Dr. Ryuk Parte II
Tiempo de lectura estimado: 7 minutos
Esta conferencia magistral pertenece al Módulo 7 “Gestión de incidentes. Buenas prácticas en cibercrisis: Especial referencia Ransomware” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar cómo se gestionó el ataque de un ransomware a un hospital. Si quieres ver la ponencia anterior de Carlos Morales Diego haz click aquí.
En los últimos años los ransomware han pasado de cifrar equipos individuales para grandes redes y empresas. Los sectores financiero y de salud están siempre en el punto de mira por el potencial para monetizar mediante la extorsión los datos que se exfiltran.
Cómo funcionan
Antiguamente los ataques ransomware eran muy ruidosos y se buscaba beneficio rápido. A día de hoy se busca conquistar la red para luego localizar los activos más críticos y después desplegar el ransomware para bloquear el acceso a la información.
Somos conscientes de lo que sucede por la imposibilidad de acceder a la información y trabajar con los equipos afectados. Sus objetivos son la extorsión directa y la alteración de la información.
Medidas de prevención
- Hacer un seguimiento de políticas de seguridad a nivel de dominio deshabilitando macros y PowerShell.
- Establecer políticas a nivel de red para controlar las conexiones de forma granular.
- Concienciación de los usuarios
Recomendaciones en la gestión inicial
- Actuar con prontitud y notificar de manera rápida al equipo que se encargará. Establecer un canal de comunicación urgentemente.
- Mantener una reunión con cada uno de los implicados.
- Comunicarlo a la dirección de la empresa.
- Crear un comité de crisis.
- Realizar una primera valoración del estado de la red, equipos y activos.
- Crear un diagrama de arquitectura.
- Tener claros los stakeholders.
Actuaciones
- Contención
-Tirar del cable o bloquear mediante firewall segmentando bien la red.
-Ser rápidos. - Detección
-Determinar equipos afectados y buscar posibles pivotes o movimientos laterales.
-Hacer uso de herramientas como Loki o Thor.
-Mandar muestras que se vayan encontrando al equipo de reversing.
-Hacer uso de MSIP. - Mitigación de las amenaza
-Rediseñar la red.
-Actualizar equipos y políticas.
-Actualizar contraseñas, resetear contraseñas de dominio y hacer limpieza de usuarios maliciosos (Mimikatz). - Recuperación de la información
-Restaurar ficheros cifrados (copias de backup).
-No tener las copias en la misma infraestructura.
Aprendizajes
- Invertir en la seguridad es primordial, ya que solo se invierte cuando se sufre un ataque.
- Dotar a la organización de medios como firewalls, SIEMS, EDRs…
- Concienciar, conciencia y concienciar.
- Destinar medios y personas que detecten con la mayor celeridad una posible intrusión.
- En empresas grandes el equipo de IR siempre tiene que tener la cabeza fría y no dejar nada de lado.
- Trabajar in situ.
- Coordinación entre equipos.
- Revisar las políticas de seguridad y maduración en el ámbito de la seguridad.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Carlos Morales Diego
Trabaja en Delivery Consultant y omo DFIR en Deloitte desde 2017 dentro del CIRA y el ECC-EMEA. Es docente en varios másters de ciberseguridad en España y es miembro del Equipo Core de la Red Española de Alastria.
¿Cuál es tu reacción?