Defiéndete contra el ransomware: qué tendrías que hacer hoy

Febrero 9, 2022 - 14:00

Defiéndete contra el ransomware: qué tendrías que hacer hoy

Tiempo de lectura estimado: 15 minutos

Esta conferencia magistral pertenece al Módulo 7 “Gestión de incidentes. Buenas prácticas en cibercrisis: Especial referencia Ransomware” de C1b3rWall Academy 2021/2022. El objetivo de la misma es dar a conocer algunos consejos para defendernos contra ransomwares.

Fases de un ataque ransomware

Podemos establecer cuatro fases evolución de un ransomware:

Fase 1: cifrado de equipos individuales
Fase 2: cifrado de todos los equipos de una organización (Human Operated Ransomware)
Fase 3: eliminación de las copias de seguridad.
Fase 4: exfiltración de información y amenaza de venta o publicación

Cómo funciona un ataque de ransomware

Cada ciberataque, dependiendo de sus objetivos, tiene una diferente kill chain, se trata del conjunto de acciones que realizan los atacantes para conseguir sus objetivos.

Lo primero es el acceso al sistema (correo malicioso, dispositivos de red vulnerables, compra del acceso en la deep web). Una vez dentro, al desconocer esa red, se hace un reconocimiento del sistema (privilegios, controladores de dominio, copias de seguridad). Para moverse por la red y hacer cualquier cosa necesitan privilegios, por lo que ese es el siguiente paso. Por último, buscan hacerse con el equipo que tenga privilegios de administrador de dominio y someter la red.

Una vez se han conseguido las credenciales se conectan al controlador de dominio. Si son profesionales localizarán y exfiltrarán datos sensibles y localizarán y destruirán las copias de seguridad. Suelen desplegar una tarea que arrasa la seguridad de los equipos, y a continuación, lanzan el ransomware. Por último exigen un pago de rescate en criptomonedas difíciles de rastrear.

Si logramos detener a los atacantes en cualquier fase de la kill chain, pierden. Para ellos el ataque no es algo personal, simplemente tienen dinero. Nuestro objetivo es ponérselo tan difícil que no le salga rentable hacerlo.

Aunque existen varias familias de ransomware, todos los atacantes siguen la misma kill chain.

Medias básicas

Inventario

El inventario es muy importante ya que no podemos proteger lo que no sabemos que tenemos. Debemos conocer los puestos de trabajo, servidores, software, arquitectura de red, dispositivos perimetrales… Lo ideal es conocer el 100% del inventario, pero es mejor conocer el 80 que el 0, por lo que no hay que obsesionarse si en un principio no está perfecto. Mantener el inventario también cuesta esfuerzo, podemos utilizar una solución opensource como OCS Inventory.

Sistemas actualizados

Si los equipos están actualizados a la última versión posible los atacantes lo tienen muy difícil. Para ello, debe estar actualizado el sistema operativo, el software, el antivirus y los dispositivos perimetrales. Hay que hacer especial hincapié con todo lo que tengamos expuesto al exterior.

Control de la entrada y la salida

Es decir, un cortafuegos. En organizaciones pequeñas con uno es suficiente, pero las más grandes tienen dos; uno a nivel perimetral y otro a nivel interno. No debemos despreciar el tráfico saliente y controlar solamente el entrante. Los cortafuegos más modernos hacen muchas más cosas que bloquear IPs y puertos, como reconocer tráfico en capa 7 y bloquear automáticamente ciertas cosas.

Una recomendación es guardar los logs de al menos un mes ya que si hay un problema de seguridad debemos saber que ha sucedido. Otra regla es bloquear todo lo que no haga falta.

Doble factor de autenticación

A día de hoy es imperativa. Se trata de una autenticación adicional a la contraseña, que puede ser a través de una app móvil, un SMS, un correo o un hardware especial. Para accesos externos debería ser obligatorio y el atacante tiene que saltarse ambos para acceder. Algunos ejemplos son Authy, Google Authenticator, Yubikey…

Medidas adicionales

Controlar el correo

Sospechar de enlaces, vigilar correos con origen falsificado o desde orígenes parecidos y documentos con adjuntos maliciosos. El correo es la forma más fácil de entrar a un sistema y con que un solo usuario de nuestro sistema caiga, los atacantes ya están dentro.

Una de las medidas sencillas de implementar que aporta mucho es el SPF (sender privacy framework). Cada vez que el servidor de destino recibe un correo electrónico y comprueba la IP y el dominio desde la que le ha llegado el correo y las compara con las de la empresa origen (a través de una petición DNS a dicha empresa).

Hay herramientas muy útiles como son las listas negras/antispam o las que prohíben extensiones maliciosas. Explora las opciones de tu servicio de correo y conciencia a los usuarios de los riesgos. Un consejo pro es utilizar firmas digitales para autenticar los correos enviados.

Deshabilitar macros de Office

Las macros de Office son la vía de ataque más empleada por los atacantes. Podemos bloquear sin aviso las macros de Word, Excel o PowerPoint. Hay una opción que permite deshabilitarla solo para ficheros de Internet (Office 2016+). Si algún usuario necesita imperativamente esas macros se pueden habilitar las localizaciones confiables, unas carpetas dentro del equipo o la red, en las cuales, si se abre un documento de esas carpetas no se realiza ningún chequeo de seguridad.

Usuarios sin privilegios de administrador local

Una vez los atacantes están dentro necesitan privilegios de administrador local. Si necesitamos conceder permisos a un usuario lo haremos por el menor tiempo posible. Una solución es MakeMeAdmin. Es un servicio sencillo que permite obtener privilegios de administrador local solo temporalmente.

Medidas avanzadas

LAPS

Se lo ponemos muy fácil a los atacantes si la contraseña de administrador local es la misma en todos los equipos, ya que tienen el control de la red teniendo un solo equipo. Lo ideal es que sea diferente en cada equipo y que cambie cada poco tiempo. Esto puede realizarse con la herramienta de Microsoft LAPS.

Con esto conseguimos que cada cierto número de días se cambie por una contraseña aleatoria y cada equipo tiene la suya. Si la necesitamos podemos utilizar un cliente GUI o Powershell para recuperarla.

Un consejo pro es usar otra cuenta de admin local y crear una alerta si alguien “toca” la de por defecto.

Administrador de dominio

El objetivo de los atacantes es hacerse con las claves del administrador de dominio, generalmente obteniéndolas de la memoria de algún equipo desde el que hayan accedido. Podemos reducir la superficie de ataque separando las cuentas del usuario y el administrador, aunque sean la misma persona. Otra opción es bloquear a los usuarios administradores en equipos corrientes y que solo pueden entrar los usuarios sin privilegios. Y por otra parte, que en los servidores solo puedan entrar los administradores. Se puede configurar en las políticas de grupo.

Defensa de credenciales por capas

Creamos una estructura con tres capas:

Capa 0: administración de dominio (solo DC). Se puede complementar con un PAW (Privileged Access Workstations) para incrementar la seguridad.
Capa 1: administración de servidores (web, mail, DB…)
Capa 2: puestos de trabajo de los usuarios

Reconocimiento

Nosotros tenemos que saber cómo está montada nuestra red pero los atacantes cuando acceden no saben nada, y su objetivo es saberlo todo. Hay algunas herramientas que son comunes a casi todos los grupos de cibercriminales, como BloodHound, ACLight, nlest o AdFind.

No podemos evitar que los atacantes ejecuten estas herramientas, pero sí ejecutarlas nosotros antes para saber qué información van a tener. Así podremos eliminar posibles brechas de seguridad.

Copias de seguridad

Parece obvio, pero debemos tener copias de seguridad. Lo principal es protegerlas ya que los atacantes lo saben y van a ir a por ellas. Localiza tu información crítica y haz otra copia de seguridad de la misma.

También hay que verificar que esas copias de seguridad funcionan y se están actualizando correctamente. Podemos aplicar la regla 321, tres copias de seguridad, en al menos dos ubicaciones/formatos diferentes y una copia en la nube.

Además, hay que tener en cuenta el RTO (Recovery Time Objective) y el RPO (Recovery Point Objective), que nos dicen cuánto tiempo podemos estar sin un servicio y hasta cuándo podemos recuperar este servicio.

Como decíamos antes, el objetivo final es elevar tanto el coste temporal y económico del ataque, que al enemigo no le salga rentable hacerlo. Implementar todas estas medidas es un camino largo, así que hay que hacerlo con paciencia.

Esta masterclass se ha centrado en la parte de prevención, pero también están las otras dos patas importantes que son detección y reacción. Si contamos con un buen bastionado se lo pondremos más difícil y nos hará ganar tiempo muy valioso y es posible que hagan algo de ruido por el cual los detectemos antes de que consigan entrar.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.