplicaciones que los usuarios pueden correr y desentenderse del resto. Con AppLocker, ya integrado en Windows, sería suficiente. Funciona muy bien y permite limitar por certificado, localización, etc. Los atacantes no podrían descargar sus herramientas y lanzarlas para poder elevar privilegios. Es una medida excelente que resulta compleja de llevar a la realidad, aunque no imposible. - No cuentes con los antivirus a corto plazo
Bueno, lamentablemente, esto ya lo hemos explicado en muchas ocasiones. El antivirus (como tal) no es la mejor solución para la detección temprana. “No cuentes con ellos”. Aquí el atacante afirma que los antivirus podrían servir en el largo plazo, como algo reactivo. Y lamentablemente lleva razón, los antivirus como tal, son un elemento reactivo y ahí es donde mejor funcionan: como un sistema de detección y erradicación de una infección cuando ya ha ocurrido. Para prevenir, lo razonable es usar un conjunto de medidas mucho más amplio. Además, matiza, que el antivirus solo sirve si el atacante “por alguna razón no ataca en el corto plazo”. Da a entender que los atacantes profesionales pocas veces son impulsivos. Se toman su tiempo para analizar a la víctima y golpear eficazmente. - Instala un EDR (EndPoint Detection and Response) y que los técnicos sepan trabajar con él
Un EDR es más que un antivirus, efectivamente está destinado a la detección temprana, al análisis de lo que ocurre en el sistema en tiempo real, más allá de las tradicionales firmas del antivirus. Y sí, eso puede ser útil. Pero la sutiliza que añade el atacante es interesante: no solo que los usen sino que también “los técnicos trabajen con él”. Como cualquier software, no sirve de nada montar el EDR si no se configura bien, se conoce, se trabaja y se monitoriza correctamente. - Trabajar las 24 horas del día
Para las empresas grandes, el atacante recomienda tres turnos de ocho horas para los administradores, cubriendo así las 24 horas del día. Esto implica que muy probablemente los atacantes busquen momentos en los que los administradores no se encuentren trabajando para lanzar los ataques, movimientos laterales o elevaciones de privilegios. Si lo consiguen sin que salten las alarmas (y sean revisadas), luego pueden borrar las huellas. Así que turnos completos de “vigilancia humana” tienen su importancia.
Conclusiones
Teniendo en cuenta que acaban de cobrar 4.5 millones de dólares por un rescate que ellos mismos han provocado, el atacante pertenece sin duda a un grupo profesional que sabe lo que hace. Las recomendaciones parecen sinceras y, aunque parezca contraproducente, orientadas a entorpecer su propio trabajo. ¿Por qué desvelar estos trucos? Se lo comunica a su víctima (que recordemos acaba de pagar) y solo a ella como un acto de profesionalidad. Han terminado una transacción entre “profesionales” por un servicio y le da un “bonus” de información.
Como el fontanero que tras arreglar una obstrucción de la tubería te asesora antes de irse, mientras te extiende la factura, sobre cómo evitar que se atasque de nuevo el lavabo. Ningún fontanero negaría este pequeño consejo por pensar que pierde oportunidades con ello. Al contrario, como buen profesional, el atacante necesita generar confianza porque la próxima vez que ataque a una empresa grande y exija algunos millones, quiere que se sepa que pagarles es la mejor opción para recuperar los datos. Trata bien a tus clientes presentes y futuros… aunque sean víctimas.
Pero aunque se hayan filtrado estos consejos, suponemos que les da un poco igual. Ahí fuera hay miles de grandes empresas que no harán caso. Por desconocimiento o falta de recursos, pero seguirán siendo víctimas potenciales. Los atacantes pueden permitirse el lujo de aconsejar cómo impedir que ataquen ellos mismos y aun así, seguir disfrutando de una superficie de ataque suficiente como para mantener un negocio próspero.
