Dr. Ryuk Parte II

Tiempo de lectura estimado: 7 minutos

Esta conferencia magistral pertenece al Módulo 7 “Gestión de incidentes. Buenas prácticas en cibercrisis: Especial referencia Ransomware” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar cómo se gestionó el ataque de un ransomware a un hospital. Si quieres ver la ponencia anterior de Carlos Morales Diego haz click aquí.

En los últimos años los ransomware han pasado de cifrar equipos individuales para grandes redes y empresas. Los sectores financiero y de salud están siempre en el punto de mira por el potencial para monetizar mediante la extorsión los datos que se exfiltran.

Cómo funcionan

Antiguamente los ataques ransomware eran muy ruidosos y se buscaba beneficio rápido. A día de hoy se busca conquistar la red para luego localizar los activos más críticos y después desplegar el ransomware para bloquear el acceso a la información. 

Somos conscientes de lo que sucede por la imposibilidad de acceder a la información y trabajar con los equipos afectados. Sus objetivos son la extorsión directa y la alteración de la información.

Medidas de prevención

• Hacer un seguimiento de políticas de seguridad a nivel de dominio deshabilitando macros y PowerShell.
• Establecer políticas a nivel de red para controlar las conexiones de forma granular.
• Concienciación de los usuarios 

Recomendaciones en la gestión inicial

• Actuar con prontitud y notificar de manera rápida al equipo que se encargará. Establecer un canal de comunicación urgentemente.
• Mantener una reunión con cada uno de los implicados.
• Comunicarlo a la dirección de la empresa.
• Crear un comité de crisis.
• Realizar una primera valoración del estado de la red, equipos y activos.
• Crear un diagrama de arquitectura.
• Tener claros los stakeholders.

Actuaciones

1. Contención
   -Tirar del cable o bloquear mediante firewall segmentando bien la red.
   -Ser rápidos.
   
   
2. Detección
   -Determinar equipos afectados y buscar posibles pivotes o movimientos laterales.
   -Hacer uso de herramientas como Loki o Thor.
   -Mandar muestras que se vayan encontrando al equipo de reversing.
   -Hacer uso de MSIP.
   
   
3. Mitigación de las amenaza
   -Rediseñar la red.
   -Actualizar equipos y políticas.
   -Actualizar contraseñas, resetear contraseñas de dominio y hacer limpieza de usuarios maliciosos (Mimikatz).
   
   
4. Recuperación de la información
   -Restaurar ficheros cifrados (copias de backup).
   -No tener las copias en la misma infraestructura.

Aprendizajes

• Invertir en la seguridad es primordial, ya que solo se invierte cuando se sufre un ataque.
• Dotar a la organización de medios como firewalls, SIEMS, EDRs…
• Concienciar, conciencia y concienciar.
• Destinar medios y personas que detecten con la mayor celeridad una posible intrusión.
• En empresas grandes el equipo de IR siempre tiene que tener la cabeza fría y no dejar nada de lado.
• Trabajar in situ.
• Coordinación entre equipos.
• Revisar las políticas de seguridad y maduración en el ámbito de la seguridad.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Carlos Morales Diego

Trabaja en Delivery Consultant y omo DFIR en Deloitte desde 2017 dentro del CIRA y el ECC-EMEA. Es docente en varios másters de ciberseguridad en España y es miembro del Equipo Core de la Red Española de Alastria.