Un reciente Aviso Conjunto de Ciberseguridad fue emitido por agencias clave en los Estados Unidos (CISA, FBI y la NSA), el Centro de Ciberseguridad de Australia (ACSC) y el Centro Nacional de Seguridad Cibernética del Reino Unido, que identifica las tendencias recientes en la sofisticación del ransomware. El aviso señaló que las tácticas y técnicas utilizadas por los actores de amenazas, y la sofisticación general que exhiben, continúan convirtiéndose en una amenaza cada vez mayor para las empresas y el gobierno a nivel mundial. La alerta se basó en 14 incidentes observados dirigidos a 16 sectores de infraestructura crítica dentro de los Estados Unidos.
El aviso observó comportamientos y tendencias de los actores de amenazas en 2021 para incluir:
- Obtener acceso a redes a través de phishing, credenciales de protocolos de escritorio remoto (RDP) robadas o fuerza bruta, y explotar vulnerabilidades. Los correos electrónicos de phishing, la explotación de RDP y la explotación de vulnerabilidades de software siguieron siendo los tres principales vectores de infección inicial para incidentes de ransomware en 2021. Una vez que un actor de amenazas de ransomware obtiene la ejecución del código en un dispositivo o acceso a la red, puede implementar el ransomware. Infoblox ha cubierto las brechas RDP durante nuestros informes de amenazas trimestrales.
- Uso de servicios de ciberdelincuentes por contrato. El mercado del ransomware se volvió cada vez más «profesional» en 2021, y el modelo comercial criminal del ransomware ahora está bien establecido. Además de su mayor uso de ransomware-as-a-service (RaaS), los actores de amenazas de ransomware emplearon servicios independientes para negociar pagos, ayudar a las víctimas a realizar pagos y arbitrar disputas de pago entre ellos y otros ciberdelincuentes.
- Compartir información de la víctima. Los grupos de ransomware euroasiáticos han compartido información de víctimas entre sí, diversificando la amenaza a las organizaciones objetivo. Por ejemplo, después de anunciar su cierre, el grupo de ransomware BlackMatter transfirió a sus víctimas existentes a la infraestructura propiedad de otro grupo, conocida como Lockbit 2.0.
- Alejarse de organizaciones percibidas como de alto valor y moverse hacia víctimas medianas. En la primera mitad de 2021, las autoridades de seguridad cibernética en los Estados Unidos y Australia observaron a los actores de amenazas de ransomware apuntando a organizaciones percibidas de alto valor y/o aquellas que brindan servicios críticos en varios incidentes de alto perfil. Esto cambió dentro de los Estados Unidos a fines de 2021 después de la ruptura de varias redes importantes de ransomware. Los actores de amenazas que apuntaban a empresas dentro de los Estados Unidos parecían mover su energía más hacia las empresas medianas. El ACSC observó que el ransomware continúa apuntando a organizaciones australianas de todos los tamaños, incluidos los servicios críticos y el «gran juego», a lo largo de 2021. De manera similar, el NCSC-UK observó el ataque a organizaciones del Reino Unido de todos los tamaños durante todo el año, con algunas víctimas del «gran juego». En general, las víctimas incluyeron empresas, organizaciones benéficas, la profesión legal y los servicios públicos en los sectores de educación, gobierno local y salud.
- Diversificar los enfoques para extorsionar dinero. Después de cifrar las redes de las víctimas, los actores de amenazas de ransomware utilizaron cada vez más la «triple extorsión» al amenazar con (1) divulgar públicamente información confidencial robada, (2) interrumpir el acceso a Internet de la víctima y/o (3) informar a los socios, accionistas o proveedores de la víctima sobre el incidente.
Además, el aviso señala que los grupos criminales de ransomware han aumentado su impacto por medio de:
- Orientarse a la nube. Los desarrolladores de ransomware se dirigieron a las infraestructuras de la nube para explotar las vulnerabilidades conocidas en las aplicaciones de la nube, el software de máquinas virtuales y el software de orquestación de máquinas virtuales. Los actores de amenazas de ransomware también se dirigieron a las cuentas en la nube, las interfaces de programación de aplicaciones (API) en la nube y los sistemas de respaldo y almacenamiento de datos para negar el acceso a los recursos de la nube y cifrar los datos.
- Orientarse a proveedores de servicios gestionados. Los actores de amenazas de ransomware se han dirigido a los proveedores de servicios administrados (MSP). Los MSP tienen acceso generalizado y confiable a múltiples organizaciones de clientes. Al comprometer un MSP, un actor de amenazas de ransomware podría acceder a múltiples víctimas a través de un compromiso inicial. Las autoridades de seguridad cibernética en los Estados Unidos, Australia y el Reino Unido evalúan que habrá un aumento en los incidentes de ransomware donde los actores de amenazas se dirigen a los MSP para llegar a sus clientes.
- Atacar procesos industriales. Aunque la mayoría de los incidentes de ransomware contra la infraestructura crítica afectan los sistemas de tecnología e información comercial, el FBI observó que varios grupos de ransomware han desarrollado un código diseñado para detener la infraestructura crítica o los procesos industriales.
- Atacar la cadena de suministro de software. A nivel mundial, en 2021, los actores de amenazas de ransomware se dirigieron a las entidades de la cadena de suministro de software para posteriormente comprometer y extorsionar a sus clientes. Dirigirse a las cadenas de suministro de software permite a los actores de amenazas de ransomware aumentar la escala de sus ataques al acceder a múltiples víctimas a través de un solo indicador de compromiso.
- Dirigirse a organizaciones en días festivos y fines de semana. El FBI y CISA observaron que los ciberdelincuentes realizaron ataques cada vez más impactantes contra entidades de EE. UU. en días festivos y fines de semana a lo largo de 2021. Los actores de amenazas de ransomware pueden considerar los días festivos y los fines de semana, cuando las oficinas normalmente están cerradas, como períodos de tiempo atractivos, ya que hay menos defensores de la red y personal de soporte de TI en organizaciones de víctimas. Para obtener más información, consulte el Aviso de seguridad cibernética conjunto FBI-CISA, Concientización sobre ransomware para días festivos y fines de semana.
El aviso cubre las mitigaciones recomendadas que pueden reducir la probabilidad de un ataque exitoso y el impacto de cualquier incidente de ransomware. Estos incluyen mantener los sistemas operativos y el software actualizados con actualizaciones y parches oportunos. También se mencionan precauciones sobre el uso de RDP. Incluso hoy en día, muchas organizaciones tienen servidores RDP en sus redes, quizás nunca utilizados, ¡con contraseñas predeterminadas! También se pone énfasis en la capacitación de los usuarios para crear conciencia entre los usuarios acerca de visitar sitios web potencialmente maliciosos, hacer clic en enlaces sospechosos y abrir archivos adjuntos sospechosos. Finalmente, las técnicas defensivas bien conocidas, como la implementación de la segmentación de la red, el cifrado de extremo a extremo y muchas más, se tratan ampliamente en el aviso.
El DNS es una parte fundamental de la defensa
El DNS casi siempre se encuentra en la cadena de eliminación de la mayoría de los ataques cibernéticos, incluido el ransomware, y se puede usar como un canal de C&C, y para la descarga de malware y/o la filtración de datos. Sus nubes, recursos en las instalaciones, entornos de TI/OT y trabajadores remotos/roaming necesitan seguridad de DNS como una forma de monitorear y protegerse contra ataques cibernéticos.
En algunos casos, los atacantes pueden usar dominios maliciosos y direcciones IP que ya podrían tener una reputación y pueden identificarse mediante el uso de inteligencia de amenazas en su infraestructura de DNS. Además, el comportamiento y el contexto de las consultas de DNS pueden proporcionar los indicadores esenciales que necesita para identificar y detener un ataque de día cero y amenazas más avanzadas.
Es importante recordar que las tecnologías y los controles de seguridad estándar, como los firewalls, IPS y puertas de enlace de próxima generación, no supervisan el DNS para detectar comunicaciones maliciosas. Estos controles de seguridad, si bien son muy importantes, a menudo no pueden detener ataques específicos como la exfiltración de datos DNS. Peor aún, no pueden detectar las amenazas sutiles de dominios recién registrados y observados que podrían usarse para lanzar ataques. La seguridad del DNS brinda visibilidad y protección contra tales amenazas, lo que es especialmente importante en el entorno incierto de hoy en día, donde hay un aumento en los ataques cibernéticos asociados con los estados nacionales.
La seguridad de DNS está diseñada para evitar la conexión de los usuarios a destinos maliciosos y detectar comportamientos anómalos en las redes, actividad de amenazas persistentes avanzadas, comunicaciones de botnet, tunelización de DNS y exfiltración de datos.
La solución de seguridad DNS de Infoblox, BloxOne Threat Defense, combina análisis avanzados basados en aprendizaje automático, inteligencia de amenazas agregada y altamente precisa y automatización para detectar y prevenir una amplia gama de amenazas, que incluyen ransomware, phishing, exfiltración de datos, familias DGA, dominios similares. uso, y muchos otros. La integración con sistemas de Automatización y Remediación de Orquestación de Seguridad (SOAR), soluciones de ITSM, escáneres de vulnerabilidades y otros ecosistemas de seguridad para la remediación automatizada es una capacidad importante de la seguridad del DNS.
Los registros de DNS también contienen una gran cantidad de información para una respuesta a incidentes más eficiente. Los registros de DNS son una forma muy eficaz de ver a qué recursos ha estado accediendo un cliente históricamente. La huella dactilar de DHCP y los metadatos de IPAM brindan información contextual sobre los dispositivos comprometidos, como el tipo de dispositivo, la información del sistema operativo, la ubicación de la red y las asignaciones de direcciones IP actuales e históricas. Toda esta información ayuda con la correlación de eventos y la determinación del alcance de una infracción en curso, mientras vincula las solicitudes de DNS a un dispositivo y usuario.
A la luz de las fuentes probables de estos ataques, es importante tener en cuenta que BloxOne Threat Defense también aborda las EECN de las direcciones. Está basado en políticas que contiene direcciones IP de países de Europa del Este y China que a menudo se citan como fuentes de ciberataques que buscan propiedad intelectual u otros datos confidenciales o clasificados, así como el robo de tarjetas de crédito o información financiera. Es natural esperar su presencia en medio del bombardeo continuo de actividad de ransomware.
No olvidemos que la seguridad de DNS es un control de seguridad convencional. Un informe de Gartner recomienda que las organizaciones aprovechen los registros de DNS para la detección de amenazas y fines forenses con sus plataformas de gestión de eventos e información de seguridad.
Para obtener más información sobre cómo puede ayudar Infoblox, comuníquese con nosotros: https://info.infoblox.com/contact-form/.
