1 mayo, 2024

GeekZilla
Image default
Geekzilla » Trellix: Analizando la anatomía de los ataques de Ransomware
NoticiasTech

Trellix: Analizando la anatomía de los ataques de Ransomware

por Geekzilla.tech

Geekzillo, los ataques en la web se han diversificado y todos somos vulnerables, hasta las grandes organizaciones. Trellix nos comparte su artículo de opinión analizando la anatomía de los ataques de Ransomware, un tipo de software malicioso. Protégete ante los tipos de ciberamenazas a las que eres vulnerable.

trellix anatomía ataques ransomware

Analizando la anatomía de los ataques de Ransomware – Trellix

El ransomware es un software malicioso que encripta datos valiosos y exige un rescate por  su liberación, desde atacar a individuos y consumidores hasta paralizar organizaciones y  gobiernos enteros. Con el paso de los años, los ataques de ransomware se han vuelto más  sofisticados y devastadores: a medida que avanza la tecnología, también lo hacen las tácticas  empleadas por los ciberdelincuentes. 

El ataque a Colonial Pipeline en Estados Unidos en 2021 puso de relieve la vulnerabilidad de  sistemas vitales. Provocó escasez de combustible y destacó el potencial del ransomware para  alterar los servicios esenciales e incluso la seguridad nacional. 

A medida que continúa evolucionando, plantea un desafío importante para gobiernos,  organizaciones e individuos de todo el mundo. Para agravar aún más el problema, la  ejecución de ataques de ransomware se ha vuelto cada vez más compleja mediante el uso  de binarios y scripts (LoLBins)”. Los delincuentes dependen en gran medida de estas  herramientas para explorar, comunicarse, moverse, exfiltrar e impactar las redes de sus  víctimas. 

La mejor manera de detectar y bloquear un ataque de ransomware es comprender este  comportamiento malicioso y contar con controles de seguridad que preparen a una  organización para el éxito. 

Abordar esta creciente amenaza requiere una defensa multifacética y un enfoque profundo,  que incluya inteligencia sobre amenazas, protección del correo electrónico, MFA, EDR y XDR  para estar un paso adelante del panorama en constante evolución. 

Principales familias de ransomware en el último año | Trellix Anatomía de los ataques

Estos son cinco ejemplos de las principales amenazas responsables de realizar actividades  destructivas en los Estados Unidos.  

LockBit: en 2022 fue una de las variantes de ransomware más implementadas en  todo el mundo. Conocido por el ataque contra el Hospital Francés CHSF. El grupo  LockBit opera con un modelo de Ransomware como servicio (RaaS), aprovechando  afiliados y socios que realizan ataques utilizando herramientas de malware LockBit y  se benefician de la infraestructura y experiencia del grupo. Debido a este modelo  RaaS y a las diversas preferencias y operaciones de los afiliados, los TTP específicos  utilizados en los ataques pueden variar, lo que hace más difícil defenderse de ellos. 

ALPHV (BlackCat): el grupo de ransomware ALPHV, también llamado BlackCat, es  un actor con actividad observada desde noviembre de 2021. Se dirigen principalmente  a sectores como la atención médica, finanzas, manufactura y gobierno. Emplea  algoritmos de cifrado avanzados para encriptar archivos y exige rescates por su  liberación. Sus tácticas incluyen campañas de phishing, kits de explotación y  explotación de servicios de escritorio remoto vulnerables para obtener acceso no  autorizado y llevar a cabo sus ataques. 

CL0P: El grupo CL0P ha estado operando desde aproximadamente febrero de 2019.  Son conocidos por sus técnicas sofisticadas, incluida una estrategia de doble  extorsión. Se dirige a organizaciones de sectores como la atención sanitaria,  educación, finanzas y el comercio minorista. Además de encriptar archivos, filtran  datos confidenciales para aumentar la presión sobre las víctimas para que paguen un  rescate. Sus métodos de distribución suelen implicar correos electrónicos de phishing  y se han asociado con ataques de ransomware de alto perfil.

También te puede interesar: La ciberseguridad tiene un nuevo nombre y se llama Trellix

PYSA (Mespinoza): el grupo PYSA, también conocido como Mespinoza, ha estado  activo desde principios de 2020. Se dirige principalmente a sectores como la atención  médica, educación, gobierno y manufactura. Utiliza técnicas de encriptado sólidas  para bloquear archivos y, a menudo, filtra datos confidenciales antes del encriptado.  Este enfoque de doble extorsión añade urgencia a las negociaciones de pago de  rescate. El grupo suele emplear tácticas como campañas de phishing y explotación  de vulnerabilidades para obtener acceso no autorizado y llevar a cabo sus ataques. 

BianLian: el grupo BianLian, atribuido al grupo de actores de amenazas WIZARD  SPIDER, opera desde junio de 2022. Se dirige a organizaciones de sectores como la  atención médica, energía, finanzas y tecnología. Emplea varias tácticas, incluidas  campañas de phishing y explotación de vulnerabilidades, para obtener acceso no  autorizado y cifrar archivos a cambio de un rescate. Sus ataques han resultado en  pérdidas financieras sustanciales y perturbaciones dentro de las organizaciones  objetivo. 

Fases de ataque 

Un ataque de ransomware típico consta de siete fases en las que un atacante pasa de la  investigación pasiva o activa de la red interna a la obtención de acceso a sistemas clave y la  escalada de privilegios para comprometer aún más el objetivo, el robo de datos e información  valiosos, la destrucción de los mecanismos de recuperación de datos y el cifrado de la  información. datos para que la víctima ya no pueda acceder a ellos y, finalmente, extorsionar  a la víctima por esos datos. 

1. Reconocimiento 

Los atacantes recopilarán información sobre el sistema u organización objetivo, incluida la  identificación de vulnerabilidades potenciales, la investigación de empleados, la recopilación  de datos disponibles públicamente a través de herramientas de Business Intelligence, la  visualización de qué información está disponible en la web oscura y más. Esta fase ayuda a  estos actores del ransomware a comprender la infraestructura y las debilidades de su objetivo,  lo que les permite planificar vías y métodos para sus ataques.  

2. Acceso inicial 

La segunda fase después de la investigación inicial es aprovechar esa información para lograr  un punto de apoyo inicial en el sistema objetivo. Esto se puede hacer a través de una variedad  de medios, desde explotar una vulnerabilidad, usar credenciales de acceso y de inicio de  sesión robadas, o incluso ejecutar un ataque de phishing exitoso contra los empleados. El  objetivo es obtener acceso a la red interna para poder establecer una presencia y una puerta  trasera en un dispositivo para prepararse para la siguiente fase del ataque.  

3. Escalamiento y movimiento lateral 

Después de obtener acceso inicial a la red, los actores de amenazas explorarán la red y los  dispositivos conectados a su punto original de compromiso para ver si hay más  vulnerabilidades que puedan explotar o credenciales que puedan aprovechar para obtener  acceso a sistemas y recursos adicionales. Esta fase permite a los atacantes afianzarse en la  red de una organización, profundizando su presencia y ampliando su nivel de control y  acceso. Es a través de este proceso que los grupos de ransomware obtienen acceso a los  datos que finalmente buscan robar. 

4. Recopilación y exfiltración de datos 

El siguiente paso es identificar, recopilar y extraer datos valiosos en todos los sistemas y  dispositivos que ha comprometido. Estos datos podrían ser en forma de información  confidencial, propiedad intelectual, detalles financieros o registros personales. Lo que importa es si el atacante cree que la organización pagaría para que le devuelvan los datos y si esos  datos también podrían venderse para obtener mayores ganancias en la dark web. 

Los datos recopilados luego se filtran, a menudo a través de canales encubiertos, a servidores  externos bajo el control del atacante. Esto permite conservar copias de los datos para pedir  un rescate y/o venderlos.  

5. Degradación de los sistemas de recuperación 

Después de extraer todo lo de valor que puedan, el objetivo de los ataques de ransomware  es atacar y comprometer los mecanismos de recuperación de datos y los sistemas de  seguridad presentes dentro de la red. Deshabilitarán o alterarán los sistemas de respaldo, los  sistemas de detección de intrusiones, los firewalls o cualquier otra medida de seguridad que  pueda obstaculizar sus actividades o alertar a los defensores. 

6. Despliegue del ransomware, ejecución y encriptación 

En esta fase, cuando los atacantes comprueban que han extraído activos o datos valiosos de  la red interna, implementan el ransomware y, finalmente, inician contacto con la víctima para  afirmar su control sobre los sistemas comprometidos. Habiendo adquirido copias de archivos  confidenciales y posiblemente deshabilitado los mecanismos de recuperación, avanzan a la  etapa de implementación, donde se pueden explotar herramientas como Microsoft Group  Policy Objects (GPO), Microsoft System Center Configuration Manager (SCCM) y  herramientas de administración remota como Admin Arsenal. Al utilizar estas herramientas,  los atacantes ejecutan su ransomware en sistemas comprometidos, cifrando de manera  efectiva archivos y datos cruciales, volviéndolos inaccesibles para la organización víctima.  Posteriormente, se presenta una demanda de rescate, estipulando un pago a cambio. 

7. Recuperación y retrospectiva 

La última fase de la anatomía de los ataques de ransomware de Trellix, ocurre después de que se ha producido el ataque de rescate, cuando la  organización víctima se concentra en los esfuerzos de recuperación y se concentra  exclusivamente en minimizar el daño y prevenir futuros ataques de ransomware. Esto incluye  investigar la exposición de la red interna para intentar aislar los sistemas comprometidos,  eliminar malware en los dispositivos infectados, restaurar sistemas a partir de copias de  seguridad y fortalecer las medidas de seguridad. La organización víctima también debe  realizar un análisis exhaustivo del ataque para identificar las vulnerabilidades que fueron  explotadas y mejorar su postura general de seguridad. 

Conclusión 

Es evidente que en el panorama actual de ciberseguridad, depender únicamente de la  protección tradicional de endpoints es insuficiente para proteger eficazmente a las  organizaciones de las amenazas de ransomware en todas las fases de ataque. 

Es imperativo complementarla con tecnologías como EDR, XDR y el uso extensivo de Threat  Intelligence. La sinergia entre estas tecnologías fortalece las defensas y la postura de  seguridad de una organización, aprovechando el análisis de comportamiento en tiempo real,  la detección de anomalías y la inteligencia de amenazas para identificar rápidamente y  detener al actor de la amenaza. 

Al integrar XDR en los controles de seguridad, las organizaciones obtienen una plataforma  unificada y centralizada que combina seguridad de endpoints, monitoreo de redes e  inteligencia sobre amenazas. Este enfoque integral permite a los equipos de SecOps  correlacionar y analizar eventos de seguridad en múltiples puntos finales y capas de red,  descubriendo patrones de ataque sofisticados que pueden pasar desapercibidos para las  defensas tradicionales.

También te puede interesar: Trellix: Descubre cuáles son beneficios y amenazas de ChatGPT

Y tú, geekzillo, ¿qué opinas de la anatomía de los ataques de Ransomware que nos comparte Trellix? ¿Consideras indispensable la divulgación de estas ciberamenazas? ¿Te gustaría conocer más detalles sobre ciberseguridad? No olvides que puedes compartirnos tus opiniones en los comentarios.

Por último, puedes seguir la pista de esta y más noticias en T3 LatamTechRadar México. Además de nuestros podcasts con Oye 89.7: Top Techy Top Gaming en Spotify.

Hablamos de tecnología, gadgets y lo más relevante de la cultura geek. Búscanos como geekzilla.tech

Artículos relacionados

Xiaomi anuncia el inicio del Mi Fan Festival 2020 en México

Geekzilla.tech

¿Redes Sociales o tienda online para vender? GoDaddy nos dice qué considerar

Geekzilla.tech

¿Cómo conseguir el accesorio que llevará la M4 al siguiente nivel en Call of Duty: Mobile?

Geekzilla.tech

Moco Renacida con todo su esplendor está de vuelta en Free Fire

Geekzilla.tech

MWC 2023: Lenovo anunció nuevo sofware para acelerar el despliegue de soluciones edge

Geekzilla.tech

MUM mejora la búsqueda de información sobre vacunas en Google

Geekzilla.tech

Video Grupal de Amazon Prime: Cómo utilizar está nueva función

Geekzilla.tech

Los influencers de HyperX comparten sus experiencias con los productos

Geekzilla.tech

Crunchyroll revela el reparto y fechas de estreno de sus nuevos doblajes

Geekzilla.tech

¡Atención amantes del skate, Tony Hawk’s Pro Skater 1 + 2 llegará muy pronto a Steam!

Antonio Quijano

Este sitio web utiliza cookies para mejorar su experiencia. Asumimos que está de acuerdo al seguir navegando. Aceptar Leer más