Caso práctico de ransomware de Microsoft DART

El ransomware operado por humanos sigue manteniendo su posición como una de las tendencias de ciberataques más impactantes en todo el mundo y es una amenaza significativa que muchas organizaciones han tenido en los últimos años. Estos ataques sacan provecho de las configuraciones incorrectas de red y crecen en la seguridad interior débil de una organización. Aunque estos ataques suponen un peligro claro y presente a las organizaciones y a su infraestructura y datos de TI, son un desastre evitable.

El equipo de detección y respuesta (DART) de Microsoft responde a los riesgos de seguridad para ayudar a los clientes a ser ciberresistentes. DART proporciona respuesta a incidentes reactiva in situ e investigaciones proactivas remotas. DART saca provecho de las asociaciones estratégicas de Microsoft con organizaciones de seguridad de todo el mundo y grupos de productos internos de Microsoft para proporcionar la investigación más completa y exhaustiva posible.

En este artículo se describe cómo DART investigó un incidente de ransomware reciente con detalles sobre las tácticas de ataque y los mecanismos de detección.

Consulte la parte 1 y la parte 2 de la guía de DART para combatir el ransomware controlado por personas para obtener más información.

El ataque

DART saca provecho de las herramientas y tácticas de respuesta a incidentes para identificar comportamientos de actor de amenazas para ransomware controlado por personas. La información pública sobre los eventos de ransomware se centra en el impacto final, pero rara vez resalta los detalles de la operación y cómo los actores de amenazas pudieron escalar su acceso no detectado para detectar, monetizar y extorsionar.

Estas son algunas técnicas comunes que los atacantes usan para ataques ransomware basados en tácticas de MITRE ATT&CK.

DART usó Microsoft Defender para punto de conexión para realizar un seguimiento del atacante a través del entorno, crear una historia para describir el incidente y, a continuación, eliminar la amenaza y corregir la situación. Una vez implementado, Defender para punto de conexión comenzó a detectar inicios de sesión correctos a partir de un ataque por fuerza bruta. Tras descubrir esto, DART revisó los datos de seguridad y encontró varios dispositivos accesibles desde Internet vulnerables mediante el Protocolo de escritorio remoto (RDP).

Después de obtener el acceso inicial, el actor de amenazas usó la herramienta de recolección de credenciales de Mimikatz para volcar hashes de contraseñas, examinó las credenciales almacenadas en texto no cifrado, creó puertas traseras con manipulación de claves permanentes y se trasladó lateralmente a través de la red mediante sesiones de escritorio remoto.

En este caso práctico, esta es la ruta resaltada que siguió el atacante.

En las secciones siguientes se describen detalles adicionales basados en las tácticas de MITRE ATT&CK e incluyen ejemplos de cómo se detectaron las actividades del actor de amenazas con el portal de Microsoft Defender.

Acceso inicial

Las campañas de ransomware usan vulnerabilidades conocidas para su entrada inicial, normalmente con correos electrónicos de suplantación de identidad (phishing) o puntos débiles en defensa perimetral, como dispositivos con el servicio de Escritorio remoto habilitado expuesto en Internet.

Para este incidente, DART pudo localizar un dispositivo que tenía el puerto TCP 3389 para RDP expuesto a Internet. Esto permitió a los actores de amenazas realizar un ataque de autenticación por fuerza bruta y obtener el punto de vista inicial.

Defender para punto de conexión usó inteligencia sobre amenazas para determinar que había numerosos inicios de sesión de orígenes conocidos de fuerza bruta y los mostraba en el portal de Microsoft Defender. Este es un ejemplo.

Reconocimiento

Una vez que el acceso inicial se realizó correctamente, se inició la enumeración del entorno y la detección de dispositivos. Estas actividades permitieron a los actores de amenazas identificar información sobre la red interna de la organización y los sistemas críticos de destino, como controladores de dominio, servidores de copia de seguridad, bases de datos y recursos en la nube. Después de la enumeración y la detección de dispositivos, los actores de amenazas realizaron actividades similares para identificar cuentas de usuario, grupos, permisos y software vulnerables.

El actor de amenazas sacó provecho de Advanced IP Scanner, una herramienta de análisis de direcciones IP, para enumerar las direcciones IP usadas en el entorno y realizar el análisis de puertos posterior. Al examinar los puertos abiertos, el actor de amenazas detectó dispositivos accesibles desde el dispositivo en peligro inicialmente.

Esta actividad se detectó en Defender para punto de conexión y se usó como indicador de riesgo (IoC) para una investigación más detallada. Este es un ejemplo.

Robo de credenciales

Después de obtener acceso inicial, los actores de amenazas realizaron la recolección de credenciales mediante la herramienta de recuperación de contraseñas de Mimikatz y mediante la búsqueda de archivos que contenían "contraseña" en sistemas en peligro inicialmente. Estas acciones permitieron a los actores de amenazas acceder a sistemas adicionales con credenciales legítimas. En muchas situaciones, los actores de amenazas usan estas cuentas para crear cuentas adicionales para mantener la persistencia después de identificar y corregir las cuentas en peligro iniciales.

Este es un ejemplo del uso detectado de Mimikatz en el portal de Microsoft Defender.

Desplazamiento lateral

El movimiento entre puntos de conexión puede variar entre diferentes organizaciones, pero los actores de amenazas suelen usar diferentes variedades de software de administración remota que ya existe en el dispositivo. Mediante métodos de acceso remoto que el departamento de TI usa habitualmente en sus actividades cotidianas, los actores de amenazas pueden pasar desapercibidos durante largos periodos de tiempo.

Con Microsoft Defender for Identity, DART pudo trazar la ruta que siguió el actor de amenazas entre dispositivos y mostrar las cuentas que se usaron y a las que se accedió. Este es un ejemplo.

Evasión defensiva

Para evitar la detección, los actores de amenazas usaron técnicas de evasión de defensa para evitar la identificación y lograr sus objetivos a lo largo del ciclo de ataque. Estas técnicas incluyen la deshabilitación o manipulación de productos antivirus, la desinstalación o deshabilitación de productos o características de seguridad, la modificación de reglas de firewall y el uso de técnicas de ofuscación para ocultar los artefactos de una intrusión de productos y servicios de seguridad.

El actor de amenazas de este incidente usó PowerShell para deshabilitar la protección en tiempo real de Microsoft Defender en dispositivos Windows 11 y Windows 10 y herramientas de red locales para abrir el puerto TCP 3389 y permitir conexiones RDP. Estos cambios disminuyeron las posibilidades de detección en un entorno porque modificaron los servicios del sistema que detectan la actividad malintencionada y alertan al respecto.

Sin embargo, Defender para punto de conexión no se puede deshabilitar desde el dispositivo local y pudo detectar esta actividad. Este es un ejemplo.

Persistencia

Las técnicas de persistencia incluyen acciones de los actores de amenazas para mantener el acceso coherente a los sistemas después de que el personal de seguridad realice los esfuerzos para recuperar el control de los sistemas en peligro.

Los actores de amenazas de este incidente usaron el hack de claves permanentes porque permite la ejecución remota de un binario dentro del sistema operativo Windows sin autenticación. A continuación, usaron esta funcionalidad para ejecutar un símbolo del sistema y realizar ataques adicionales.

Este es un ejemplo de la detección del hack de claves permanentes en el portal de Microsoft Defender.

Impacto

Normalmente, los actores de amenazas cifran archivos mediante aplicaciones o características que ya existen en el entorno. El uso de PsExec, la directiva de grupo y la administración de configuración de puntos de conexión de Microsoft son métodos de implementación que permiten a un actor llegar rápidamente a los puntos de conexión y los sistemas sin interrumpir las operaciones normales.

El actor de amenazas de este incidente sacó provecho de PsExec para iniciar de forma remota una secuencia de comandos interactiva de PowerShell desde varios recursos compartidos remotos. Este método de ataque aleatoriza los puntos de distribución y hace que la corrección sea más difícil durante la fase final del ataque de ransomware.

Ejecución de ransomware

La ejecución de ransomware es uno de los métodos principales que un actor de amenazas usa para monetizar su ataque. Independientemente de la metodología de ejecución, los marcos de ransomware distintos tienden a tener un patrón de comportamiento común una vez implementados:

• Ofuscar acciones de actor de amenazas
• Establecer persistencia
• Deshabilitar la recuperación de errores de Windows y la reparación automática
• Detener una lista de servicios
• Finalizar una lista de procesos
• Eliminar instantáneas y copias de seguridad
• Cifrar archivos, que pueden especificar exclusiones personalizadas
• Crear una nota de ransomware

Este es un ejemplo de una nota de ransomware.

Recursos adicionales del ransomware

Información clave de Microsoft:

• La creciente amenaza del ransomware, entrada de blog de Microsoft On the Issues del 20 de julio de 2021
• Ransomware controlado por personas
• Protección rápida frente al ransomware y la extorsión
• Informe de 2021 sobre defensa digital de Microsoft (consulte las páginas 10 a 19)
• Ransomware: un informe generalizado y continuo de análisis de amenazas amenazas en el portal de Microsoft Defender
• Enfoque y procedimientos recomendados para el ransomware de Microsoft DART

Microsoft 365:

• Implementación de la protección contra ransomware en el inquilino de Microsoft 365
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Recuperación en caso de un ataque de ransomware
• Protección contra malware y ransomware
• Proteger el PC contra el ransomware
• Control del ransomware en SharePoint Online
• Informes de análisis de amenazas para ransomware en el portal de Microsoft Defender

Microsoft Defender XDR:

• Búsqueda de ransomware con búsqueda avanzada

Microsoft Defender for Cloud Apps:

• Creación de directivas de detección de anomalías en Defender for Cloud Apps

Microsoft Azure:

• Defensas de Azure ante ataques de ransomware
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Plan de copia de seguridad y restauración para protegerse contra el ransomware
• Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
• Recuperación de un riesgo de identidad sistemático
• Detección de un ataque avanzado de varias fases en Microsoft Sentinel
• Detección de fusión para ransomware en Microsoft Sentinel

Entradas de blog del equipo de seguridad de Microsoft:

• Tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021)

• Guía para combatir ransomware operado por humanos: Parte 1 (septiembre de 2021)

  Pasos clave sobre cómo el equipo de detección y respuesta (DART) de Microsoft lleva a cabo investigaciones de incidentes de ransomware.

• Guía para combatir ransomware operado por humanos: Parte 2 (septiembre de 2021)

  Sugerencias y procedimientos recomendados

• Mayor resistencia mediante la comprensión de los riesgos de ciberseguridad: Parte 4: Análisis de las amenazas actuales (mayo de 2021)

  Consulte la sección Ransomware.

• Ataques de ransomware controlados por personas: Un desastre evitable (marzo de 2020)

  Incluye el análisis de la cadena de ataques de los ataques reales.

• Respuesta al ransomware: ¿pagar o no pagar? (diciembre de 2019)

• Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre de 2019)