Claves para defenderse de los ataques de ransomware Living Off the Land

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar La hoja de ruta de DevOps en materia de seguridad Leer

La mayoría de los ataques LotL (Living off the Land), siguen un patrón similar: se infiltran en una red empresarial, comprometen los sistemas, escalan privilegios y se mueven lateralmente hasta obtener el acceso a los sistemas sensibles que necesitan para ejecutar su ataque ransomware. Usando el análisis ATT&CK, cuyo objetivo es capturar las técnicas, tácticas y procedimientos de las amenazas persistentes avanzadas (APT) para entender cómo operan los atacantes, CyberArk cree que es posible desglosar comportamientos y señales de alerta en la etapa crítica de un ataque de ransomware LotL, para detectarlo lo antes posible y reducir el daño. La compañía explica cómo defendernos paso a paso:

--Primer contacto

Muchos de los atacantes se basan en técnicas de phishing, mientras que otros obtienen acceso inyectando código malicioso o secuencias de comandos en una experiencia de navegación online normal para descubrir vulnerabilidades. Otros, incluso, manipulan el software antes de que llegue al usuario final en un ataque a la cadena de suministro. Cualquiera de estas técnicas, o una combinación de varias, abrirá la puerta.

--Ejecución de código

Una vez dentro, el objetivo del atacante es ejecutar el código malicioso a través de diversas opciones: desde abusar de los comandos de PowerShell hasta manipular PsExec, una herramienta que brinda a los administradores de TI una forma de ejecutar procesos usando las credenciales de cualquier identidad de forma remota. También es posible crear un entorno uniforme para el acceso remoto y local a los componentes del sistema de Windows a través de Instrumental de Administración de Windows (WMI), que puede abrir rutas de ataque. O, como se vio en el ataque a SolarWinds, los ciberdelincuentes pueden modificar el código fuente y provocar una actualización de seguridad, que, en realidad, es el malware disfrazado.

--Mantener el punto de apoyo

Esta es la etapa en la que el atacante se instala y aprovecha al máximo el tiempo y el anonimato que sus técnicas le ofrecen. En esta etapa, el atacante puede crear sus propias cuentas para mantener el acceso a los sistemas de las víctimas o utilizar Logon AutoStart para ejecutar programas durante los arranques del sistema y obtener acceso a más privilegios en los sistemas comprometidos.

--Escalada de privilegios

Una vez asentado, el atacante busca obtener permisos de nivel superior. Por ello, muchos buscan credenciales de cuenta de dominio, especialmente las de los administradores de dominio que tienen acceso a sistemas Tier0, como Active Directory, y prefieren cuentas de servicio vinculadas a identidades no humanas, pues estas contraseñas se cambian con poca frecuencia. A través de técnicas como el volcado de credenciales del sistema operativo, los atacantes obtienen la información de inicio de sesión a medida que se acercan a las claves de los sistemas más potentes. Todo ello, bajo la apariencia de cuentas y herramientas “legítimas”.

--Forjar un pase de acceso total

Con los privilegios de administrador de dominio conseguidos, el atacante puede manipular los controladores de dominio o extraer datos de contraseña de Active Directory mediante la ejecución de DCSync, que puede producir hashes actuales e históricos de cuentas potencialmente útiles o intentar tener acceso a secretos de Autoridad de Seguridad Local (LSA) para obtener información de las cuentas.

--Movimiento lateral

Con libertad de movimientos, ahora el atacante se centra en el movimiento lateral. Sus claves Kerberos falsificadas le permiten eludir los controles de seguridad y acceso mientras busca datos para extraer y espera el momento adecuado para exfiltrar datos sensibles, cifrar archivos y exigir un rescate. En otros casos, el atacante puede usar cuentas válidas para interactuar con un recurso compartido de red remoto usando Server Message Block (SMB).

Con tantas técnicas a disposición de los atacantes, puede ser difícil averiguar cómo abordar las áreas de vulnerabilidad o por dónde comenzar, pero cuando se trata de mitigar el daño causado por los ataques LotL, la primera etapa suele ser el sitio donde comenzar, ya que una vez que consiguen un punto de acceso, resulta más fácil para ellos escalar sus esfuerzos. CyberArk defiende adoptar un enfoque de seguridad endpoint de varias capas que combina la defensa de privilegios mínimos, la autenticación fuerte para las identidades, la protección contra el robo de credenciales, el control de aplicaciones y el bloqueo de ransomware, lo que hará que resulte más difícil para los atacantes obtener acceso y mantener la persistencia.