Caso práctico de ransomware Microsoft Incident Response

El ransomware operado por humanos sigue manteniendo su posición como una de las tendencias de ciberataques más impactantes en todo el mundo y es una amenaza significativa que muchas organizaciones han tenido en los últimos años. Estos ataques sacan provecho de las configuraciones incorrectas de red y crecen en la seguridad interior débil de una organización. Aunque estos ataques suponen un peligro claro y presente a las organizaciones y a su infraestructura y datos de TI, son un desastre evitable.

El Equipo de Microsoft Incident Response (anteriormente DART/CRSP) responde a los problemas de seguridad para ayudar a los clientes a volverse resistentes a la ciberseguridad. Microsoft Incident Response proporciona respuesta reactiva a incidentes locales e investigaciones proactivas remotas. La Microsoft Incident Response aprovecha las asociaciones estratégicas de Microsoft con organizaciones de seguridad de todo el mundo y grupos de productos internos de Microsoft para proporcionar la investigación más completa y exhaustiva posible.

En este artículo se describe cómo la Microsoft Incident Response investiga un incidente de ransomware reciente con detalles sobre las tácticas de ataque y los mecanismos de detección.

Consulte Parte 1 y Parte 2 de la guía de respuestas a incidentes de Microsoft para combatir el ransomware operado por humanos para obtener más información.

El ataque

La Microsoft Incident Response aprovecha las herramientas y tácticas de respuesta a incidentes para identificar los comportamientos de los actores de amenazas para el ransomware operado por humanos. La información pública sobre los eventos de ransomware se centra en el impacto final, pero rara vez resalta los detalles de la operación y cómo los actores de amenazas pudieron escalar su acceso no detectado para detectar, monetizar y extorsionar.

Estas son algunas técnicas comunes que los atacantes usan para ataques ransomware basados en tácticas de MITRE ATT&CK.

La Microsoft Incident Response utilizó Microsoft Defender para punto de conexión para seguir al atacante por el entorno, crear una historia que describiera el incidente y luego erradicar la amenaza y corregirla. Una vez implementado, Defender para punto de conexión comenzó a detectar inicios de sesión correctos a partir de un ataque por fuerza bruta. Al descubrirlo, la Microsoft Incident Response revisó los datos de seguridad y encontró varios dispositivos vulnerables orientados a Internet que utilizaban el protocolo de escritorio remoto (RDP).

Después de obtener el acceso inicial, el actor de amenazas usó la herramienta de recolección de credenciales de Mimikatz para volcar hashes de contraseñas, examinó las credenciales almacenadas en texto no cifrado, creó puertas traseras con manipulación de claves permanentes y se trasladó lateralmente a través de la red mediante sesiones de escritorio remoto.

En este caso práctico, esta es la ruta resaltada que siguió el atacante.

En las secciones siguientes se describen detalles adicionales basados en las tácticas de MITRE ATT&CK e incluyen ejemplos de cómo se detectaron las actividades del actor de amenazas con el portal de Microsoft Defender.

Acceso inicial

Las campañas de ransomware usan vulnerabilidades conocidas para su entrada inicial, normalmente con correos electrónicos de suplantación de identidad (phishing) o puntos débiles en defensa perimetral, como dispositivos con el servicio de Escritorio remoto habilitado expuesto en Internet.

Para este incidente, la Microsoft Incident Response administraba localizar un dispositivo que tenía el puerto TCP 3389 para RDP expuesto a Internet. Esto permitió a los actores de amenazas realizar un ataque de autenticación por fuerza bruta y obtener el punto de vista inicial.

Defender para punto de conexión usó inteligencia sobre amenazas para determinar que había numerosos inicios de sesión de orígenes conocidos de fuerza bruta y los mostraba en el portal de Microsoft Defender. Este es un ejemplo.

Reconocimiento

Una vez que el acceso inicial se realizó correctamente, se inició la enumeración del entorno y la detección de dispositivos. Estas actividades permitieron a los actores de amenazas identificar información sobre la red interna de la organización y los sistemas críticos de destino, como controladores de dominio, servidores de copia de seguridad, bases de datos y recursos en la nube. Después de la enumeración y la detección de dispositivos, los actores de amenazas realizaron actividades similares para identificar cuentas de usuario, grupos, permisos y software vulnerables.

El actor de amenazas sacó provecho de Advanced IP Scanner, una herramienta de análisis de direcciones IP, para enumerar las direcciones IP usadas en el entorno y realizar el análisis de puertos posterior. Al examinar los puertos abiertos, el actor de amenazas detectó dispositivos accesibles desde el dispositivo en peligro inicialmente.

Esta actividad se detectó en Defender para punto de conexión y se usó como indicador de riesgo (IoC) para una investigación más detallada. Este es un ejemplo.

Robo de credenciales

Después de obtener acceso inicial, los actores de amenazas realizaron la recolección de credenciales mediante la herramienta de recuperación de contraseñas de Mimikatz y mediante la búsqueda de archivos que contenían "contraseña" en sistemas en peligro inicialmente. Estas acciones permitieron a los actores de amenazas acceder a sistemas adicionales con credenciales legítimas. En muchas situaciones, los actores de amenazas usan estas cuentas para crear cuentas adicionales para mantener la persistencia después de identificar y corregir las cuentas en peligro iniciales.

Este es un ejemplo del uso detectado de Mimikatz en el portal de Microsoft Defender.

Desplazamiento lateral

El movimiento entre puntos de conexión puede variar entre diferentes organizaciones, pero los actores de amenazas suelen usar diferentes variedades de software de administración remota que ya existe en el dispositivo. Mediante métodos de acceso remoto que el departamento de TI usa habitualmente en sus actividades cotidianas, los actores de amenazas pueden pasar desapercibidos durante largos periodos de tiempo.

Gracias a Microsoft Defender for Identity, la respuesta ante incidentes de Microsoft pudo trazar la ruta que siguió el actor de la amenaza entre los dispositivos, mostrando las cuentas que se utilizaron y a las que se accedió. Este es un ejemplo.

Evasión defensiva

Para evitar la detección, los actores de amenazas usaron técnicas de evasión de defensa para evitar la identificación y lograr sus objetivos a lo largo del ciclo de ataque. Estas técnicas incluyen la deshabilitación o manipulación de productos antivirus, la desinstalación o deshabilitación de productos o características de seguridad, la modificación de reglas de firewall y el uso de técnicas de ofuscación para ocultar los artefactos de una intrusión de productos y servicios de seguridad.

El actor de amenazas de este incidente usó PowerShell para deshabilitar la protección en tiempo real de Microsoft Defender en dispositivos Windows 11 y Windows 10 y herramientas de red locales para abrir el puerto TCP 3389 y permitir conexiones RDP. Estos cambios disminuyeron las posibilidades de detección en un entorno porque modificaron los servicios del sistema que detectan la actividad malintencionada y alertan al respecto.

Sin embargo, Defender para punto de conexión no se puede deshabilitar desde el dispositivo local y pudo detectar esta actividad. Este es un ejemplo.

Persistencia

Las técnicas de persistencia incluyen acciones de los actores de amenazas para mantener el acceso coherente a los sistemas después de que el personal de seguridad realice los esfuerzos para recuperar el control de los sistemas en peligro.

Los actores de amenazas de este incidente usaron el hack de claves permanentes porque permite la ejecución remota de un binario dentro del sistema operativo Windows sin autenticación. Posteriormente, utilizaron esta funcionalidad para iniciar un símbolo del sistema y realizar más ataques.

Este es un ejemplo de la detección del hack de claves permanentes en el portal de Microsoft Defender.

Impacto

Normalmente, los actores de amenazas cifran archivos mediante aplicaciones o características que ya existen en el entorno. El uso de PsExec, la directiva de grupo y la administración de configuración de puntos de conexión de Microsoft son métodos de implementación que permiten a un actor llegar rápidamente a los puntos de conexión y los sistemas sin interrumpir las operaciones normales.

El actor de amenazas de este incidente sacó provecho de PsExec para iniciar de forma remota una secuencia de comandos interactiva de PowerShell desde varios recursos compartidos remotos. Este método de ataque aleatoriza los puntos de distribución y hace que la corrección sea más difícil durante la fase final del ataque de ransomware.

Ejecución de ransomware

La ejecución de ransomware es uno de los métodos principales que un actor de amenazas usa para monetizar su ataque. Independientemente de la metodología de ejecución, los marcos de ransomware distintos tienden a tener un patrón de comportamiento común una vez implementados:

• Ofuscar acciones de actor de amenazas
• Establecer persistencia
• Deshabilitar la recuperación de errores de Windows y la reparación automática
• Detener una lista de servicios
• Finalizar una lista de procesos
• Eliminar instantáneas y copias de seguridad
• Cifrar archivos, que pueden especificar exclusiones personalizadas
• Crear una nota de ransomware

Este es un ejemplo de una nota de ransomware.

Recursos adicionales del ransomware

Información clave de Microsoft:

• La creciente amenaza del ransomware, entrada de blog de Microsoft On the Issues del 20 de julio de 2021
• Ransomware controlado por personas
• Protección rápida frente al ransomware y la extorsión
• Informe de 2021 sobre defensa digital de Microsoft (consulte las páginas 10 a 19)
• Ransomware: un informe generalizado y continuo de análisis de amenazas en el portal de Microsoft Defender
• Enfoque de ransomware de respuesta a incidentes de Microsoft y procedimientos recomendados

Microsoft 365:

• Implementación de la protección contra ransomware en el inquilino de Microsoft 365
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Recuperación en caso de un ataque de ransomware
• Protección contra malware y ransomware
• Proteger el PC contra el ransomware
• Control del ransomware en SharePoint Online
• Informes de análisis de amenazas para ransomware en el portal de Microsoft Defender

Microsoft Defender XDR:

• Búsqueda de ransomware con búsqueda avanzada

Microsoft Defender for Cloud Apps:

• Creación de directivas de detección de anomalías en Defender for Cloud Apps

Microsoft Azure:

• Defensas de Azure ante ataques de ransomware
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Plan de copia de seguridad y restauración para protegerse contra el ransomware
• Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
• Recuperación de un riesgo de identidad sistemático
• Detección de un ataque avanzado de varias fases en Microsoft Sentinel
• Detección de fusión para ransomware en Microsoft Sentinel

Entradas de blog del equipo de seguridad de Microsoft:

• Tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021)

• Guía para combatir ransomware operado por humanos: Parte 1 (septiembre de 2021)

  Pasos clave sobre cómo Microsoft Incident Response lleva a cabo las investigaciones de incidentes de ransomware.

• Guía para combatir ransomware operado por humanos: Parte 2 (septiembre de 2021)

  Sugerencias y procedimientos recomendados

• Mayor resistencia mediante la comprensión de los riesgos de ciberseguridad: Parte 4: Análisis de las amenazas actuales (mayo de 2021)

  Consulte la sección Ransomware.

• Ataques de ransomware controlados por personas: Un desastre evitable (marzo de 2020)

  Incluye el análisis de la cadena de ataques de los ataques reales.

• Respuesta al ransomware: ¿pagar o no pagar? (diciembre de 2019)

• Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre de 2019)