¿Qué recomiendan los criminales de la industria del ransomware para que no te afecte el ransomware?Sergio de los Santos 4 agosto, 2020 Todos conocemos las recomendaciones de seguridad que ofrecen los profesionales para protegerse del malware. Habitualmente: utilizar el sentido común (personalmente, uno de los consejos menos aplicables y abstractos que se pueden dar), usar un antivirus, un cortafuegos (?)… Todo buenas intenciones que no resultan prácticas, muy repetidas pero poco eficaces. Los usuarios y empresas siguen infectándose. Por tanto, ¿y si, para variar, escuchamos a los propios creadores de ransomware? ¿No es posible que tengan una visión más práctica y realista de lo que hay que hacer para evitar su propio ataque? ¿Cuáles son sus recomendaciones contra ellos mismos? En primer lugar hay que diferenciar entre ransomware casero y ransomware profesional. En el primero, el objetivo es el ordenador aleatorio de cualquier individuo, le puede tocar al que no tome medidas. El segundo es el ransomware desarrollado con una empresa concreta como objetivo. Los atacantes se pasarán meses planeando el ataque, probablemente semanas dentro de la red y en unos minutos cifrarán todo lo que puedan para pedir un rescate millonario. Y una vez afectado, poco se puede hacer. Garmin ha pagado hace poco y así lo ha hecho también CWT, una empresa de Estados Unidos de gestión de viajes de negocios y eventos que acaba de pagar 4.5 millones de dólares por descifrar sus propios datos. El trato con el atacante negociador ha sido por chat y se ha hecho público. De la transcripción se desprende la gestión de un negocio cualquiera entre profesionales. Vamos a detenernos en las recomendaciones que hacía el negociador “malo” al representante de CWT y analizar su efectividad. Recomendaciones anti ransomware Cabe destacar que son recomendaciones de los propios atacantes y para ayudar a empresas grandes atacadas por ransomware profesional. Vamos con ellas y analicemos si son adecuadas. Listado recomendaciones. Fuente: Twitter Jack Stubbs Deshabilitar las contraseñas localesEn sistemas y servidores controlados por Controlador de Dominio, es buena idea no utilizar usuarios locales y centrarse en los del controlador de dominio. Esto permite mejorar la trazabilidad y reducir la exposición. Buena recomendación.Forzar la finalización de sesiones de administradoresCuando los atacantes se encuentren ya en la red a su anchas, intentarán escalar a administrador de dominio y abrirán sesiones con él, de lo contrario, no podrán cifrar todo lo importante y los respaldos. Es una buena idea que estas sesiones terminen, tengan caducidad y se encuentren totalmente monitorizadas.Evitar que WDigest (Digest Authentication) usado en LDAP, almacene las contraseñas en memoriaEl atacante aquí se refiere, veladamente y casi seguro, a Mimikatz y cómo muy probablemente recupera la contraseña de administrador de controlador de dominio y escala privilegios gracias a esta herramienta. Si se configura cierto valor de Windows a cero, no podrán ver la contraseña en claro y la elevación se les complicará a los atacantes. Excelente recomendación.Actualizar las contraseñas cada mesHay mucha controversia con esto de actualizar las contraseñas. Para los usuarios es un tedio actualizar cada mes y terminan por apuntarlas o seguir un patrón. Pero para los administradores (que es donde apunta este delincuente) tiene sentido. Puede que los atacantes pasen más de un mes en una red sin revelarse, estudiando cuándo es el mejor momento de lanzar el ataque más eficaz. Cambiarles las contraseñas, que probablemente ya hayan averiguado, puede forzarles a replantear el ataque y puede que deshaga buena parte de su trabajo. Interesante recomendación.Reduce los permisos de usuarios para que accedan a lo imprescindibleBueno, esta es una recomendación habitual. También referida muy probablemente a cómo los atacantes consiguen, desde un usuario raso, elevar privilegios gracias a los descuidos en la segmentación de permisos y privilegios.Applocker y el uso de las aplicaciones necesariasEste es el sueño de todo administrador de red: poder tener una lista blanca de aplicaciones que los usuarios pueden correr y desentenderse del resto. Con AppLocker, ya integrado en Windows, sería suficiente. Funciona muy bien y permite limitar por certificado, localización, etc. Los atacantes no podrían descargar sus herramientas y lanzarlas para poder elevar privilegios. Es una medida excelente que resulta compleja de llevar a la realidad, aunque no imposible.No cuentes con los antivirus a corto plazoBueno, lamentablemente, esto ya lo hemos explicado en muchas ocasiones. El antivirus (como tal) no es la mejor solución para la detección temprana. “No cuentes con ellos”. Aquí el atacante afirma que los antivirus podrían servir en el largo plazo, como algo reactivo. Y lamentablemente lleva razón, los antivirus como tal, son un elemento reactivo y ahí es donde mejor funcionan: como un sistema de detección y erradicación de una infección cuando ya ha ocurrido. Para prevenir, lo razonable es usar un conjunto de medidas mucho más amplio. Además, matiza, que el antivirus solo sirve si el atacante “por alguna razón no ataca en el corto plazo”. Da a entender que los atacantes profesionales pocas veces son impulsivos. Se toman su tiempo para analizar a la víctima y golpear eficazmente.Instala un EDR (EndPoint Detection and Response) y que los técnicos sepan trabajar con élUn EDR es más que un antivirus, efectivamente está destinado a la detección temprana, al análisis de lo que ocurre en el sistema en tiempo real, más allá de las tradicionales firmas del antivirus. Y sí, eso puede ser útil. Pero la sutiliza que añade el atacante es interesante: no solo que los usen sino que también “los técnicos trabajen con él”. Como cualquier software, no sirve de nada montar el EDR si no se configura bien, se conoce, se trabaja y se monitoriza correctamente.Trabajar las 24 horas del díaPara las empresas grandes, el atacante recomienda tres turnos de ocho horas para los administradores, cubriendo así las 24 horas del día. Esto implica que muy probablemente los atacantes busquen momentos en los que los administradores no se encuentren trabajando para lanzar los ataques, movimientos laterales o elevaciones de privilegios. Si lo consiguen sin que salten las alarmas (y sean revisadas), luego pueden borrar las huellas. Así que turnos completos de “vigilancia humana” tienen su importancia. Conclusiones Teniendo en cuenta que acaban de cobrar 4.5 millones de dólares por un rescate que ellos mismos han provocado, el atacante pertenece sin duda a un grupo profesional que sabe lo que hace. Las recomendaciones parecen sinceras y, aunque parezca contraproducente, orientadas a entorpecer su propio trabajo. ¿Por qué desvelar estos trucos? Se lo comunica a su víctima (que recordemos acaba de pagar) y solo a ella como un acto de profesionalidad. Han terminado una transacción entre “profesionales” por un servicio y le da un “bonus” de información. Como el fontanero que tras arreglar una obstrucción de la tubería te asesora antes de irse, mientras te extiende la factura, sobre cómo evitar que se atasque de nuevo el lavabo. Ningún fontanero negaría este pequeño consejo por pensar que pierde oportunidades con ello. Al contrario, como buen profesional, el atacante necesita generar confianza porque la próxima vez que ataque a una empresa grande y exija algunos millones, quiere que se sepa que pagarles es la mejor opción para recuperar los datos. Trata bien a tus clientes presentes y futuros… aunque sean víctimas. Pero aunque se hayan filtrado estos consejos, suponemos que les da un poco igual. Ahí fuera hay miles de grandes empresas que no harán caso. Por desconocimiento o falta de recursos, pero seguirán siendo víctimas potenciales. Los atacantes pueden permitirse el lujo de aconsejar cómo impedir que ataquen ellos mismos y aun así, seguir disfrutando de una superficie de ataque suficiente como para mantener un negocio próspero. Noticias de Ciberseguridad: Boletín semanal 25-31 de julioElevenPaths se une a la OpenSSF para mejorar la seguridad del software open source
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...
Telefónica Tech Boletín semanal de Ciberseguridad, 7 – 13 de enero Microsoft corrige 98 vulnerabilidades en su Patch Tuesday Microsoft ha publicado su boletín de seguridad correspondiente con el mes de enero, donde corrige un total de 98 vulnerabilidades. Entre estas...