Crecen los métodos usados para infectar las redes corporativas con ransomware
- Endpoint
En pleno 2021, el email sigue siendo la puerta de entrada preferida para propagar una gran variedad de amenazas, entre las que se encuentra el ransomware. A ellas se suma el acceso mediante RDP, el aprovechamiento de vulnerabilidades y el uso de la cadena de suministro, entre otras.
Recomendados: Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Anatomía del ataque a una cuenta privilegiada Leer |
El ransomware se ha popularizado tras los ciberataques acontecidos durante los últimos meses que han afectado a grandes empresas, organismos gubernamentales e incluso hospitales. Esta amenaza se ha ganado a pulso estar en la primera posición de las más temidas por empresas de todos los tamaños, organismos oficiales y hasta gobiernos. Para evitar su propagación, ESET expone las principales puertas de entrada que utiliza el ransomware para acceder a las redes corporativas, robar información confidencial (si procede) y cifrarla para dejarla inaccesible.
Acceso mediante protocolo RDP
La posibilidad de acceder remotamente a un puesto de trabajo ubicado en una red corporativa es una funcionalidad que ha ayudado a empleados de muchas empresas a seguir trabajando de forma habitual. Las empresas pueden habilitar la conexión remota mediante una autenticación simple, que pregunta por un usuario y una contraseña, aunque se puede fortalecer aplicando sistemas de autenticación multifactor. El problema es que muchos de estos accesos mediante el protocolo RDP están configurados usando el puerto por defecto 3389 y se pueden identificar usando buscadores específicos como Shodan.
Existen millones de máquinas que permiten este acceso remoto y esto supone millones de oportunidades para los delincuentes de acceder a una red corporativa. Para acceder a estas redes corporativas mediante RDP los delincuentes pueden, por ejemplo, comprar credenciales que se hayan visto comprometidas previamente, o realizar ataques de fuerza bruta. Una vez identificados aquellos que únicamente solicitan una autenticación simple mediante usuario y contraseña, es fácil para un atacante probar varias combinaciones de usuarios y contraseñas utilizando diccionarios de credenciales o incluso probando de forma aleatoria.
Con este elevado número de ataques produciéndose todos los días, es importante adoptar medidas que bloqueen o al menos mitiguen este tipo de incidentes. Para ello, resulta indispensable tener constancia de cuántos dispositivos tienen acceso mediante RDP a los ordenadores que están dentro de la red corporativa. Una vez identificados, es importante eliminar este acceso remoto a todos aquellos que no sean indispensables y realizar el acceso de aquellos que sí necesiten conectarse mediante una VPN, siempre que sea posible.
Los delincuentes que utilizan el email para propagar esta amenaza normalmente emplean algún tipo de documento adjunto con macros maliciosas incrustadas o enlaces para comprometer el sistema con un malware de primera fase. Este malware de primera fase suele estar compuesto por alguna variante de alguna botnet como puedan ser Trickbot, Qbot o Dridex.
Una vez que este malware consigue infectar el sistema, los delincuentes comienzan a realizar movimientos laterales en búsqueda de aquellas máquinas más interesantes, como pueden ser los controladores del dominio. También es posible que, dependiendo de los delincuentes, estos decidan robar información confidencial de la empresa para realizar una doble extorsión en el caso de que la víctima no quiera pagar por recuperar sus archivos.
A la hora de protegerse frente al ransomware que utiliza el email como vector de ataque es importante filtrar aquellos correos que resulten sospechosos y contengan ficheros adjuntos o enlaces con un buen filtro antispam. Además, estas soluciones de seguridad deben estar correctamente configuradas y protegidas con al menos una contraseña para evitar su desinstalación por parte de los atacantes. También se puede reducir considerablemente el éxito de estos incidentes si se conciencia a los empleados y se les enseña a identificar o, al menos, sospechar de ciertos tipos de correos.
Aprovechamiento de vulnerabilidades
Los agujeros de seguridad presentes en el sistema operativo y en las aplicaciones utilizadas son también otro de los vectores de ataque usados por los delincuentes para desplegar ransomware en redes corporativas.
Durante los últimos meses se ha visto como los delincuentes han tratado de aprovechar vulnerabilidades descubiertas, precisamente, en VPNs. El uso de estas conexiones seguras ha crecido de forma significativa, pero algunas presentan importantes fallos de seguridad que los delincuentes han sabido aprovechar para acceder a las redes corporativas. Asimismo, las vulnerabilidades en plataformas como Microsoft Exchange Server han sido aprovechadas por los atacantes para acceder a los sistemas y la red de las empresas.
Por los motivos expuestos, resulta fundamental para mantener una buena política de seguridad en las redes actualizar tanto los sistemas como las aplicaciones utilizadas tan pronto como sea posible. De esta forma se limita las posibilidades que tienen los delincuentes de tener éxito.
Peligros de la cadena de suministro
El sonado ataque a Kaseya, que provocó que centenares de empresas de todo el mundo vieran sus sistemas comprometidos, fue posible debido a que los atacantes lograron comprometer aprovechando una vulnerabilidad 0-day uno de los principales softwares de gestión de entornos IT usados por los proveedores de servicios gestionados. A pesar de que los ataques que usan la cadena de suministros aún son la excepción a la regla, su número se ha venido incrementando en los últimos meses. Comprometer una de estas herramientas de gestión es como obtener la llave maestra a cientos, si no miles, de redes corporativas, algo que los delincuentes están deseando conseguir.
Debido a la confianza ciega que se suele tener tanto en este tipo de software de gestión como en los proveedores de servicios gestionados, es difícil que las empresas tomen medidas para protegerse de estos ataques que usan la cadena de suministro. Sin embargo, se puede mitigar su impacto utilizando una solución de seguridad adecuada en los equipos de la red, complementada con una solución EDR que permita dar visibilidad a las acciones sospechosas.
Otros vectores de ataque
El ingenio de los atacantes no parece tener fin. Algunos grupos han empezado a utilizar call centers para conseguir que el usuario descargue y ejecute él mismo el malware, para lo que envían un email con algún tipo de gancho lo suficientemente interesante como para que el receptor llame a un número de teléfono proporcionado en el cuerpo del mensaje. Seguidamente, un operador le atenderá y le redirigirá a una web preparada por los delincuentes donde se le convencerá para que descargue algún tipo de archivo.
Así mismo, en algunos casos también se ha observado como los delincuentes tratan de reclutar a empleados descontentos y les ofrecen importantes cantidades de dinero a cambio de que descarguen y ejecuten el malware que permite a los criminales acceder a la red de la empresa.