Gestión de Cibercrisis Ransomware
Tiempo de lectura estimado: 18 minutos
Esta conferencia magistral pertenece al Módulo 7 “Gestión de incidentes. Buenas prácticas en cibercrisis: Especial referencia Ransomware” de C1b3rWall Academy 2021/2022. El objetivo de la misma es comprender cómo gestionar los ataques de ransomware y cómo prevenirlos.
Cibercrisis: APT vs Cibercrimen
Una cibercrisis se produce en el momento en que un organismo/empresa tiene conocimiento de un incidente de seguridad de peligrosidad crítica. Una peligrosidad crítica se diferencia de una alta o muy alta porque damos por comprometida la confidencialidad, integridad y disponibilidad de toda nuestra información.
Los dos actores que generan estos conflictos son los grupos APT y los cibercriminales. Sus objetivos son, principalmente, el robo de información y la disrupción de servicios esenciales. Los vectores de entrada son similares en ambos casos:
- Credenciales débiles, sistemas expuestos y malas políticas.
- Explotación de vulnerabilidades.
- Supply Chain Attacks (ataque a la cadena de suministro).
El objetivo principal del cibercrimen es económico, mientras que los de las APT son obtener ventajas geopolíticas e industriales y afectar a infraestructuras críticas nacionales (aunque a veces también es económico, Corea del Norte ante la falta de liquidez).
En cuanto a sus procedimientos, las APT (atribuídas a Estados) atacan de manera muy dirigida a sus víctimas (spearfishing, watering-hole) y usan técnicas muy avanzadas en ocasiones desconocidas (empleo de 0-days, persistencia y sigilo). En el mundo del cibercrimen (individuales o grupos organizados), son ataques más oportunistas y masivos (phising, vulnerabilidades) empleando herramientas comerciales y avanzadas.
Contexto sobre grupos de cibercrimen
Algunos ejemplos de incidentes con ransomware del 2021 fueron el de JBS (proveedor de carne), Colonial Pipeline, CNA, AXA o Kaseya. España se encuentra en el octavo puesto a nivel mundial de ataques de ransomware (49) aunque muy lejos de EEUU (1394). Una de cada dos organizaciones en España fue víctima de ransomware en 2020, algunos ejemplos son el Ayuntamiento de Castellón, la Diputación de Segovia, el SEPE, el Ministerio de Economía e Industria o el de Trabajo y Economía Social.
En cuanto a los sectores más vulnerables, no se puede trazar un patrón. Simplemente son más vulnerables los que tienen más exposición a Internet o servicios de acceso remoto (en auge con el teletrabajo).
Conti se lleva la palma en cuanto a número de infecciones a organizaciones. En la DarkNet se genera todo el mercado de compra-venta de claves de cifrado, datos y ransomware. Existen tres perfiles:
- Usuario que vende/subasta una gran cantidad de credenciales que ha obtenido.
- Usuario que desarrolla el código dañino y lo vende a cambio de un porcentaje del botín (Affiliate Program).
- Usuario que pone en común las credenciales vendidas y el código dañino y hace la intrusión en la red.
Funcionan como una mafia y están muy bien organizados, y si la víctima paga se reparten los beneficios.
Ransomware en números
La tendencia de ataques sigue al alza y cada vez se pide más dinero por los rescates. Durante el año 2020, el beneficio neto aproximado de todos los grupos de cibercriminales fue de 370 millones de dólares, aunque hay muchas empresas que son atacadas y pagan pero nunca lo dicen, por lo que la cifra podría ser muy superior.
Además, el 80% de las víctimas que han pagado han sido atacadas de nuevo. En el caso de una pequeña empresa la demanda económica suele rondar los 10.000 dólares. En el caso de las grandes empresas no baja de los 178.000 de media. Se estima que en 2021 el coste fue de 20.000 millones de dólares, contando no solo el dinero del rescate, sino las pérdidas por tener el negocio parado.
Gestión de incidentes de ransomware
¿Cómo entran en nuestras redes?
Generalmente, hay cuatro métodos por los que suelen acceder:
- Credenciales débiles en sistemas de acceso remoto( (VPN/CITRIX…)
- Compra de credenciales legítimas en el mercado negro
- Explotación de vulnerabilidades en perímetro
- Ataques de phishing
El teletrabajo ha aumentado nuestra superficie de exposición en escritorios remotos (casi 23.000 expuestos en España), VDI (165 expuestos) y proveedores de VPN (casi 15.000).
El cibercrimen no entiende de fronteras, además, se basa en el oportunismo y goza de cierta impunidad. Los usuarios caemos en algunos errores que facilitan los ataques cómo registrarse en webs con su correo profesional, reutilizar contraseñas y no utilizar segundo factor de autenticación en accesos corporativos. Todo esto facilita muchísimo que suframos una tarde antes o después.
Los vectores de infección siguen siendo los mismos de siempre: ingeniería social y leaks, pero también explotación de vulnerabilidades críticas y en la cadena de suministro. Una vez en la red siguen utilizando los mismos frameworks de explotación para moverse lateralmente en la red, y para colonizar la red siguen con las mismas herramientas para llegar al controlador de dominio o extraer contraseñas.
Creemos que estamos a salvo de un ransomware si tenemos un backup pero esto no es así. El atacante suele acceder al gestor de este y bien eliminarlo o cifrarlo también. Solo estará seguro 100% offline.
Las consecuencias de un incidente de ransomware se pueden agrupar en tres:
- Detención de los servicios de la organización y empleados parados
- Exposición pública en medios presión social y política
- Robo de información
El tiempo que tardemos en recuperarnos dependerá del tamaño de nuestra organización, del alcance de la infección y de los recursos humanos y técnicos disponibles. En los casos más leves pueden ser unas dos semanas de recuperación, en los más graves, cuatro.
¿Cómo actúa el CNN-CERT durante la respuesta a un incidente?
- Contener la infección
- Evaluar el alcance total del incidente
- Iniciar plan de recuperación
- Detectar y caracterizar el código dañino y herramientas usadas
- Prevenir futuras infecciones
Las tres acciones que hay que llevar a cabo a la mayor brevedad posible son:
- Desconexión de internet, ya que el atacante pierde la posibilidad de seguir operando en remoto.
- Apagar los servidores principales y unidades de almacenamiento (tipo NAS). Se evita que el código dañino continúe cifrando en caso de que siga en ejecución.
- Quitar el cable de red de los equipos y servidores y bloquear todas las comunicaciones internas.
Tras contener la infección hay que informar a la empresa o al equipo de seguridad, y si aplica por normativa legal, contactar con el CERT de referencia. Contactar por FCSE para interponer denuncia.
Con el equipo de seguridad debemos recopilar toda la información de contexto que sea posible y tratar de aclarar qué ha pasado, cuándo, qué acciones de contención han sido llevadas a cabo (fecha y hora) y si se conoce la extensión de los ficheros y la nota de rescate.
Debemos recopilar todos los detalles técnicos que sean posibles para preparar la información para el organismo afectado: dimensión del parque, diagrama de red, lista de direccionamiento de los servicios expuestos en Internet, si tenemos backups y si se han visto afectados, elementos de seguridad desplegados, logs…
Tras ello se realizará una primera reunión entre la dirección del organismo, el Departamento de Seguridad, CERT, responsable de sistemas, comunicaciones y negocio. Esta reunión pretende establecer puntos de contacto para cada uno de los responsables, intercambiar la información recopilada hasta el momento y coordinar las líneas de actuación y responsabilidades.
La experiencia ha demostrado que hay que mantener al menos una reunión diaria para informar de los progresos, las dificultades y la toma de decisiones estratégicas. Hay que plantear los temas importantes, la reunión no puede durar horas. Debe haber rotación en el personal, ya que se produce mucho estrés que deriva en improductividad.
Establecemos cuatro líneas de actuación generales que pueden ir en paralelo, no hace falta centrarse solo en una. Por un lado, debemos recuperar redes y comunicaciones de la víctima, también los sistemas y servicios de cliente, y por último debemos recuperar la información y los datos. En paralelo se establece una investigación para saber qué ha pasado y tomar medidas.
Las líneas de actuación deben darse siguiendo unos pasos. Cada departamento tendrá unas labores:
En resumen, mostramos los objetivos de cada una de las líneas de actuación (en rojo los prioritarios):
Tras el incidente es aconsejable realizar una auditoría de los sistemas y servicios esenciales, y establecer medidas de prevención y detección en todo el parque. Sería conveniente disponer de un plan de actuación para incidentes futuros, el CCN-CERT dispone de manuales de buenas prácticas en su web, puedes encontrar algunas aquí.
Por último, como prevención, debe primar la concienciación de los usuarios, y sus cuentas deben tener los mínimos privilegios. Más en profundidad, debemos contar con buenos antivirus, EDRs, seguridad perimetral, segmentación de red…
Además, no reutilizar contraseñas, añadir multifactor de autenticación y limitar la exposición desde Internet. Debemos ser conscientes de qué tenemos expuesto en Internet, nuestras tecnologías empleadas, versiones de software… Y seguir la regla del backup 3-2-1 (3 copias de los datos en 2 formatos diferentes y 1 offline).
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Sergio
Trabaja en el CCN-CERT desde hace más de 10 años. Se dedica a la gestión de incidentes de seguridad complejos (APT) y a la gestión de ciber-crisis: ataques de ransomware AAPP. También es jefe del proyecto REYES (plataforma de ciberinteligencia del CNN-CERT).
¿Cuál es tu reacción?