Kaspersky publica una guía práctica sobre los principales grupos de ransomware

  • Seguridad

El equipo de Inteligencia Frente a Amenazas de Kaspersky ha realizado un análisis de las tácticas, técnicas y procedimientos (TTPs) más comunes utilizados por los 8 grupos de ransomware más activos, como Conti y Lockbit2.0, durante sus ataques. La investigación revela que los distintos grupos comparten más de la mitad de la conocida como ‘cyber kill chain’ y ejecutan las etapas centrales de los ataques de forma idéntica.

Recomendados: 

Tendencias Tecnológicas Digitales 2022 Informe

Principales predicciones de transformación digital  Leer

Varios: informes de tendencias tecnológicas para la empresa y sociedad digital Ver

El análisis se centra en la actividad de Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat. Estos grupos han actuado principalmente en Estados Unidos, Gran Bretaña y Alemania, y han atacado a más de 500 organizaciones de sectores enfocados en producción, desarrollo de software y pequeñas empresas entre marzo de 2021 y marzo de 2022.

El equipo de Inteligencia Frente a Amenazas de Kaspersky analizó cómo los grupos de ransomware emplearon las técnicas y tácticas descritas en MITRE ATT&CK y encontró muchas similitudes entre sus TTPs a lo largo de la ‘cyber kill chain’. Las formas de ataque resultaron ser bastante predecibles, con ransomware que siguen un patrón que incluye la red corporativa o el ordenador de la víctima, la entrega de malware, el descubrimiento posterior, el acceso a las credenciales, la eliminación de las copias de seguridad y, finalmente, la consecución de sus objetivos.

Los analistas también explican la similitud entre los ataques:

- La aparición de un fenómeno llamado "Ransomware-as-a-Service" (RaaS), en el que los grupos de ransomware no entregan el malware por sí mismos, sino que solo proporcionan los servicios de cifrado de datos. Quienes envían los archivos maliciosos se ahorran ‘trabajo’ utilizando métodos de entrega de plantillas o herramientas de automatización para acceder.

- La reutilización de herramientas antiguas y similares facilita la vida a los atacantes y reduce el tiempo de preparación de un ataque.

- La reutilización de TTPs comunes facilita el hackeo. Aunque es posible detectar estas técnicas, es mucho más difícil hacerlo de forma preventiva en todos los posibles vectores de amenaza.

- Lentitud en la instalación de actualizaciones y parches entre las víctimas.

- La sistematización de las diversas TTPs utilizadas por los atacantes ha llevado a la formación de un conjunto general de reglas SIGMA de acuerdo con MITRE ATT&CK que ayuda a prevenir dichos ataques.

"En los últimos años, el ransomware se ha convertido en una pesadilla para toda la industria de la ciberseguridad, con constantes desarrollos y mejoras por parte de los operadores de ransomware. A los especialistas en ciberseguridad les supone un reto y una gran inversión de tiempo estudiar cada grupo de ransomware y seguir las actividades y desarrollos de cada uno, en un intento de ganar la carrera entre atacantes y defensores. Hemos seguido la actividad de varios grupos de ransomware durante mucho tiempo, y este informe representa los resultados de un enorme trabajo de análisis. Su objetivo es servir de guía para los profesionales de la ciberseguridad que trabajan en todo tipo de organizaciones, facilitando su trabajo", comenta Nikita Nazarov, Team Lead del equipo de Inteligencia Frente a Amenazas de Kaspersky.

Este informe está dirigido a analistas de SOC, equipos de detección de amenazas, analistas de inteligencia de ciberamenazas, especialistas en forense digital y expertos en ciberseguridad que participan en el proceso de respuesta a incidentes y/o aquellos que quieren proteger de ataques de ransomware dirigidos el entorno del que son responsables.

Con el objetivo de que las empresas puedan protegerse de estos ataques de ransomware, desde Kaspersky recomiendan:

- No exponer los servicios de escritorio remoto (como RDP) a las redes públicas, a menos que sea absolutamente necesario, además de utilizar siempre contraseñas seguras para ellos.

- Instalar rápidamente los parches disponibles para las soluciones comerciales de VPN que proporcionan acceso a los empleados remotos y que actúan como puertas de enlace en la red.

- Mantener siempre actualizado el software en todos los dispositivos para evitar que el ransomware aproveche las vulnerabilidades Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet, así como prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.

- Hacer copias de seguridad de los datos con regularidad y asegurarse de poder acceder rápidamente a ellos en caso de emergencia. 

- Utilizar soluciones que ayuden a identificar y detener el ataque en las primeras fases, antes de que los ciberdelincuentes alcancen sus objetivos finales.

- Formar a los empleados para proteger el entorno corporativo. 

- Utilizar una solución de seguridad fiable para endpoints que cuente con prevención de exploits, detección de comportamientos y un motor de corrección capaz de revertir las acciones maliciosas y mecanismos de autodefensa que pueden impedir su eliminación por parte de los ciberdelincuentes.

- Utilizar la información más reciente sobre Inteligencia Frente a Amenazas para mantenerse al tanto de las TTPs reales utilizadas por los actores de amenazas.