Sophos, líder global en soluciones de ciberseguridad de nueva generación, ha publicado parte de un extenso informe sobre una investigación que ha realizado acerca de las Realidades del Ransomware, en el que dedica una sección a alertar de las cinco señales que advierten y anticipan a las empresas de un posible ataque de este tipo de malware.
"Los atacantes utilizan herramientas de administración legítimas para preparar el escenario para los ataques de ransomware. Sin saber qué herramientas utilizan normalmente los administradores en sus dispositivos, fácilmente se podrían pasar por alto estos datos. En retrospectiva, estos cinco indicadores representan banderas rojas de investigación", explica Peter Mackenzie, gerente del equipo Managed Threat Response de Sophos.
Los cinco indicadores de un posible ataque por ransomware
Estos son los cinco indicadores de un posible ataque por ransomware de los que advierte Sophos y los consejos que da la compañía para adelantarse a ellos:
- Un escáner de red, especialmente en un servidor: Los ciberdelincuentes suelen comenzar obteniendo acceso a un dispositivo en el que buscan información: si se trata de un Mac o Windows, cuál es el dominio y el nombre de la empresa, qué tipo de derechos de administrador tiene y demás detalles del ordenador. A continuación, los atacantes querrán saber qué más hay en la red y a qué pueden acceder. Para ello, la forma más sencilla es escanearla. Si se detecta un escáner de red, como AngryIP o Advanced Port Scanner, pregunte al personal de administración. Si nadie intenta usar el escáner, es hora de investigar.
- Herramientas para deshabilitar el software antivirus: Una vez que los atacantes disponen de los derechos de administrador, suelen intentar deshabilitar el software de seguridad utilizando aplicaciones creadas para ayudar a la eliminación forzosa de softwares, como Process Hacker, PC Hunter, IOBit Uninstaller y GMER. Este tipo de herramientas comerciales son legítimas, pero los equipos de seguridad y los administradores deben preguntarse por qué han aparecido de repente.
- La presencia de MimiKatz: Cualquier detección de MimiKatz se debe investigar siempre. Si en un equipo de administración nadie asume su uso, debe considerarse como una señal de alerta porque es una de las herramientas de piratería más utilizadas para el robo de credenciales. Los ciberdelincuentes también utilizan Microsoft Process Explorer, incluido en Windows Sysinternals, una herramienta legítima que puede volcar LSASS.exe de la memoria, creando un archivo .dmp. Después, pueden llevar esto a su propio entorno y usar MimiKatz para extraer de forma segura nombres de usuario y contraseñas en su propio dispositivo.
- Patrones de un comportamiento sospechoso: Cualquier detección que tenga lugar todos los días a la misma hora, o en un patrón repetido, es a menudo una indicación de que algo más está sucediendo, incluso si se han detectado y eliminado archivos maliciosos. Los equipos de seguridad deben preguntarse ¿por qué vuelve?, y los informáticos a cargo de las incidencias saben que, normalmente, significa que ha estado ocurriendo algo malicioso que no se ha identificado (hasta ese momento).
- Test de ataques: Ocasionalmente, los atacantes implementan pequeños ataques de prueba en algunos ordenadores para ver si el método de implementación y el ransomware se ejecutan correctamente o si el software de seguridad lo detiene; si las herramientas de seguridad detienen el ataque, cambian de táctica y vuelven a intentarlo. Esto reflejará su rastro y los atacantes sabrán que ahora su tiempo es limitado. A menudo, es cuestión de horas antes de que se lance un ataque mucho mayor.