Infoblox: Las amenazas de Ransomware evolucionaron en 2021

Un reciente Aviso Conjunto de Ciberseguridad fue emitido por agencias clave en los Estados Unidos (CISA, FBI y la NSA), el Centro de Ciberseguridad de Australia (ACSC) y el Centro Nacional de Seguridad Cibernética del Reino Unido, que identifica las tendencias recientes en la sofisticación del ransomware. El aviso señaló que las tácticas y técnicas utilizadas por los actores de amenazas, y la sofisticación general que exhiben, continúan convirtiéndose en una amenaza cada vez mayor para las empresas y el gobierno a nivel mundial. La alerta se basó en 14 incidentes observados dirigidos a 16 sectores de infraestructura crítica dentro de los Estados Unidos.

El aviso observó comportamientos y tendencias de los actores de amenazas en 2021 para incluir: 

 Además, el aviso señala que los grupos criminales de ransomware han aumentado su impacto por medio de: 

El aviso cubre las mitigaciones recomendadas que pueden reducir la probabilidad de un ataque exitoso y el impacto de cualquier incidente de ransomware. Estos incluyen mantener los sistemas operativos y el software actualizados con actualizaciones y parches oportunos. También se mencionan precauciones sobre el uso de RDP. Incluso hoy en día, muchas organizaciones tienen servidores RDP en sus redes, quizás nunca utilizados, ¡con contraseñas predeterminadas! También se pone énfasis en la capacitación de los usuarios para crear conciencia entre los usuarios acerca de visitar sitios web potencialmente maliciosos, hacer clic en enlaces sospechosos y abrir archivos adjuntos sospechosos. Finalmente, las técnicas defensivas bien conocidas, como la implementación de la segmentación de la red, el cifrado de extremo a extremo y muchas más, se tratan ampliamente en el aviso.

El DNS es una parte fundamental de la defensa

El DNS casi siempre se encuentra en la cadena de eliminación de la mayoría de los ataques cibernéticos, incluido el ransomware, y se puede usar como un canal de C&C, y para la descarga de malware y/o la filtración de datos. Sus nubes, recursos en las instalaciones, entornos de TI/OT y trabajadores remotos/roaming necesitan seguridad de DNS como una forma de monitorear y protegerse contra ataques cibernéticos.

En algunos casos, los atacantes pueden usar dominios maliciosos y direcciones IP que ya podrían tener una reputación y pueden identificarse mediante el uso de inteligencia de amenazas en su infraestructura de DNS. Además, el comportamiento y el contexto de las consultas de DNS pueden proporcionar los indicadores esenciales que necesita para identificar y detener un ataque de día cero y amenazas más avanzadas.

Es importante recordar que las tecnologías y los controles de seguridad estándar, como los firewalls, IPS y puertas de enlace de próxima generación, no supervisan el DNS para detectar comunicaciones maliciosas. Estos controles de seguridad, si bien son muy importantes, a menudo no pueden detener ataques específicos como la exfiltración de datos DNS. Peor aún, no pueden detectar las amenazas sutiles de dominios recién registrados y observados que podrían usarse para lanzar ataques. La seguridad del DNS brinda visibilidad y protección contra tales amenazas, lo que es especialmente importante en el entorno incierto de hoy en día, donde hay un aumento en los ataques cibernéticos asociados con los estados nacionales.

La seguridad de DNS está diseñada para evitar la conexión de los usuarios a destinos maliciosos y detectar comportamientos anómalos en las redes, actividad de amenazas persistentes avanzadas, comunicaciones de botnet, tunelización de DNS y exfiltración de datos.

La solución de seguridad DNS de InfobloxBloxOne Threat Defense, combina análisis avanzados basados en aprendizaje automático, inteligencia de amenazas agregada y altamente precisa y automatización para detectar y prevenir una amplia gama de amenazas, que incluyen ransomware, phishing, exfiltración de datos, familias DGA, dominios similares. uso, y muchos otros. La integración con sistemas de Automatización y Remediación de Orquestación de Seguridad (SOAR), soluciones de ITSM, escáneres de vulnerabilidades y otros ecosistemas de seguridad para la remediación automatizada es una capacidad importante de la seguridad del DNS.

Los registros de DNS también contienen una gran cantidad de información para una respuesta a incidentes más eficiente. Los registros de DNS son una forma muy eficaz de ver a qué recursos ha estado accediendo un cliente históricamente. La huella dactilar de DHCP y los metadatos de IPAM brindan información contextual sobre los dispositivos comprometidos, como el tipo de dispositivo, la información del sistema operativo, la ubicación de la red y las asignaciones de direcciones IP actuales e históricas. Toda esta información ayuda con la correlación de eventos y la determinación del alcance de una infracción en curso, mientras vincula las solicitudes de DNS a un dispositivo y usuario.

A la luz de las fuentes probables de estos ataques, es importante tener en cuenta que BloxOne Threat Defense también aborda las EECN de las direcciones. Está basado en políticas que contiene direcciones IP de países de Europa del Este y China que a menudo se citan como fuentes de ciberataques que buscan propiedad intelectual u otros datos confidenciales o clasificados, así como el robo de tarjetas de crédito o información financiera. Es natural esperar su presencia en medio del bombardeo continuo de actividad de ransomware.

No olvidemos que la seguridad de DNS es un control de seguridad convencional. Un informe de Gartner recomienda que las organizaciones aprovechen los registros de DNS para la detección de amenazas y fines forenses con sus plataformas de gestión de eventos e información de seguridad.

Para obtener más información sobre cómo puede ayudar Infoblox, comuníquese con nosotros: https://info.infoblox.com/contact-form/

Salir de la versión móvil