Dr. Ryuk Parte II

Dr. Ryuk Parte II

Tiempo de lectura estimado: 7 minutos


Esta conferencia magistral pertenece al Módulo 7 “Gestión de incidentes. Buenas prácticas en cibercrisis: Especial referencia Ransomware” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar cómo se gestionó el ataque de un ransomware a un hospital. Si quieres ver la ponencia anterior de Carlos Morales Diego haz click aquí.

En los últimos años los ransomware han pasado de cifrar equipos individuales para grandes redes y empresas. Los sectores financiero y de salud están siempre en el punto de mira por el potencial para monetizar mediante la extorsión los datos que se exfiltran.

Cómo funcionan

Antiguamente los ataques ransomware eran muy ruidosos y se buscaba beneficio rápido. A día de hoy se busca conquistar la red para luego localizar los activos más críticos y después desplegar el ransomware para bloquear el acceso a la información. 

Somos conscientes de lo que sucede por la imposibilidad de acceder a la información y trabajar con los equipos afectados. Sus objetivos son la extorsión directa y la alteración de la información.

Medidas de prevención

  • Hacer un seguimiento de políticas de seguridad a nivel de dominio deshabilitando macros y PowerShell.
  • Establecer políticas a nivel de red para controlar las conexiones de forma granular.
  • Concienciación de los usuarios 

Recomendaciones en la gestión inicial

  • Actuar con prontitud y notificar de manera rápida al equipo que se encargará. Establecer un canal de comunicación urgentemente.
  • Mantener una reunión con cada uno de los implicados.
  • Comunicarlo a la dirección de la empresa.
  • Crear un comité de crisis.
  • Realizar una primera valoración del estado de la red, equipos y activos.
  • Crear un diagrama de arquitectura.
  • Tener claros los stakeholders.

Actuaciones

  1. Contención
    -Tirar del cable o bloquear mediante firewall segmentando bien la red.
    -Ser rápidos.

  2. Detección
    -Determinar equipos afectados y buscar posibles pivotes o movimientos laterales.
    -Hacer uso de herramientas como Loki o Thor.
    -Mandar muestras que se vayan encontrando al equipo de reversing.
    -Hacer uso de MSIP.

  3. Mitigación de las amenaza
    -Rediseñar la red.
    -Actualizar equipos y políticas.
    -Actualizar contraseñas, resetear contraseñas de dominio y hacer limpieza de usuarios maliciosos (Mimikatz).

  4. Recuperación de la información
    -Restaurar ficheros cifrados (copias de backup).
    -No tener las copias en la misma infraestructura.

Aprendizajes

  • Invertir en la seguridad es primordial, ya que solo se invierte cuando se sufre un ataque.
  • Dotar a la organización de medios como firewalls, SIEMS, EDRs…
  • Concienciar, conciencia y concienciar.
  • Destinar medios y personas que detecten con la mayor celeridad una posible intrusión.
  • En empresas grandes el equipo de IR siempre tiene que tener la cabeza fría y no dejar nada de lado.
  • Trabajar in situ.
  • Coordinación entre equipos.
  • Revisar las políticas de seguridad y maduración en el ámbito de la seguridad.


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Carlos Morales Diego

Trabaja en Delivery Consultant y omo DFIR en Deloitte desde 2017 dentro del CIRA y el ECC-EMEA. Es docente en varios másters de ciberseguridad en España y es miembro del Equipo Core de la Red Española de Alastria.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/