Fuente oficial: SOPHOS NEWS

Por Peter Mackenzie

Cada vez que trabajamos con víctimas de ransomware, pasamos algún tiempo mirando hacia atrás a través de nuestros registros de telemetría que abarcan la semana anterior. Estos registros a veces incluyen anomalías de comportamiento que por sí solas pueden no ser inherentemente maliciosas, pero en el contexto de un ataque que ya ha tenido lugar, podría tomarse como un indicador temprano de un actor de amenazas que realiza operaciones en la red de la víctima.

 

¡Escucha este artículo en SoundCloud!(Idioma: ingles)

Si vemos alguno de estos cinco indicadores, en particular, saltamos sobre ellos de inmediato. Cualquiera de estos encontrados durante una investigación es casi con seguridad una indicación de que los atacantes han hurgado alrededor: para hacerse una idea de cómo se ve la red, y para aprender cómo pueden obtener las cuentas y el acceso que necesitan para lanzar un ataque ransomware.

Los atacantes utilizan herramientas de administración legítimas para establecer el escenario para ataques ransomware. Sin saber qué herramientas utilizan normalmente los administradores en sus máquinas, uno podría pasar fácilmente por alto estos datos. En retrospectiva, estos cinco indicadores representan banderas rojas de investigación.

1 Un escáner de red, especialmente en un servidor:

Los atacantes suelen empezar por obtener acceso a un equipo donde buscan información: es esto un Mac o Windows, cuál es el dominio y el nombre de la empresa, qué tipo de derechos de administración tiene el equipo y más. A continuación, los atacantes querrán saber qué más hay en la red y a qué pueden acceder. La forma más fácil de determinar esto es escanear la red. Si se detecta un escáner de red, como AngryIP o Advanced Port Scanner, cuestione al personal administrativo. Si nadie se  da a la espera de usar el escáner, es hora de investigar.

    

2 Herramientas para deshabilitar el software antivirus:

Una vez que los atacantes tienen derechos de administrador, a menudo intentarán deshabilitar el software de seguridad utilizando aplicaciones creadas para ayudar con la eliminación forzada de software, como Process Hacker, IOBit Uninstaller, GMER, y PC Hunter. Este tipo de herramientas comerciales son legítimas, pero en las manos equivocadas, los equipos de seguridad y los administradores deben cuestionarse por qué han aparecido repentinamente.

3 La presencia de MimiKatz

Cualquier detección de MimiKatz en cualquier lugar debe ser investigada. Si nadie en un equipo de administración puede dar fe del uso de MimiKatz, esta es una bandera roja porque es una de las herramientas de piratería más utilizadas para el robo de credenciales. Los atacantes también usan el Explorador de procesos de Microsoft , incluido en Windows Sysinternals, una herramienta legítima que puede volcar LSASS.exe de memoria, creando un archivo .dmp. A continuación, pueden llevar esto a su propio entorno y utilizar MimiKatz para extraer de forma segura nombres de usuario y contraseñas en su propio equipo de prueba.

4 Patrones de comportamiento sospechoso

Cualquier detección que sucede a la misma hora todos los días, o en un patrón repetido es a menudo una indicación de que algo más está pasando, incluso si los archivos maliciosos han sido detectados y eliminados. Los equipos de seguridad deberían preguntarse «¿por qué está regresando?» Los contestadores de incidentes saben que normalmente significa que se ha estado produciendo algo malicioso que aún no se ha identificado.

5 Ataques de prueba:

Ocasionalmente, los atacantes implementan pequeños ataques de prueba en algunos ordenadores con el fin de ver si el método de implementación y ransomware se ejecuta con éxito, o si el software de seguridad lo detiene. Si las herramientas de seguridad detienen el ataque, cambian de táctica e intentan de nuevo. Esto mostrará su mano, y los atacantes sabrán que su tiempo ahora es limitado. A menudo es cuestión de horas antes de que se lance un ataque mucho más grande.

¿Como puedo mantener mi información

segura ante estas amenazas?