Concienciación sobre ransomware para vacaciones y un buen fin de semana

Resumen

Acciones inmediatas que puede tomar ahora para protegerse contra el ransomware
• Realice una copia de seguridad de sus datos sin conexión .
• No haga clic en enlaces sospechosos .
• Si usa RDP , asegúrelo y contrólelo.
• Actualice su sistema operativo y software.
• Utilice contraseñas seguras .
• Utilice la autenticación multifactor .

La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han observado un aumento en los ataques de ransomware de gran impacto que ocurren durante los días festivos y los fines de semana, cuando las oficinas normalmente están cerradas, en los Estados Unidos, tan recientemente como el 4 de Feriado de julio de 2021. El FBI y CISA no tienen actualmente ningún informe de amenazas específico que indique que se producirá un ciberataque durante el próximo feriado del Día del Trabajo. Sin embargo, el FBI y el CISA están compartiendo la siguiente información para proporcionar conciencia para ser especialmente diligentes en las prácticas de defensa de su red en el período previo a las vacaciones y los fines de semana, según las tácticas, técnicas y procedimientos (TTP) recientes de los actores y los ataques cibernéticos durante las vacaciones y los fines de semana. fines de semana durante los últimos meses.

Haga clic aquí para obtener una copia en PDF de este informe.

Resumen de amenazas

Segmentación por vacaciones recientes

Los actores cibernéticos han llevado a cabo ataques cada vez más impactantes contra entidades estadounidenses durante los fines de semana festivos o alrededor de estos durante los últimos meses. El FBI y CISA actualmente no tienen información específica sobre las amenazas cibernéticas que coincidan con los próximos días festivos y fines de semana. Los ciberdelincuentes, sin embargo, pueden ver los días festivos y los fines de semana, especialmente los fines de semana festivos, como marcos de tiempo atractivos en los que apuntar a posibles víctimas, incluidas las pequeñas y grandes empresas. En algunos casos, esta táctica proporciona una ventaja para los actores malintencionados que realizan la explotación de la red y la propagación de seguimiento del ransomware, ya que los defensores de la red y el soporte de TI de las organizaciones víctimas tienen una capacidad limitada durante un tiempo prolongado.

  • En mayo de 2021, antes del fin de semana del Día de la Madre, los ciberataques malintencionados desplegaron el ransomware DarkSide contra la red de TI de una entidad de infraestructura crítica con sede en EE. UU. En el sector energético, lo que resultó en una suspensión de operaciones de una semana. Después de que los actores de DarkSide obtuvieron acceso a la red de la víctima, desplegaron ransomware para cifrar los datos de la víctima y, como una forma secundaria de extorsión, exfiltraron los datos antes de amenazar con publicarlos para presionar aún más a las víctimas para que paguen la demanda de rescate.
  • En mayo de 2021, durante el fin de semana del Día de los Caídos, una entidad de infraestructura crítica en el Sector de Alimentos y Agricultura sufrió un ataque de ransomware Sodinokibi / REvil que afectó a las instalaciones de producción de carne de EE. UU. Y Australia, lo que provocó una interrupción total de la producción.
  • En julio de 2021, durante el fin de semana festivo del 4 de julio, los actores del ransomware Sodinokibi / REvil atacaron una entidad de infraestructura crítica con sede en EE. UU. En el sector de TI y las implementaciones de su herramienta de administración y monitoreo remoto, lo que afectó a cientos de organizaciones, incluidos múltiples proveedores de servicios administrados y sus clientes.

Tendencias de ransomware

El Centro de Quejas de Delitos en Internet (IC3) del FBI, que proporciona al público una fuente confiable para reportar información sobre incidentes cibernéticos, recibió 791,790 quejas por todos los tipos de delitos en Internet, un número récord, del público estadounidense en 2020, con pérdidas reportadas que excedieron $ 4.1 mil millones. Esto representa un aumento del 69 por ciento en el total de quejas desde 2019. El número de incidentes de ransomware también continúa aumentando, con 2.474 incidentes reportados en 2020, lo que representa un aumento del 20 por ciento en el número de incidentes y un aumento del 225 por ciento en las demandas de rescate. Desde enero hasta el 31 de julio de 2021, el IC3 ha recibido 2.084 quejas de ransomware con más de $ 16,8 millones en pérdidas, un aumento del 62 por ciento en los informes y un aumento del 20 por ciento en las pérdidas informadas en comparación con el mismo período de tiempo en 2020 1.   Las siguientes variantes de ransomware han sido las más reportadas al FBI en ataques durante el último mes.

  • Conti
  • PYSA
  • LockBit
  • RansomEXX / Defray777
  • zepelín
  • Crysis / Dharma / Phobos

El impacto destructivo del ransomware continúa evolucionando más allá del cifrado de los activos de TI. Los ciberdelincuentes se han dirigido cada vez más a organizaciones grandes y lucrativas y proveedores de servicios críticos con la expectativa de rescates de mayor valor y una mayor probabilidad de pagos. Los ciberdelincuentes también han asociado cada vez más el cifrado inicial de datos con una forma secundaria de extorsión, en la que amenazan con nombrar públicamente a las víctimas afectadas y liberar datos confidenciales o patentados exfiltrados antes del cifrado, para fomentar aún más el pago del rescate. (Consulte la hoja de datos de CISA: Protección de la información personal y confidencial de las violaciones de datos causadas por ransomware.) Los actores malintencionados también han agregado tácticas, como cifrar o eliminar copias de seguridad del sistema, lo que hace que la restauración y la recuperación sean más difíciles o inviables para las organizaciones afectadas.

Aunque los ciberdelincuentes utilizan una variedad de técnicas para infectar a las víctimas con ransomware, los dos vectores de acceso inicial más prevalentes son el phishing y los puntos finales de protocolo de escritorio remoto no seguro (RDP) de fuerza bruta. Los medios comunes adicionales de infección inicial incluyen la implementación de malware precursor o cuentagotas; explotación de vulnerabilidades de software o sistema operativo; explotación de proveedores de servicios gestionados con acceso a redes de clientes; y el uso de credenciales válidas y robadas, como las compradas en la web oscura. El malware precursor permite a los actores cibernéticos realizar reconocimientos en las redes de las víctimas, robar credenciales, escalar privilegios, exfiltrar información, moverse lateralmente en la red de la víctima y ofuscar las comunicaciones de comando y control. Los ciber actores utilizan este acceso para: 

  • Evalúe la capacidad de la víctima para pagar un rescate.
  • Evalúe el incentivo de una víctima para pagar un rescate por: 
    • Recuperar el acceso a sus datos y / o 
    • Evite que sus datos confidenciales o patentados se filtren públicamente.
  • Recopile información para los ataques de seguimiento antes de implementar ransomware en la red de la víctima.

Caza de amenazas

El FBI y CISA sugieren que las organizaciones se involucren en la búsqueda preventiva de amenazas en sus redes. La búsqueda de amenazas es una estrategia proactiva para buscar señales de actividad del actor de amenazas para prevenir ataques antes de que ocurran o para minimizar el daño en caso de un ataque exitoso. Los actores de amenazas pueden estar presentes en una red de víctimas mucho antes de que bloqueen un sistema, alertando a la víctima del ataque de ransomware. Los actores de amenazas a menudo buscan en una red para encontrar y comprometer los objetivos más críticos o lucrativos. Muchos exfiltrarán grandes cantidades de datos. La búsqueda de amenazas abarca los siguientes elementos para comprender el entorno de TI mediante el desarrollo de una línea de base a través de un enfoque de análisis basado en el comportamiento, la evaluación de registros de datos y la instalación de sistemas de alerta automatizados. 

  • Comprender la arquitectura y la actividad rutinaria del entorno de TI mediante el establecimiento de una línea de base. Al implementar un enfoque de análisis basado en el comportamiento, una organización puede evaluar mejor los patrones de actividad del usuario, el punto final y la red. Este enfoque puede ayudar a una organización a permanecer alerta ante las desviaciones de la actividad normal y detectar anomalías. Comprender cuándo los usuarios inician sesión en la red, y desde qué ubicación, puede ayudar a identificar anomalías. Comprender el entorno de referencia, incluido el tráfico interno y externo normal, también puede ayudar a detectar anomalías. Los patrones de tráfico sospechosos suelen ser los primeros indicadores de un incidente en la red, pero no se pueden detectar sin establecer una línea de base para la red corporativa.
  • Revise los registros de datos. Comprenda cómo se ve el rendimiento estándar en comparación con una actividad sospechosa o anómala. Las cosas que debe buscar incluyen:
    • Numerosas modificaciones de archivos fallidas,
    • Aumento de la actividad de la CPU y el disco,
    • Incapacidad para acceder a ciertos archivos, y
    • Comunicaciones de red inusuales.
  • Emplee sistemas de prevención de intrusiones y sistemas de alerta de seguridad automatizados , como software de gestión de eventos de información de seguridad, sistemas de detección de intrusos y detección y respuesta de terminales.
  • Despliega fichas de miel y alerta sobre su uso para detectar movimientos laterales.

Los indicadores de actividad sospechosa que los cazadores de amenazas deben buscar incluyen:

  • Tráfico de red entrante y saliente inusual,
  • Compromiso de los privilegios de administrador o escalada de los permisos en una cuenta,
  • Robo de credenciales de inicio de sesión y contraseña,
  • Aumento sustancial del volumen de lectura de la base de datos,
  • Irregularidades geográficas en los patrones de acceso e inicio de sesión,
  • Intento de actividad del usuario durante tiempos de inicio de sesión anómalos, 
  • Intenta acceder a carpetas en un servidor que no están vinculadas al HTML dentro de las páginas del servidor web, y
  • Desviaciones de la línea de base en el tipo de tráfico cifrado saliente, ya que los actores de amenazas persistentes avanzadas con frecuencia cifran la exfiltración.

Consulte el aviso conjunto de Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos sobre enfoques técnicos para descubrir y remediar actividades maliciosas para obtener orientación adicional sobre la caza o investigación de una red y los errores comunes en el manejo de incidentes. También revise la Lista de verificación de respuesta al ransomware en la Guía conjunta de ransomware CISA-MS-ISAC .

Servicios de higiene cibernética

CISA ofrece una gama de servicios de higiene cibernética sin costo , que incluyen análisis de vulnerabilidades y evaluaciones de preparación de ransomware, para ayudar a las organizaciones de infraestructura crítica a evaluar, identificar y reducir su exposición a las amenazas cibernéticas. Al aprovechar estos servicios, las organizaciones de cualquier tamaño recibirán recomendaciones sobre formas de reducir su riesgo y mitigar los vectores de ataque. 

Prácticas recomendadas de ransomware

El FBI y CISA desalientan enérgicamente el pago de un rescate a los delincuentes. El pago no garantiza la recuperación de los archivos, ni asegura la protección contra futuras infracciones. El pago también puede envalentonar a los adversarios para que apunten a organizaciones adicionales, alentar a otros actores delictivos a participar en la distribución de malware y / o financiar actividades ilícitas. Independientemente de si usted o su organización deciden pagar el rescate, el FBI y CISA lo instan a informar los incidentes de ransomware a CISA , una oficina local del FBI , o presentando un informe ante IC3 en IC3.gov. Hacerlo proporciona al gobierno de los EE. UU. La información crítica necesaria para ayudar a las víctimas, rastrear a los atacantes de ransomware, responsabilizar a los atacantes según la ley de los EE. UU. Y compartir información para prevenir ataques futuros.

Información requerida

Al recibir un informe de incidente, el FBI o CISA pueden buscar artefactos forenses, en la medida en que las entidades afectadas determinen que dicha información puede ser compartida legalmente, incluyendo: 

  • Archivo (s) ejecutable recuperado,
  • Captura de memoria en vivo (RAM),
  • Imágenes de sistemas infectados,
  • Muestras de malware y
  • Nota de rescate.

Mitigaciones recomendadas

El FBI y CISA recomiendan encarecidamente que las organizaciones supervisen de forma continua y activa las amenazas de ransomware durante las vacaciones y los fines de semana. 2   Además, el FBI y la CISA recomiendan identificar a los empleados de seguridad de TI para que estén disponibles y «de guardia» durante estos momentos, en caso de un ataque de ransomware. El FBI y CISA también sugieren aplicar las siguientes mejores prácticas de red para reducir el riesgo y el impacto del compromiso.

Realice una copia de seguridad de sus datos sin conexión.

  • Realice y mantenga copias de seguridad de datos cifradas y sin conexión y pruebe periódicamente sus copias de seguridad. Los procedimientos de respaldo deben realizarse de manera regular. Es importante que las copias de seguridad se mantengan fuera de línea, ya que muchas variantes de ransomware intentan encontrar y eliminar o cifrar las copias de seguridad accesibles.
  • Revise el programa de respaldo de su organización para tener en cuenta el riesgo de una posible interrupción de los procesos de respaldo durante los fines de semana o feriados.

No haga clic en enlaces sospechosos.

  • Implementar un programa de formación de usuarios y ejercicios de phishing para concienciar a los usuarios sobre los riesgos que implica visitar sitios web maliciosos o abrir archivos adjuntos maliciosos y reforzar la respuesta adecuada del usuario a los correos electrónicos de phishing y spearphishing.

Si usa RDP, u otros servicios potencialmente peligrosos, asegure y monitoree.

  • Limite el acceso a los recursos a través de redes internas, especialmente restringiendo RDP y utilizando la infraestructura de escritorio virtual. Después de evaluar los riesgos, si se considera que el RDP es operacionalmente necesario, restrinja las fuentes de origen y exija AMF. Si RDP debe estar disponible externamente, debe autenticarse a través de VPN.
  • Supervise los registros de acceso remoto / RDP, aplique bloqueos de cuentas después de un número específico de intentos, registre los intentos de inicio de sesión de RDP y desactive los puertos de acceso remoto / RDP no utilizados.
  • Asegúrese de que los dispositivos estén configurados correctamente y que las funciones de seguridad estén habilitadas. Desactive los puertos y protocolos que no se estén utilizando para un propósito comercial (por ejemplo, puerto de protocolo de control de transmisión RDP 3389). 
  • Deshabilite o bloquee la salida del protocolo Server Message Block (SMB) y elimine o deshabilite las versiones obsoletas de SMB. Los actores de amenazas utilizan SMB para propagar malware entre organizaciones.
  • Revise la postura de seguridad de los proveedores externos y los interconectados con su organización. Asegúrese de que todas las conexiones entre proveedores externos y software o hardware externo sean monitoreadas y revisadas para detectar actividad sospechosa.
  • Implemente políticas de listado para aplicaciones y acceso remoto que solo permitan que los sistemas ejecuten programas conocidos y permitidos bajo una política de seguridad establecida.
  • Abra lectores de documentos en modos de visualización protegidos para ayudar a evitar que se ejecute el contenido activo.

Actualice su sistema operativo y software; escanear en busca de vulnerabilidades.

  • Actualice el software y los sistemas operativos que ya no son compatibles con los proveedores a las versiones compatibles actualmente. Parchee y actualice el software con regularidad a las últimas versiones disponibles. Priorice el parcheo oportuno de los servidores conectados a Internet, así como el software que procesa datos de Internet, como navegadores web, complementos de navegador y lectores de documentos, para detectar vulnerabilidades conocidas. Considere el uso de un sistema de administración de parches centralizado; Utilice una estrategia de evaluación basada en riesgos para determinar qué activos de red y zonas deben participar en el programa de administración de parches.
  • Actualice automáticamente las soluciones antivirus y antimalware y realice análisis periódicos de virus y malware.
  • Realice análisis de vulnerabilidades con regularidad para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos conectados a Internet. (Consulte la sección Servicios de higiene cibernética anterior para obtener más información sobre los servicios gratuitos de CISA).

Utilice contraseñas seguras.

  • Garantice contraseñas seguras y respuestas a los desafíos. Las contraseñas no deben reutilizarse en varias cuentas ni almacenarse en el sistema donde un adversario pueda tener acceso.

Utilice la autenticación multifactor.

  • Exigir autenticación multifactor (MFA) para todos los servicios en la medida de lo posible, particularmente para acceso remoto, redes privadas virtuales y cuentas que acceden a sistemas críticos. 

Proteja su (s) red (s): implemente la segmentación, filtre el tráfico y escanee los puertos.

  • Implemente la segmentación de la red con múltiples capas, con las comunicaciones más críticas ocurriendo en la capa más segura y confiable.
  • Filtre el tráfico de la red para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas. Evite que los usuarios accedan a sitios web maliciosos mediante la implementación de listas de bloqueo y / o listas de permisos de URL.
  • Escanee la red en busca de puertos abiertos y de escucha y cierre aquellos que no sean necesarios.
  • Para empresas con empleados que trabajan de forma remota, redes domésticas seguras, incluidos dispositivos informáticos, de entretenimiento y de Internet de las cosas, para evitar un ciberataque; use dispositivos separados para actividades separadas; y no intercambie contenido del hogar y del trabajo. 

Asegure sus cuentas de usuario.

  • Audite periódicamente las cuentas de los usuarios administrativos y configure los controles de acceso según los principios de privilegio mínimo y separación de funciones.
  • Audite con regularidad los registros para asegurarse de que las nuevas cuentas sean usuarios legítimos.

Tenga un plan de respuesta a incidentes.

  • Cree, mantenga y ponga en práctica un plan básico de respuesta a incidentes cibernéticos que:
    • Incluye procedimientos de respuesta y notificación en un incidente de ransomware y
    • Planes para la posibilidad de que los sistemas críticos sean inaccesibles durante un período de tiempo.

Nota: para obtener ayuda con el desarrollo de su plan, revise la guía de respuesta a incidentes disponible, como el Manual de estrategias de respuesta a incidentes cibernéticos de Public Power y la Lista de verificación de respuesta al ransomware en la Guía conjunta de ransomware CISA-MS-ISAC .

Si su organización se ve afectada por un incidente de ransomware, el FBI y CISA recomiendan las siguientes acciones.

  • Aislar el sistema infectado. Elimine el sistema infectado de todas las redes y desactive la conexión inalámbrica, Bluetooth y cualquier otra capacidad de red potencial de la computadora. Asegúrese de que todas las unidades compartidas y en red estén desconectadas, ya sean cableadas o inalámbricas.
  • Apague otras computadoras y dispositivos. Apague y separe (es decir, elimine de la red) las computadoras infectadas. Apague y separe cualquier otra computadora o dispositivo que comparta una red con las computadoras infectadas que no hayan sido completamente encriptadas por ransomware. Si es posible, recopile y asegure todos los equipos y dispositivos infectados y potencialmente infectados en una ubicación central, asegurándose de etiquetar claramente todos los equipos que se hayan cifrado. Apagar y separar las computadoras infectadas de las que no han sido completamente encriptadas puede permitir la recuperación de archivos parcialmente encriptados por parte de especialistas.
  • Asegure sus copias de seguridad. Asegúrese de que sus datos de respaldo estén fuera de línea y seguros. Si es posible, escanee sus datos de respaldo con un programa antivirus para verificar que esté libre de malware.

Recursos adicionales

Para obtener recursos adicionales relacionados con la prevención y mitigación del ransomware, visite https://www.stopransomware.gov y la Guía conjunta de análisis y intercambio de información de CISA-Multi-State (MS-ISAC) . Stopransomware.gov es la nueva ubicación oficial única del gobierno de los EE. UU. Para obtener recursos para abordar el ransomware de manera más efectiva. Los recursos adicionales incluyen:

fuente: cisa.gov