{"id":24982,"date":"2022-07-04T14:20:47","date_gmt":"2022-07-04T20:20:47","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24982"},"modified":"2022-07-04T14:20:47","modified_gmt":"2022-07-04T20:20:47","slug":"ransomware-ttp-report","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ransomware-ttp-report\/24982\/","title":{"rendered":"T\u00e9cnicas, t\u00e1cticas y procedimientos del ransomware"},"content":{"rendered":"<p>Nuestros expertos en Kaspersky realizaron analizaron profundamente las t\u00e1cticas, t\u00e9cnicas y procedimientos de los ocho grupos m\u00e1s comunes de <em>ransomware<\/em>: Conti\/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, pudieron concluir que varios grupos act\u00faan bajo el mismo patr\u00f3n. Esto posibilita la creaci\u00f3n de medidas eficaces y universales que ayuden proteger la infraestructura de una empresa contra el <em>ransomware<\/em>.<\/p>\n<p>Los detalles del estudio, que cuenta con un an\u00e1lisis a fonde sobre cada t\u00e9cnica y ejemplos de su uso en la vida real, pueden encontrarse en el informe <a href=\"https:\/\/media.kasperskycontenthub.com\/wp-content\/uploads\/sites\/43\/2022\/06\/23093553\/Common-TTPs-of-the-modern-ransomware_low-res.pdf\">Common TTPs of modern ransomware groups<\/a>. Tambi\u00e9n contiene reglas para detectar t\u00e9cnicas maliciosas en el formato SIGMA.<\/p>\n<p>Este informe puede ayudar especialmente a los analistas de SOC, los expertos en la detecci\u00f3n de amenazas y en la inteligencia de amenazas, y a los especialistas en investigaci\u00f3n y resoluci\u00f3n de incidentes y problemas. No obstante, nuestros investigadores tambi\u00e9n recopilaron las pr\u00e1cticas m\u00e1s eficaces para contrarrestar el <em>ransomware<\/em>. Pensamos que es de gran ayuda compartir un recordatorio nuestro blog sobre las principales recomendaciones pr\u00e1cticas para proteger una infraestructura empresarial ante cualquier intrusi\u00f3n.<\/p>\n<h2><strong>Prevenir intrusiones<\/strong><\/h2>\n<p>Detener un ataque de <em>ransomware<\/em> antes de que la amenaza est\u00e9 cercana al \u201cper\u00edmetro\u201d corporativo es la opci\u00f3n id\u00f3nea. Estas medidas ayudar\u00e1n a disminuir el riesgo de intrusi\u00f3n:<\/p>\n<p><strong>Filtrar el tr\u00e1fico entrante<\/strong>. Las pol\u00edticas de filtrado deben ser implementadas en cualquier dispositivo que tenga frontera con el exterior: <em>routers, firewalls,<\/em> sistemas IDS. No olvidemos el filtrar lo correos de <em>spam<\/em> y <em>phishing<\/em>. Nuestro consejo es utilizar el sandbox para validar los archivos adjuntos en un correo electr\u00f3nico.<\/p>\n<p><strong>Bloqueo de sitios web maliciosos<\/strong>. Restringir el acceso a sitios web conocidos por ser maliciosos. Por ejemplo, al implementar servidores proxy de interceptaci\u00f3n. Tambi\u00e9n pueden utilizarse fuentes de datos de inteligencia de amenazas para tener listas actualizadas de las ciberamenazas.<\/p>\n<p><strong>Inspecci\u00f3n Profunda de Paquetes (DPI)<\/strong>. Una soluci\u00f3n de clase DPI a nivel de puerta de enlace te dejar\u00e1 comprobar el tr\u00e1fico que busca <em>malware<\/em>.<\/p>\n<p><strong>Bloqueo de c\u00f3digo malicioso<\/strong>. Utilizar firmas para bloquear el <em>malware<\/em>.<\/p>\n<p><strong>Protecci\u00f3n RDP.<\/strong> Desactivar el RDP siempre que se pueda. Si existen razones por las que no puedas parar de utilizarlo, coloca los sistemas con un puerto RDP abierto (3389) detr\u00e1s de un cortafuegos y permite el acceso a ellos solo mediante una VPN.<\/p>\n<p><strong>Autenticaci\u00f3n multifactor.<\/strong> Utilizar la autenticaci\u00f3n multifactor, contrase\u00f1as fuertes y pol\u00edticas de bloqueo autom\u00e1tico de cuentas en todos los puntos a los que se pueda acceder de forma remota.<\/p>\n<p><strong>Listas de conexiones permitidas<\/strong>. Aplicar el listado de IP permitidas mediante cortafuegos de <em>hardware.<\/em><\/p>\n<p><strong>Corregir las vulnerabilidades conocidas<\/strong>. Instalar de manera oportuna parches para vulnerabilidades en sistemas con acceso remoto y dispositivos con conexi\u00f3n directa a Internet.<\/p>\n<p>El <a href=\"https:\/\/media.kasperskycontenthub.com\/wp-content\/uploads\/sites\/43\/2022\/06\/23093553\/Common-TTPs-of-the-modern-ransomware_low-res.pdf\">informe<\/a> tambi\u00e9n enlista pr\u00e1cticos consejos sobre la protecci\u00f3n ante la explotaci\u00f3n y los movimientos laterales, as\u00ed como recomendaciones para contrarrestar las fugas de datos y c\u00f3mo prepararte en caso de un incidente.<\/p>\n<h2><strong>Protecci\u00f3n adicional<\/strong><\/h2>\n<p>Tambi\u00e9n actualizamos nuestra soluci\u00f3n EDR, con el objetivo de dotar a las empresas herramientas extras que les ayuden a eliminar la ruta de propagaci\u00f3n de un ataque lo antes posible y a investigar incidentes. La nueva versi\u00f3n, recomendada para empresas con procesos de seguridad IT consolidados, se llama Kaspersky Endpoint Detection and Response Expert. Puede desplegarse en la nube o directamente en las oficinas. Obt\u00e9n m\u00e1s informaci\u00f3n sobre el potencial de esta soluci\u00f3n <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/endpoint-detection-response-edr?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">aqu\u00ed<\/a>.<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un an\u00e1lisis profundo de los cifradores de ransomware modernos permite implementar m\u00e9todos universales para combatirlos.<\/p>\n","protected":false},"author":2581,"featured_media":24983,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[472,3546],"class_list":{"0":"post-24982","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ransomware","10":"tag-soc"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-ttp-report\/24982\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-ttp-report\/24309\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-ttp-report\/19777\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-ttp-report\/10009\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-ttp-report\/26662\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-ttp-report\/24606\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-ttp-report\/27326\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-ttp-report\/33371\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-ttp-report\/10801\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-ttp-report\/44706\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-ttp-report\/19094\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-ttp-report\/28945\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-ttp-report\/25153\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-ttp-report\/30674\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-ttp-report\/30423\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24982","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=24982"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24982\/revisions"}],"predecessor-version":[{"id":24985,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24982\/revisions\/24985"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/24983"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=24982"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=24982"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=24982"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}