Publican una guía práctica sobre los principales grupos de ransomware

El equipo de Inteligencia Frente a Amenazas de Kaspersky ha llevado a cabo un análisis de las tácticas, técnicas y procedimientos (TTPs) más comunes utilizados por los 8 grupos de ransomware más activos, como Conti y Lockbit2.0, durante sus ataques.

La investigación revela que los distintos grupos comparten más de la mitad de la conocida como ‘cyber kill chain’ y ejecutan las etapas centrales de los ataques de forma idéntica. Este amplio estudio sobre el ransomware, que está disponible de forma gratuita, servirá de ayuda para entender cómo operan estos grupos y cómo defenderse de sus ataques.

El análisis se centra en la actividad de Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat. Estos grupos han actuado principalmente en Estados Unidos, Gran Bretaña y Alemania, y han atacado a más de 500 organizaciones de sectores enfocados en producción, desarrollo de software y pequeñas empresas entre marzo de 2021 y marzo de 2022.

A lo largo de 150 páginas, la guía práctica explica las etapas de despliegue del ransomware, cómo los ciberdelincuentes utilizan sus herramientas preferidas o los objetivos que esperan conseguir. Además, incluye consejos sobre cómo defenderse de los ataques de ransomware dirigidos y conocer las reglas de detección de SIGMA, que pueden utilizarse para desarrollar medidas preventivas contra los atacantes.

El equipo de Inteligencia Frente a Amenazas de Kaspersky analizó cómo los grupos de ransomware emplearon las técnicas y tácticas descritas en MITRE ATT&CK y encontró muchas similitudes entre sus TTPs a lo largo de la ‘cyber kill chain’. Las formas de ataque resultaron ser bastante predecibles, con ransomware que siguen un patrón que incluye la red corporativa o el ordenador de la víctima, la entrega de malware, el descubrimiento posterior, el acceso a las credenciales, la eliminación de las copias de seguridad y, finalmente, la consecución de sus objetivos.

Los analistas también explican la similitud entre los ataques:

  • La aparición de un fenómeno llamado «Ransomware-as-a-Service» (RaaS), en el que los grupos de ransomware no entregan el malware por sí mismos, sino que solo proporcionan los servicios de cifrado de datos. Quienes envían los archivos maliciosos se ahorran ‘trabajo’ utilizando métodos de entrega de plantillas o herramientas de automatización para acceder.
  • La reutilización de herramientas antiguas y similares facilita la vida a los atacantes y reduce el tiempo de preparación de un ataque.
  • La reutilización de TTPs comunes facilita el hackeo. Aunque es posible detectar estas técnicas, es mucho más difícil hacerlo de forma preventiva en todos los posibles vectores de amenaza.
  • Lentitud en la instalación de actualizaciones y parches entre las víctimas.

La sistematización de las diversas TTPs utilizadas por los atacantes ha llevado a la formación de un conjunto general de reglas SIGMA de acuerdo con MITRE ATT&CK que ayuda a prevenir dichos ataques.

«En los últimos años, el ransomware se ha convertido en una pesadilla para toda la industria de la ciberseguridad, con constantes desarrollos y mejoras por parte de los operadores de ransomware. A los especialistas en ciberseguridad les supone un reto y una gran inversión de tiempo estudiar cada grupo de ransomware y seguir las actividades y desarrollos de cada uno, en un intento de ganar la carrera entre atacantes y defensores. Hemos seguido la actividad de varios grupos de ransomware durante mucho tiempo, y este informe representa los resultados de un enorme trabajo de análisis. Su objetivo es servir de guía para los profesionales de la ciberseguridad que trabajan en todo tipo de organizaciones, facilitando su trabajo», comenta Nikita Nazarov, Team Lead del equipo de Inteligencia Frente a Amenazas de Kaspersky.

Este informe está dirigido a analistas de SOC, equipos de detección de amenazas, analistas de inteligencia de ciberamenazas, especialistas en forense digital y expertos en ciberseguridad que participan en el proceso de respuesta a incidentes y/o aquellos que quieren proteger de ataques de ransomware dirigidos el entorno del que son responsables.

Con el objetivo de que las empresas puedan protegerse de estos ataques de ransomware, desde Kaspersky recomiendan:

  • No exponer los servicios de escritorio remoto (como RDP) a las redes públicas, a menos que sea absolutamente necesario, además de utilizar siempre contraseñas seguras para ellos.
  • Instalar rápidamente los parches disponibles para las soluciones comerciales de VPN que proporcionan acceso a los empleados remotos y que actúan como puertas de enlace en la red.
  • Mantener siempre actualizado el software en todos los dispositivos para evitar que el ransomware aproveche las vulnerabilidades
  • Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet, así como prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
  • Hacer copias de seguridad de los datos con regularidad y asegurarse de poder acceder rápidamente a ellos en caso de emergencia.
  • Utilizar soluciones como Kaspersky Endpoint Detection and Response Expert y el servicio Kaspersky Managed Detection and Response, que ayudan a identificar y detener el ataque en las primeras fases, antes de que los ciberdelincuentes alcancen sus objetivos finales.
  • Formar a los empleados para proteger el entorno corporativo. En este sentido, son muy útiles los cursos de formación dedicados como los que se ofrecen en la Plataforma de Concienciación de Seguridad Automatizada de Kaspersky.
  • Utilizar una solución de seguridad fiable para endpoints, como Kaspersky Endpoint Security for Business, que cuenta con prevención de exploits, detección de comportamientos y un motor de corrección capaz de revertir las acciones maliciosas. También cuenta con mecanismos de autodefensa que pueden impedir su eliminación por parte de los ciberdelincuentes.
  • Utilizar la información más reciente sobre Inteligencia Frente a Amenazas para mantenerse al tanto de las TTPs reales utilizadas por los actores de amenazas. El Portal de Inteligencia Frente a Amenazas es un punto de acceso único para la TI de Kaspersky, que proporciona datos de ciberataques y perspectivas recopiladas por el equipo durante casi 25 años. Para ayudar a las empresas a habilitar defensas eficaces, Kaspersky ha anunciado el acceso a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso, sin coste alguno.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba