El juego del gato y el ratón – los cibercriminales contra los equipos de seguridad – continúa con esta última evolución en el ransomware.
Actualmente, las tecnologías de defensa avanzada son más prominentes en los negocios alrededor del mundo, lo cual ha forzado a que los atacantes cambien su enfoque. El nuevo enfoque es mucho más dirigido y oculto, haciendo que el ransomware moderno sea mucho más difícil de detectar y detener antes de que sea demasiado tarde.
Trend Micro Vision One es la respuesta a este problema para nuestros clients, correlacionando actividades sospechosas a lo largo de su ambiente para identificar y detener movimiento lateral de parte de los atacantes antes de que se entregue el ransomware.
Un Gran Cambio
Los actores de ransomware actualmente usan herramientas legítimas para ocultar sus actividades en la red de sus víctimas. Por sí solas, estas herramientas no son maliciosas. De hecho, se supone deben ayudar a los equipos de seguridad, pero los criminales han encontrado formas de abusar de ellas.
Las herramientas son atractivas por, entre otras, las siguientes razones:
-
-
- No se detectan como maliciosas
-
-
-
- Son de código abierto y de fácil acceso
- Los mismos beneficios que ayudan a los equipos de seguridad pueden beneficiar a los cibercriminales
-
Trend Micro Research recientemente publicó una investigación profunda sobre algunas de las herramientas legítimas que son comúnmente abusadas, cuáles son los grupos de ransomware que las están usando y cómo lo están haciendo. Estas incluyen: Cobalt Strike, PsExec, Mimikatz, Process Hacker, AdFind y MegaSync.
Cómo Puede Ayudar Trend Micro Vision One
Es posible usar estas herramientas para obtener acceso a una red, establecer comunicación con el atacante, abrir backdoors, moverse lateralmente en la red, plantar credenciales o exfiltrar datos. Todas estas actividades son clave para los cibercriminales a lo largo del proceso del ransomware moderno:
Entra, Mantente oculto, Muévete, Encuentra datos valiosos, Exfíltralos, Encripta los datos con ransomware.
El uso de herramientas legítimas hace que sea más difícil para los equipos de seguridad identificar las actividades maliciosas. En el caso de muchos equipos SOC, distintas personas están revisando los logs de eventos de diferentes partes del ambiente, dificultando que una sola persona vea el panorama completo.
Un analista podría ver PsExec correr de una forma aparentemente benigna, mientras que otro analista podría ver un acceso a la red bajo lo que parecerían ser circunstancias normales. Cada uno de estos pequeños eventos no significa mucho por sí mismo. Sin una forma de unir todos los puntos a lo largo del ambiente, es entendible que estos ataques pasen inadvertidos hasta que sea demasiado tarde.
Trend Micro Vision One es clave para detectar esta actividad como maliciosa. Conecta los puntos por sus equipos, notando cada actividad sospechosa y correlacionando lo que podría ser un indicador temprano de ataque.
Para el momento en que estos criminales están exfiltrando datos antes de liberar el ransomware, hay muy poco que se pueda hacer para detenerlos. Podrían pasar semanas o meses revisando su red para encontrar los datos más valiosos, pero es más probable que exfiltrarlos comience a dar señales de alarma. En este punto, ellos saben que deben ser rápidos para completar su ataque.
La mejor forma de detener al ransomware moderno es encontrando a los atacantes y limpiando completamente sus rastros en la red antes de llegar a este punto. Detenga los ataques de forma temprana con Trend Micro Vision One.
Leave a Reply