Así actúan los principales grupos de ransomware

  • Actualidad

seguridad ransomware

Kaspersky ha llevado a cabo un análisis de las tácticas, técnicas y procedimientos (TTPs) más comunes utilizados por los ocho grupos de ransomware más activos durante sus ataques. La investigación revela que los distintos grupos, como Conti o Lockbit 2.0, comparten más de la mitad de la conocida como ‘cyber kill chain’ y ejecutan las etapas centrales de los ataques de forma idéntica.

Recomendados: 

Generando entornos de datos modernos. Webinar

SASE. El futuro de la seguridad en la red. Acceder

Este nuevo estudio del equipo de Inteligencia frente a Amenazas de Kaspersky se se centra en la actividad de Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat, grupos que han actuado principalmente en Estados Unidos, Gran Bretaña y Alemania, y han atacado a más de 500 organizaciones entre marzo de 2021 y marzo de 2022.

Para ello, los investigadores analizaron cómo los grupos de ransomware emplearon las técnicas y tácticas descritas en MITRE ATT&CK y encontraron muchas similitudes entre sus TTPs a lo largo de la ‘cyber kill chain’. Las formas de ataque resultaron ser bastante predecibles, con ransomware que siguen un patrón que incluye la red corporativa o el ordenador de la víctima, la entrega de malware, el descubrimiento posterior, el acceso a las credenciales, la eliminación de las copias de seguridad y, finalmente, la consecución de sus objetivos.

Los analistas también explican la similitud entre los ataques. Por un lado, mencionan la aparición del "Ransomware-as-a-Service" (RaaS), en el que los grupos de ransomware no entregan el malware por sí mismos, sino que solo proporcionan los servicios de cifrado de datos. Quienes envían los archivos maliciosos se ahorran ‘trabajo’ utilizando métodos de entrega de plantillas o herramientas de automatización para acceder.

Por otro lado, la reutilización de herramientas antiguas y similares facilita la vida a los atacantes y reduce el tiempo de preparación de un ataque y, además, la reutilización de TTPs comunes facilita el hackeo. Aunque es posible detectar estas técnicas, es mucho más difícil hacerlo de forma preventiva en todos los posibles vectores de amenaza. Finalmente, la lentitud en la instalación de actualizaciones y parches entre las víctimas tampoco ayuda.

Este informe, dirigido a analistas de SOC, equipos de detección de amenazas, analistas de inteligencia de ciberamenazas, especialistas en técnicas forenses digitales y expertos en ciberseguridad, reúne una serie de recomendaciones:

-- No exponer los servicios de escritorio remoto (como RDP) a las redes públicas, a menos que sea absolutamente necesario, además de utilizar siempre contraseñas seguras para ellos.

-- Instalar rápidamente los parches disponibles para las soluciones comerciales de VPN que proporcionan acceso a los empleados remotos y que actúan como puertas de enlace en la red.

-- Mantener siempre actualizado el software en todos los dispositivos para evitar que el ransomware aproveche las vulnerabilidades

-- Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet, así como prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.

-- Hacer copias de seguridad de los datos con regularidad y asegurarse de poder acceder rápidamente a ellos en caso de emergencia.

También aconseja utilizar soluciones que ayuden a identificar y detener el ataque en las primeras fases, formar a los empleados, proteger los dispositivos y utilizar la última información sobre Inteligencia de Amenazas, áreas todas ellas en las que la firma tiene oferta.