Los creadores de ramsomware aprovechan vías para el uso indebido de software legítimo

Según han señalado los expertos de CyberArk al hilo de su investigación, a la hora de obtener el acceso inicial, algunos atacantes utilizan exploits, como el empleo de vulnerabilidades comunes (CVE) contra objetivos vulnerables. También roban, falsifican, alteran o manipulan las cookies de las sesiones web de los usuarios para entrar. O envían correos electrónicos de phishing y engañan a los usuarios para que descarguen aplicaciones legítimas.

Asimismo, los atacantes también utilizan software legítimo para establecer puertas traseras con fines de persistencia y/o mando y control (C2), así como utilizarlos para eludir MFA y/o modificar o desactivar las herramientas de seguridad existentes para evitar la detección, desde la terminación de los procesos protegidos por la detección y respuesta del endpoint (EDR) hasta la modificación/eliminación de claves de registro o archivos de configuración. En algunos ataques de ransomware, los autores utilizaron los ejecutables portátiles del software para obtener acceso sin necesidad de privilegios de administrador local ni de una instalación completa del software, lo que les permitió eludir los controles de software comunes.

Los sistemas operativos Windows están protegidos por el Control de Cuentas de Usuario (UAC), una función de seguridad nativa diseñada para proteger contra el software malicioso y los cambios no autorizados. Si los usuarios de una empresa intentan ejecutar un programa como administrador, UAC les pedirá introducir las credenciales de un usuario administrador antes de poder realizar cambios. Y aunque la mayoría del ransomware que se comercializa hoy en día no requiere derechos de administrador para cifrar los datos, a menudo, los ciberdelincuentes se centran en UAC y lo eluden para elevar el acceso y establecer la persistencia.

De hecho, según estos expertos, los autores de ransomware que emplean técnicas de doble extorsión rara vez crean sus propias herramientas para robar los datos. En su lugar, suelen utilizar herramientas de copia de seguridad legítimas o programas similares para filtrar los datos de sus víctimas. A principios de 2023, CyberArk Labs observó que los ciberdelincuentes utilizaban Discord, una popular aplicación de colaboración, para filtrar datos a través de webhooks. Así como Rclone, un programa de línea de comandos para sincronizar archivos con almacenamiento en la nube que permite a los atacantes mover fácilmente archivos a través de protocolos de transferencia, como FTP y SFTP. Los atacantes también emplean herramientas como 7-zip, un archivador de archivos de código abierto, para comprimir datos, lo que les ayuda a evitar la detección antes de la exfiltración.

Por todo ello, y dado que el cambio de los atacantes al software legítimo es preocupante dada la naturaleza altamente sigilosa de estos ataques, surge la necesidad de que las organizaciones adopten un enfoque de defensa en profundidad centrado en la identidad para la protección contra el ransomware.