Técnicas, tácticas y procedimientos del ransomware

Un análisis profundo de los cifradores de ransomware modernos permite implementar métodos universales para combatirlos.

Nuestros expertos en Kaspersky realizaron analizaron profundamente las tácticas, técnicas y procedimientos de los ocho grupos más comunes de ransomware: Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, pudieron concluir que varios grupos actúan bajo el mismo patrón. Esto posibilita la creación de medidas eficaces y universales que ayuden proteger la infraestructura de una empresa contra el ransomware.

Los detalles del estudio, que cuenta con un análisis a fonde sobre cada técnica y ejemplos de su uso en la vida real, pueden encontrarse en el informe Common TTPs of modern ransomware groups. También contiene reglas para detectar técnicas maliciosas en el formato SIGMA.

Este informe puede ayudar especialmente a los analistas de SOC, los expertos en la detección de amenazas y en la inteligencia de amenazas, y a los especialistas en investigación y resolución de incidentes y problemas. No obstante, nuestros investigadores también recopilaron las prácticas más eficaces para contrarrestar el ransomware. Pensamos que es de gran ayuda compartir un recordatorio nuestro blog sobre las principales recomendaciones prácticas para proteger una infraestructura empresarial ante cualquier intrusión.

Prevenir intrusiones

Detener un ataque de ransomware antes de que la amenaza esté cercana al “perímetro” corporativo es la opción idónea. Estas medidas ayudarán a disminuir el riesgo de intrusión:

Filtrar el tráfico entrante. Las políticas de filtrado deben ser implementadas en cualquier dispositivo que tenga frontera con el exterior: routers, firewalls, sistemas IDS. No olvidemos el filtrar lo correos de spam y phishing. Nuestro consejo es utilizar el sandbox para validar los archivos adjuntos en un correo electrónico.

Bloqueo de sitios web maliciosos. Restringir el acceso a sitios web conocidos por ser maliciosos. Por ejemplo, al implementar servidores proxy de interceptación. También pueden utilizarse fuentes de datos de inteligencia de amenazas para tener listas actualizadas de las ciberamenazas.

Inspección Profunda de Paquetes (DPI). Una solución de clase DPI a nivel de puerta de enlace te dejará comprobar el tráfico que busca malware.

Bloqueo de código malicioso. Utilizar firmas para bloquear el malware.

Protección RDP. Desactivar el RDP siempre que se pueda. Si existen razones por las que no puedas parar de utilizarlo, coloca los sistemas con un puerto RDP abierto (3389) detrás de un cortafuegos y permite el acceso a ellos solo mediante una VPN.

Autenticación multifactor. Utilizar la autenticación multifactor, contraseñas fuertes y políticas de bloqueo automático de cuentas en todos los puntos a los que se pueda acceder de forma remota.

Listas de conexiones permitidas. Aplicar el listado de IP permitidas mediante cortafuegos de hardware.

Corregir las vulnerabilidades conocidas. Instalar de manera oportuna parches para vulnerabilidades en sistemas con acceso remoto y dispositivos con conexión directa a Internet.

El informe también enlista prácticos consejos sobre la protección ante la explotación y los movimientos laterales, así como recomendaciones para contrarrestar las fugas de datos y cómo prepararte en caso de un incidente.

Protección adicional

También actualizamos nuestra solución EDR, con el objetivo de dotar a las empresas herramientas extras que les ayuden a eliminar la ruta de propagación de un ataque lo antes posible y a investigar incidentes. La nueva versión, recomendada para empresas con procesos de seguridad IT consolidados, se llama Kaspersky Endpoint Detection and Response Expert. Puede desplegarse en la nube o directamente en las oficinas. Obtén más información sobre el potencial de esta solución aquí.

 

 

Consejos