Archivo

Entradas Etiquetadas ‘ransomware’

STOP RANSOMWARE

jueves, 1 de junio de 2023 Sin comentarios

Parte 1

Mejores prácticas de preparación, prevención y mitigación

del Ransomware y la extorsión de datos

 

Me hago ECO de la actualización (Mayo 2023) de un documento muy interesante que publicó CISA (https://www.cisa.gov) en el 2020, en el que nos marcan una serie de pautas de como debiéramos prepáranos a fin de mitigar y responder ante un ataque de Ransomware.

Os dejo un resumen con los titulares y los puntos que me parecen más interesantes. Al final de la publicación esta el link al documento original y otro para descargar el documento traducido.

 Preparación para incidentes de Ransomware y extorsión de datos 

 

  • Mantener copias de seguridad fuera de línea y cifradas de los datos críticos
    • Probar los procedimientos de forma regular
    • Mantener plantillas que permitan reconstruir el sistema.
    • Utilizar una solución multi-nube
    • Almacenamiento inmutable
  • Crear, mantener y ejercitar regularmente un plan básico de respuesta a incidentes cibernéticos (IRP) y un plan de comunicaciones asociado que incluya procedimientos de respuesta y notificación para incidentes de ransomware y extorsión/violación de datos
    • Disponer una copia offline e impresa
    • Notificar en caso de robo de información personal
    • Tener desarrollado un plan de respuesta ante incidentes
  • Implantar una arquitectura de confianza cero para impedir el acceso no autorizado a datos y servicios. Hacer que la aplicación del control de acceso sea lo más granular posible.

Prevención y mitigación de incidentes de Ransomware y extorsión de datos

 

  • Llevar a cabo un escaneo regular de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet, para limitar la superficie de ataque
  • Parchee y actualice periódicamente el software y los sistemas operativos a las últimas versiones disponibles.
    • Priorizar dispositivos con conexiones a Internet
  • Asegúrese de que todos los dispositivos locales, de servicios en la nube, móviles y personales (es decir, traiga su propio dispositivo [BYOD]) estén configurados correctamente y que las funciones de seguridad estén activadas.
  • Limite el uso de RDP y otros servicios de escritorio remoto.
    • Aplicar bloqueos de cuentas, auditar eventos e implementar 2FA
    • Hacer uso de VPN
  • Deshabilite las versiones 1 y 2 del protocolo Server Message Block (SMB)
    • Implementar firma SMB
    • Bloquear cuando se pueda puerto tcp 445 / 137 / 138
    • Registrar y supervisar en busca de comportamiento anómalo 

Vector de acceso inicial: Credenciales comprometidas

 

  •  Implantar una MFA resistente al phishing para todos los servicios, en particular para el correo electrónico, las VPN y las cuentas que acceden a sistemas críticos
    • Implementar sistema por 2 o mas factores de verificación (Pin, reconocimiento facial…)
  • Considere la posibilidad de suscribirse a servicios de supervisión de credenciales que vigilan la Dark Web en busca de credenciales comprometidas.
  • Implantar sistemas de gestión de identidades y accesos (IAM)
  • Implantar un control de acceso de confianza cero creando políticas de acceso sólidas para restringir el acceso de usuario a recurso y de recurso a recurso.
  • Cambiar los nombres de usuario y contraseñas de administrador por defecto.
  • No utilices cuentas de acceso root para las operaciones cotidianas.
  • Implemente políticas de contraseñas que requieran contraseñas únicas de al menos 15 caracteres.
  • Implementar gestores de contraseñas.
  • Aplicar políticas de bloqueo de cuentas después de un cierto número de intentos fallidos de inicio de sesión.
  • Almacene las contraseñas en una base de datos segura y utilice algoritmos hash potentes.
  • Desactivar el almacenamiento de contraseñas en el navegador en la consola de administración de directivas de grupo.
  • Implemente la solución de contraseña de administrador local (LAPS)
  • Protección contra el dumping del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS):
    • Implementar la regla de Reducción de Superficie de Ataque (ASR) para LSASS.
    • Implemente Credential Guard para Windows 10 y Server 2016.
  • Eduque a todos los empleados sobre la seguridad adecuada de las contraseñas en su formación anual sobre seguridad, haciendo hincapié en no reutilizar las contraseñas y no guardarlas en archivos locales.
  • Utilice Windows PowerShell Remoting, Remote Credential Guard o RDP con modo de administración restringido cuando establezca una conexión remota para evitar la exposición directa de las credenciales.
  • Separar las cuentas de administrador de las cuentas de usuario
    • Solo utilizar cuantas de administrador con propósitos administrativos que las requeran.

 

Vector de acceso inicial: Phishing 

 

  • Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios
  • Marcar los correos electrónicos externos en los clientes de correo electrónico
  • Implementar filtros en el gateway de correo electrónico para filtrar correos electrónicos con indicadores maliciosos conocidos
  • Habilite los filtros de archivos adjuntos comunes para restringir los tipos de archivos que suelen contener malware y que no deben enviarse por correo electrónico
  • Implantación de la política de autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) y verificación para reducir los costes.
  • Asegúrese de que las secuencias de comandos de macros están desactivadas para los archivos de Microsoft Office transmitidos por correo electrónico.
  • Desactivar el alojamiento de scripts de Windows (WSH).

 

Vector de acceso inicial: Infección de malware precursor 

 

  • Utilice actualizaciones automáticas para su software antivirus y antimalware y sus firmas.
    • Utilizar solución antivirus gestionada de forma centralizada
  • Utilice listas de aplicaciones permitidas y/o soluciones de detección y respuesta de puntos finales (EDR) en todos los activos
    • WDAC o AppLocker
    • Utilizar listas de aplicaciones permitidas
  • Considere la posibilidad de implantar un sistema de detección de intrusiones (IDS)
  • Supervise los indicadores de actividad y bloquee la creación de archivos maliciosos con la utilidad Sysmon de Windows.

 

Vector de acceso inicial: Formas avanzadas de ingeniería social

 

  • Crear políticas que incluyan formación sobre ciberseguridad
    • Repetir periódicamente la formación
  • Implantar un Sistema de Nombres de Dominio (DNS) protector.
    • Bloquear consultas DNS maliciosas
  • Considere la posibilidad de implantar navegadores aislados

 

Vector de acceso inicial: Terceros y proveedores de servicios gestionados 

 

  • Considerar las prácticas de gestión de riesgos e higiene cibernética de terceros o servicios gestionados.
  • Garantice el uso del mínimo privilegio y la separación de funciones a la hora de configurar el acceso de terceros.
  • Considere la posibilidad de crear políticas de control de servicios (SCP) para los recursos basados en la nube con el fin de impedir que los usuarios o las funciones, en toda la organización, puedan acceder a servicios específicos o tomar acciones específicas dentro de los servicios.

 

Buenas prácticas generales y orientaciones sobre refuerzo 

 

  • Asegúrese de que su organización cuenta con un enfoque integral de gestión de activos
    • Inventariado de activos
    • Conocer cuales son los sistemas más críticos y sus dependencias
  • Aplicar el principio de mínimo privilegio a todos los sistemas y servicios
    • Restringir permisos para instalar/ejecutar software
    • Auditar los Controladores de Dominio
    • Auditar de forma periódica en busca de cuentas inactivas o no autorizadas
  • Asegúrese de que todas las máquinas virtuales e hipervisores están actualizados.
  • Aproveche las mejores prácticas y active la configuración de seguridad en asociación con entornos en la nube, como Microsoft Office 365.
  • Mitigar el uso malintencionado del software de acceso remoto y de supervisión y gestión remotas (RMM)
  • Auditar herramientas de Acceso Remoto que se estén utilizando
  • Emplear medios lógicos o físicos de segmentación de red implementando ZTA y separando varias unidades de negocio o recursos departamentales de TI dentro de su organización y mantener la separación entre TI y tecnología operativa
  • Elabore y actualice periódicamente diagramas de red exhaustivos que describan los sistemas y flujos de datos dentro de la red o redes de su organización
  • Restrinja el uso de PowerShell a usuarios específicos caso por caso mediante la directiva de grupo.
    • Permitir PS solo a usuarios administradores
    • Permitir solo últimas versiones
    • Activar auditorias sobre su uso (Ps Windows Event” “PS Operational”)
    • Monitorizar estos registros en busca de acciones maliciosas
  • Asegurar los controladores de dominio (DC).
    • Realizar auditorias para comprobar la robusted de los mismos
    • Controlar grupos administradores y restringir acceso a los mismos
    • Impedir acceso a Internet.
    • Limitar autenticación NTLM y WDigest
    • Activar EPA (Extended Protection Authentication)
    • Rechazar respuesta LM y NTLM
    • Activar protecciones adicionales para Autenticación LSA para prevenir inyección de código
  • Conserve y proteja adecuadamente los registros de dispositivos de red, hosts locales y servicios en la nube.
    • Gestión centralizada de eventos.
  • Establezca una línea de base de seguridad del tráfico de red normal y ajuste los dispositivos de red para detectar comportamientos anómalos.
  • Realizar evaluaciones periódicas para garantizar que los procesos y procedimientos están actualizados y pueden ser seguidos por el personal de seguridad y los usuarios finales.

 Parte 2

 

Lista de comprobación de la respuesta al Ransomware

 

y la extorsión de datos

Detección y análisis

 

  1. Determinar qué sistemas se han visto afectados y aislarlos inmediatamente.
    1. Tener definido un plan para aislar sistemas críticos
    2. Los malos pueden estar monitorizando nuestras acciones para ver si han sido detectados(utilizar otros canales de comunicación)
  1. Apague los dispositivos si no puede desconectarlos de la red para evitar una mayor propagación de la infección del ransomware
    1. Solo si no podemos desconectar los equipos de la red para evitar perder evidencias
  1. Clasificación de los sistemas afectados para su restauración y recuperación
    1. Priorizar los sistemas críticos a restaurar en base a una lista definida.
  1. Examinar los sistemas de detección o prevención existentes en la organización (por ejemplo, antivirus, EDR, IDS, sistema de prevención de intrusiones) y los registros.
    1. Buscar el vector de entrada y bloquearlo
    2. Estar seguridad de erradicar el malware antes de restaurar sistemas.
  1. Reúnase con su equipo para desarrollar y documentar una comprensión inicial de lo ocurrido basada en el análisis inicial.
  1. Iniciar actividades de caza de amenazas.
    1. Cuentas AD recién creadas privilegiadas
    2. Inicios sesión VPN sospechosos
    3. Uso indebido de herramientas de sistema
    4. Evidencias de herramientas C&C
    5. Uso de Powershell
    6. Enumeración de Credenciales
    7. Comunicaciones inesperadas
    8. Indicios de filtración de datos
    9. Servicios Recién creados, tareas programadas, software instalado…
    10. En la nube
      1. Detectar modificaciones en los recursos

 Informes y notificaciones

 

  1. Siga los requisitos de notificación descritos en su plan de comunicación y respuesta a incidentes cibernéticos para involucrar a los equipos internos y externos y a las partes interesadas con una comprensión de lo que pueden proporcionar para ayudarle a mitigar, responder y recuperarse del incidente.
    1. Compartir información y mantener informadas a todas las partes de forma periódica
    2. Notificar el incidente a los organismos que competan.
    3. Recuperar todas la evidencias (archivos maliciosos, RAM,registros, IOC…)
  1. Si el incidente ha dado lugar a una violación de datos, siga los requisitos de notificación establecidos en sus planes de comunicación y respuesta a incidentes cibernéticos.

 

Contención y erradicación

 

  1. Tomar una imagen del sistema y una captura de memoria de una muestra de dispositivos afectados. (por ejemplo, estaciones de trabajo, servidores, servidores virtuales y servidores en la nube).
  1. Consulte a las fuerzas de seguridad federales, incluso si es posible adoptar medidas paliativas, sobre los posibles descifradores disponibles,

 

Seguir tomando medidas para contener y mitigar el incidente

 

  1. Busque orientaciones fiables para la variante concreta de ransomware y siga los pasos adicionales recomendados para identificar y contener los sistemas o redes que se haya confirmado que están afectados.
  1. Identifique los sistemas y cuentas implicados en la violación inicial.
  1. Sobre la base de los detalles de la violación o compromiso determinados anteriormente, contener los sistemas asociados que puedan utilizarse para un acceso no autorizado posterior o continuado.
    1. Desactivar redes virtuales, accesos remotos…
  1. Si una estación de trabajo infectada está cifrando datos del lado del servidor, siga los pasos de identificación rápida del cifrado de datos del lado del servidor.
    1. Revisar las sesiones de quien esta accediendo
    2. Revisar los eventos
  1. Realizar un análisis ampliado para identificar los mecanismos de persistencia «outside-in» y «inside-out»
  1. Reconstruir los sistemas basándose en la priorización de los servicios críticos
  1. Emitir restablecimientos de contraseñas para todos los sistemas afectados y abordar cualquier vulnerabilidad asociada y brecha en la seguridad o visibilidad una vez que el entorno haya sido completamente limpiado y reconstruido,
  1. La autoridad de TI o de seguridad de TI designada declara el incidente de ransomware finalizado en función de los criterios establecidos, que pueden incluir la adopción de las medidas anteriores o la búsqueda de ayuda externa. 

 

Recuperación y actividad posterior al incidente

 

  1. Reconectar los sistemas y restaurar los datos a partir de copias de seguridad encriptadas fuera de línea, basándose en una priorización de los servicios críticos.
  1. Documentar las lecciones aprendidas del incidente y de las actividades de respuesta asociadas
  1. Considere la posibilidad de compartir las lecciones aprendidas y los indicadores de compromiso relevantes

Fuente Original: https://www.cisa.gov/sites/default/files/2023-05/StopRansomware_Guide_508c%20%281%29.pdf

Documento traducido: StopRansomware_Guide_508c-ES

Enviar a un amigo: Share this page via Email
Categories: Ransomware, Seguridad Tags:

Alerta: Ransomware BitPaymer

martes, 5 de noviembre de 2019 Sin comentarios

Desde diversos medios se advierte de una campaña muy agresiva del Ransomware «BitPaymer» que esta afectando a importantes empresas Españolas.

Adjunto detalle de la incidencia publicada desde el Blog Segu-Info

Varias empresas españolas infectadas con Ransomware (Cadena SER, Everis y Prisa Radio)

Desde Hispasec nos advierten de la vulnerabilidades tanto de Microsoft Teams como de Google Chome

Tambien desde el mismo medio se advierte de un 0-day en Google Chrome que está siendo explotado

Vulnerabilidad en Microsoft Teams permite la descarga y ejecución de paquetes maliciosos

Desde el grupo de seguridad ITS se recomiendan una serie de medidas a fin de mitigar este tipo de riesgos.

MEDIDAS A TOMAR:

  1. A NIVEL PERIMETRAL:
    • No disponer de ningún servidor RDP publicado a internet.
    • No disponer de ningún servicio SMB expuesto al exterior.
    • Si es necesario proporcionar este servicio, usar redes VPN para dar acceso a terceros a estos servicios y siempre limitando muy bien los orígenes y los destinos de las conexiones. El uso de equipos de salto o pasarelas pueden ayudar mucho en estas labores.
    • Dado que se expande mediante el mismo protocolo, se recomienda limitar este acceso entre las redes de la organización. Además, si se dispone de Firewall en los propios servidores, se recomienda cortar o, en su defecto, limitar las conexiones permitidas para estos servicio en los propios servidores.
  2. MONITORIZACIÓN Y PROTECCIÓN DE SISTEMAS:
    • Se recomienda monitorizar tráfico RDP o SMB no autorizado.
    • Se recomienda deshabilitar los equipos de Microsoft Teams en los equipos corporativos.
    • Se recomienda tener todos los equipos, especialmente aquellos expuestos a internet, al último nivel de parcheado.
    • Se debería impedir la ejecución por directiva de dominio de comandos de POWERSHELL.
    • Para evitar afecciones en usuarios con privilegios, se recomienda restringir el acceso a usuarios administradores en equipos locales y el uso de administradores locales diferentes en cada equipo, por ejemplo mediante LAPS.
    • Por último, se recomienda realizar un comunicado interno indicando la situación actual y que todos los empleados tengas especial cuidado en la apertura de correos o mensajes de Skype o Teams.

Si normalmente debemos de estar atentos, en en este caso debemos de extremar nuestras precauciones.

 

Enviar a un amigo: Share this page via Email