Fieles a sus formas, las campañas de ransomware operadas por humanos siempre están en busca de cualquier camino que ofrezca menos resistencia para obtener un acceso inicial a las organizaciones que son su objetivo. Durante estos tiempos de crisis, los operadores de ransomware han encontrado un objetivo práctico: los dispositivos de red como los dispositivos de puerta de enlace y las aplicaciones de red privada virtual (VPN, por sus siglas en inglés). Por desgracia, un sector que en particular está expuesto a esos ataques es el de la atención médica.
Como parte de un intensificado monitoreo y eliminación de amenazas que explotan la crisis de COVID-10, Microsoft ha puesto un énfasis en proteger los servicios críticos, en especial los hospitales. Ahora más que nunca, los hospitales necesitan protección de ataques que pueden evitar el acceso a sistemas críticos, causar tiempos fuera de servicio, o robar información sensible.
¿Por qué los atacantes utilizan ransomware operado por humanos?
Aunque un amplio rango de adversarios ha sido conocido por explotar vulnerabilidades en dispositivos de red, cada vez más campañas de ransomware operadas por humanos ven la oportunidad y se suben a este tren. REvil (también conocida como Sodinokibi) es una de las campañas de ransomware que explota vulnerabilidades en puertas de enlace de manera y en VPN de manera activa para poder meter un pie en las organizaciones objetivo. Después de una exitosa explotación, los atacantes roban credenciales, elevan sus privilegios, y se mueven de manera lateral a través de redes comprometidas para garantizar la persistencia antes de instalar ransomware y otras cargas útiles de malware.
Microsoft ha rastreado a REvil como parte de un monitoreo más amplio de ataques de ransomware operados por humanos. Nuestra inteligencia sobre campañas de ransomware muestra una superposición entre la infraestructura de malware que se ha observado a REvil utilizar durante el último año y la infraestructura utilizada en ataques más recientes a VPN. Esto indica una tendencia continua entre atacantes para reutilizar viejas tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés) para nuevos ataques que aprovechan la crisis actual. No hemos visto innovaciones técnicas en estos nuevos ataques, sólo tácticas de ingeniería social ajustadas a los temores de la gente y a la urgente necesidad de información. Emplean métodos de ataque operados por humanos para dirigirse a las organizaciones que son más vulnerables a una disrupción – organizaciones que no han tenido el tiempo o los recursos para revisar de nuevo su higiene en seguridad como instalar los parches más recientes, actualizar firewalls, y revisar la salud y los niveles de privilegio de usuarios y extremos – lo que aumenta la probabilidad de pago.
Los ataques de ransomware operados por humanos están un poco por encima de las campañas estándar de ransomware básico. Los adversarios detrás de esos ataques exhiben un amplio conocimiento de administración de sistemas y de configuraciones erróneas comunes de seguridad de red, que a menudo están muy abajo en la lista de prioridades a “solucionar al instante”. Una vez que los atacantes se han infiltrado en una red, realizan un reconocimiento exhaustivo y adaptan la escalada de privilegios y las actividades de movimiento lateral con base en debilidades de seguridad y servicios vulnerables que descubran en la red.
En esos ataques, por lo general los adversarios se mantienen sin detectar en las redes, en ocasiones por meses, y despliegan la carga de pago del ransomware más adelante. Este tipo de ransomware es más difícil de remediar porque puede ser un desafío para los defensores ir y cazar de manera exhaustiva para encontrar dónde establecieron los atacantes su persistencia e identificar bandejas de entrada de mail, credenciales, extremos o aplicaciones que han sido comprometidas.
Vimos algo. Dijimos algo.
La crisis global requiere que todos se pongan en acción, en especial desde que los atacantes parecen haberse puesto en acción en explotar la crisis también, incluso a medida que algunos grupos de ransomware se comprometieron como propósito a ir tras la industria de atención médica. A través de la amplia red de Microsoft de fuentes de inteligencia en amenazas, identificamos varias docenas de hospitales con puertas de enlace y aplicaciones de VPN vulnerables en su infraestructura. Para ayudarles, muchos de ellos ya inundados con pacientes, enviamos una notificación dirigida, única en su tipo, con información importante sobre las vulnerabilidades, cómo los atacantes pueden aprovecharse de ellas, y una fuerte recomendación para aplicar actualizaciones de seguridad que los protegerán de explotaciones de estas vulnerabilidades en particular y otras más.
Cuando manejamos infraestructura de VPN o de servidor virtual privado (VPS, por sus siglas en inglés, es crítico para las organizaciones saber el estatus actual de los parches de seguridad relacionados. Los equipos de inteligencia en amenazas de Microsoft han observado a varios estados nación y actores del crimen cibernético dirigirse a sistemas VPN sin parches por muchos meses. En octubre de 2019, tanto la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) y el Centro Nacional de Ciberseguridad (NCSC, por sus siglas en inglés) pusieron alertas en estos ataques e invitaron a las empresas a parchar.
A medida que las organizaciones se han movido al trabajo remoto debido a la pandemia, hemos visto de las señales de los servicios en Microsoft Threat Protection (Microsoft Defender ATP, Office 365 ATP, y Azure ATP) que los atacantes detrás del ransomware REvil escanean de manera activa el internet en busca de sistemas vulnerables. Los atacantes también han observado utilizar las funciones de actualización de los clientes de VPN para desplegar cargas de pago de ransomware.
Microsoft recomienda de manera importante que todas las empresas revisen su infraestructura de VPN en busca de actualizaciones, ya que los atacantes ajustan las explotaciones de manera activa para aprovecharse de los trabajadores remotos.
¿Cómo detectar, proteger y prevenir este tipo de ransomware?
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) y el Departamento de Comercio Nacional del Instituto de Estándares y Tecnología (NIST, por sus siglas en inglés) de los Estados Unidos, han publicado una útil guía sobre cómo asegurar una infraestructura VPN/VPS.
Entendemos lo estresante y desafiante que es esta época para todos nosotros, incluidos los defensores, así que a continuación, lo que recomendamos que se enfoquen de inmediato para reducir el riesgo de amenazas que exploten puertas de enlace y vulnerabilidades en VPN:
- Aplicar todas las actualizaciones disponibles en seguridad para VPN y configuraciones de firewall.
- Monitorear y prestar especial atención a su infraestructura de acceso remoto. Cualquier detección de productos de seguridad o anomalías encontradas en registros de eventos deben ser investigadas de inmediato. En caso de que la seguridad esté comprometida, asegurarse que cualquier cuenta utilizada en esos dispositivos tiene un restablecimiento de contraseña, ya que las credenciales podrían haber sido extraídas.
- Activar reglas de reducción de ataque de superficie, incluidas reglas que bloqueen el robo de credenciales y actividad de ransomware. Para hacer frente a una actividad maliciosa iniciada a través de documentos de Office armados, utilizar reglas que bloquen actividad macro avanzada, contenido ejecutable, creación de proceso, e inyección de proceso iniciado por aplicaciones Office. Para evaluar el impacto de esas reglas, implementarlas en modo auditoría.
- Activar AMSI para Office VBA si tienen Office 365.
Para ayudar a las organizaciones a construir una postura de seguridad más fuerte contra ransomware operado por humanos, publicamos un reporte integral y brindamos pasos de mitigación para hacer resistentes a las redes contra esas amenazas y a ataques cibernéticos en general. Estas mitigaciones incluyen:
- Endurecer los recursos que se muestran a internet y asegurar que cuentan con las actualizaciones más recientes en seguridad. Utilizar gestión de amenazas y vulnerabilidad para auditar esos recursos de manera regular en busca de vulnerabilidades, configuraciones erróneas y actividad sospechosa.
- Asegurar soluciones que utilicen Remote Desktop Gateway como Azure Multi-Factor Authentication (MFA). Si no cuentan con una puerta de enlace MFA, habiliten la autenticación a nivel de red (NLA, por sus siglas en inglés).
- Practicar el principio de privilegio mínimo y mantener higiene de credenciales. Evitar el uso de cuentas de servicio de nivel de administración para todo el dominio. Aplicar contraseñas fuertes de administrador local aleatorias y a tiempo. Utilizar herramientas como LAPS.
- Monitorear intentos a la fuerza. Revisar intentos excesivos de autenticación fallida (evento de seguridad de Windows ID 4625).
- Monitorear la limpieza de Registros de Eventos, en especial registros de Security Event y de PowerShell Operational. Microsoft Defender ATP activa la alerta “Un registro de evento fue limpiado” y Windows genera un Event ID 1102 cuando esto sucede.
- Determinar cuando se ingresa con cuentas de altos privilegios o hay exposición de credenciales. Monitorear e investigar registros de inicio de sesión (event ID 4624) para atributos del tipo inicio de sesión. Las cuentas de administrador de dominio y otras cuentas con altos privilegios no deben estar presentes en las estaciones de trabajo.
- Utilizar Windows Defender Firewall y su firewall de red para prevenir comunicación RPC y SMB entre extremos cuando sea posible. Esto limita el movimiento lateral así como otras actividades de ataque.
Continuamos nuestra labor con nuestros clientes, socios, y la comunidad de investigación para rastrear ransomware operado por humanos y otras tendencias que los atacantes utilizan para aprovecharse de esta crisis global.
Para más consejos sobre cómo mantenerse protegidos durante esta crisis, vamos a continuar con la labor de compartir actualizaciones en nuestros canales.
Platiquen con nosotros
¿Preguntas, dudas o comentarios? Únanse a las discusiones en la comunidad tecnológica de Microsoft Threat Protection.
Lean todos los posts de inteligencia de seguridad de Microsoft
Síganos en Twitter @MsftSecIntel.
