Cómo detectar el ransomware: 12 oportunidades de supervisión y alertas para automatizar

Es una locura pensar que este mes de mayo se cumplieron cinco años desde que el brote de WannaCry ayudó a hacer del ransomware un nombre familiar. En cierto modo, parece que fue hace toda una vida (o más). Por ejemplo: En comparación con las asombrosas cifras citadas en los informes actuales, algunas de las estadísticas relacionadas con el ransomware de 2017 resultan pintorescas.

• En el segundo trimestre de 2017, la demanda media de rescate estimada fue de entre 501 y 2.000 dólares. Según Coveware, si avanzamos hasta el primer trimestre de 2024, en el pago medio por rescate fue de 381.980 dólares.
• En 2017, Cybersecurity Ventures estimó que el coste total de los daños causados por el ransomware alcanzaría los 5.000 millones de dólares en el año. Su último informe estima que los costes anuales totales en 2025 podrían alcanzar los 57.000 millones de dólares.

Evidentemente, han cambiado muchas cosas y, con miles de millones de dólares en juego, decir que las operaciones de ransomware actuales han madurado y evolucionado es quedarse muy corto.

Como dice el investigador de seguridad Kevin Beaumont en un artículo del blog que todo el mundo debería leer:

«Un grupo de ransomware que recibe un pago de 40 millones de dólares por atacar a una compañía de seguros de ciberseguridad da a los atacantes más presupuesto para seguir ciberatacando que el que tienen la mayoría de las medianas y grandes empresas tienen para defenderse totalmente de los ataques. Y eso es solo un ataque, de un grupo, que apenas llegó al radar de noticias de la mayoría de la gente».

– Kevin Beaumont, «La dura verdad sobre el ransomware»

Es una evaluación aleccionadora, pero antes de que vayamos a añorar los días «más sencillos» de 2017, también vale la pena considerar que, por mucho que hayamos visto cambiar las cosas en estos últimos ocho años, también hay muchas cosas que no lo han hecho.

Sí, el ecosistema de la ciberdelincuencia se ha disparado en torno al ransomware y, por supuesto, los grupos de ataque han acumulado enormes fondos para comprar días cero y lanzar programas de recompensas por errores. Pero la verdad es que, a pesar de todo esto, la mayoría sigue funcionando en modo de “fruta al alcance de la mano”. ¿Para qué complicarse y ponerse sofisticados si aún puedes pillar a mucha gente desprevenida con lo básico?

• ¿Colonial Pipeline? Hackeado a través de una cuenta inactiva sin MFA.   
• ¿El sistema sanitario de Irlanda? Un documento de Excel malicioso. 
• ¿La banda de ransomware LockBit accedió durante 5 meses a una agencia gubernamental estadounidense? Un RDP expuesto.
• ¿El ataque de ransomware de 50 millones de dólares al gigante del PC Acer? Una vulnerabilidad de Microsoft Exchange sin parchear.

Sí, la prevención es difícil para las organizaciones de hoy en día, pero siempre lo ha sido, y no estoy del todo convencido de que hoy sea exponencialmente más difícil que hace ocho años. La verdad es que unos fundamentos sólidos y un endurecimiento básico de endpoints pueden llevar a las PYMES muy lejos.

Pero este post es sobre la detección, ¿verdad? Bueno, lo mismo aplica. La mayoría de las organizaciones seguirán necesitando recursos dedicados (internos o subcontratados) para desplegar y supervisar activamente las oportunidades de detección que vamos a cubrir aquí, pero la barrera de entrada no es necesariamente tan alta como algunos proveedores de seguridad pueden hacerte creer.

Un ejemplo: A continuación se presentan 12 buenas ideas básicas de detección de ransomware que pueden darte resultados sin que te cueste una fortuna.

Vamos a verlas.

Si prefieres un resumen visual, también hay una versión en vídeo: Cómo detectar el ransomware: supervisión y alertas.

Cómo detectar el ransomware

Para empezar, convengamos en que andar tratando de detectar la actividad del ransomware después de su ejecución (los ejecutables del ransomware que se ejecutan activamente y cifran los datos) es una carrera perdida. Algunas de las variantes de ransomware más prolíficas pueden cifrar 100.000 archivos en menos de cinco minutos.

Los intentos de detectar y reaccionar ante cambios masivos y repentinos en los nombres de los archivos, etc., suelen ser demasiado pequeños y tardíos.

El AV / EDR está obviamente diseñado para bloquear los ejecutables de ransomware, pero las tasas de detección/bloqueo no son perfectas. Incluso si consiguen bloquear un ejecutable, eso no soluciona el problema de que los atacantes hayan conseguido acceder a él. Si fallan una vez, lo volverán a intentar.

Los atacantes también emplean de manera rutinaria herramientas y playbooks diseñados para obtener privilegios elevados con el fin de  deshabilitar las herramientas de seguridad (y las copias de seguridad).

Por ese motivo, el mejor momento para detectar y desbaratar los ataques es en las primeras etapas, idealmente cuando aún se trata de intentos, a menudo automatizados, de infiltrarse y establecer puntos de apoyo iniciales en tus sistemas. Cortar los ataques de raíz es mucho más sencillo que enfrentar la siguiente etapa, cuando ya se trata de un hacker humano que opera con un playbook probado y con numerosas herramientas diseñadas para ayudarle a mapear rápidamente tu red y tomar control total de ella.

Así que cuando hablamos de detectar el ransomware, la mejor pregunta podría ser: «¿Cómo detectamos los primeros signos de alerta de un compromiso que podría llevar rápidamente al ransomware?»

Y se hace mucho hincapié en «rápidamente». Los informes muestran que, desde el acceso inicial, el ransomware puede desplegarse en cualquier lugar desde días hasta incluso solo horas después.

Por ejemplo, grupos como Black Basta y Clop son conocidos por desplegar cargas útiles en menos de 4 horas.

Consulta los análisis de The DFIR Report sobre “IcedID to XingLocker ransomware in 24 hours” y “Netwalker Ransomware in 1 Hour”.

Con tan poco tiempo para identificar la amenaza y reaccionar, es fundamental contar con herramientas y profesionales experimentados que supervisen activamente los sistemas y estén preparados para responder (idealmente aprovechando la automatización).

¿Cuáles son los indicios de ransomware y las buenas oportunidades de detección?

La buena noticia es que, aunque existen muchos grupos de ataque y variantes, la mayoría sigue basándose en manuales y herramientas comunes. Gracias al trabajo de investigadores como los de The DFIR Report y otros, los defensores pueden aprender las TTP más comunes y crear mecanismos de detección en consecuencia.

Lo siguiente es una lista de oportunidades de detección mapeadas a patrones comunes de ataques de ransomware (un gran reconocimiento al informe 2021 Year in Review de The DFIR Report). No se trata en absoluto de una lista exhaustiva, pero debería ser una buen punto de partida.

Si utilizas una solución de gestión de endpoints o RMM como NinjaOne, puedes crear condiciones de supervisión y alerta para muchas de estas detecciones que luego puedes desplegar fácilmente en los endpoints, ahorrándote trabajo manual a ti y a tu equipo. También puedes crear acciones automatizadas que quieras que activen las alertas, como reinstalar/reiniciar automáticamente los procesos AV/EDR si se identifica que faltan/están desactivados.

Si quieres llevar todo esto un paso más allá, la gente de The DFIR Report también ha compartido un montón de reglas Sigma extremadamente útiles que puedes utilizar con Chainsaw, una herramienta gratuita de código abierto de F-Secure Labs que ofrece una forma rápida de analizar los registros de eventos y detectar signos sospechosos de un ataque.

Tipos de tácticas de ransomware y cómo detectarlas: oportunidades de detección por etapa de ataque

Acceso inicial

1) Informes de correos electrónicos sospechosos de usuarios finales: no ocupan los titulares que las vulnerabilidades de día cero, pero los correos electrónicos maliciosos corrientes diseñados para engañar a los usuarios para que descarguen y ejecuten malware siguen siendo uno de los vectores de ataque iniciales más comunes. ¿Por qué? Porque funcionan.

• Cómo detectar correos electrónicos sospechosos: las organizaciones deben proporcionar a los empleados formación sobre seguridad y crear una cultura en la que se les anime activamente y se les recompense por informar de correos electrónicos sospechosos y posibles errores sin temor a ser castigados.

2) Conexiones RDP sospechosas: el RDP expuesto es otro vector de ataque ante el que algunos informáticos y responsables de seguridad pueden poner los ojos en blanco, pero sigue siendo uno de los principales puntos de compromiso inicial para los incidentes de ransomware.

• Cómo detectar conexiones RDP sospechosas: esta publicación de NCCGroup explica cómo capturar eventos de registro de bajo ruido relacionados con sesiones RDP intentadas y exitosas. Además, este script del experto en PowerShell Kelvin Tegelaar va más allá al documentar si están instaladas varias herramientas de acceso remoto (Remote Desktop, Teamviewer, Connectwise ScreenConnect y otras) y registrar cuándo se ha producido una conexión correcta.

Persistencia

1) Creación sospechosa de tareas programadas: uno de los métodos más comunes que emplean los atacantes para obtener persistencia en un sistema.

• Cómo detectar la creación de tareas programadas sospechosas: supervisa y genera alertas sobre esto mediante el seguimiento de los ID de evento de Windows 4698 y 4700, o aprovechando el script de PowerShell de Kelvin Tegelaar disponible aquí.

2) Software de acceso remoto inesperado: otra táctica que está ganando terreno es la de los atacantes que instalan software de terceros como AnyDesk (el más popular con diferencia), Atera, TeamViewer y Splashtop.

• Cómo detectar software de acceso remoto inesperado: se trata de herramientas populares entre los MSP, pero si no usas ninguna de ellas, es una buena idea supervisarlas regularmente y marcar su presencia. De nuevo, el script de Kelvin puede usarse para esto (ver el comentario de Luke Whitlock para una modificación que monitoriza para AnyDesk).

Además, también puedes supervisar el ID de evento de Windows 7045. 

Escalada de privilegios / acceso a credenciales

1) Extracción de credenciales del subsistema de autoridad de seguridad local de Windows (LSASS): aunque los atacantes pueden robar credenciales de otras formas, ésta es, con diferencia, una de las más comunes.

• Cómo detectar el abuso de LSASS: una buena manera de supervisar o bloquear los intentos de robar credenciales de LSASS es aprovechar las reglas de Attack Surface Reduction (ASR) de Microsoft (se requiere Windows 10 compilación 1709 o Windows Server compilación 1809 o superior). Otras reglas de ASR también son muy útiles para bloquear diversos intentos comunes de ejecutar código malicioso y obtener acceso inicial (por ejemplo, bloquear que los programas de Office creen procesos secundarios, bloquear que JavaScript o VBScript ejecuten contenido ejecutable descargado, etc.). Consulta esta publicación del equipo de seguridad de Palantir en la que comparten su evaluación del impacto de las reglas ASR y la configuración recomendada. Muchas herramientas EDR también ofrecen capacidades de bloqueo y detección similares para proteger LSASS.

Evasión de la defensa

1) Desactivar / desinstalar antivirus y otras herramientas de seguridad: ¿por qué molestarse en esquivar las herramientas de seguridad cuando simplemente puedes apagarlas?

• Cómo detectar la manipulación del antivirus: consulta este script de Kelvin Tegelaar os script from Kelvin Tegelaar, si cuentas con uno, aprovecha tu RMM para generar alertas periódicas sobre si las herramientas de seguridad están instaladas y/o en ejecución.

Descubrimiento

1) Uso inesperado de herramientas de escaneo de puertos y descubrimiento de redes: una vez que se ha establecido un punto de apoyo inicial, los atacantes necesitan examinar el entorno para ver dónde han aterrizado e identificar las mejores oportunidades para el movimiento lateral. Muchos aprovecharán las utilidades incorporadas de Windows como nltest.exe, ipconfig, whoami, etc., así como ADFind. Otros utilizarán herramientas de escaneo de puertos como Advanced IP Scanner.

• Cómo detectar escáneres de puertos y herramientas de reconocimiento sospechosas: al igual que con las herramientas de acceso remoto, puedes probar a supervisarlas y crear alertas y reglas de automatización para bloquearlas de forma proactiva.

Movimiento lateral

1) Uso sospechoso de Cobalt Strike: Cobalt Strike es un «software de simulación de adversarios» que, por desgracia, se ha hecho tan popular entre los atacantes como entre su público objetivo, los testers de penetración. Hace que una amplia gama de tácticas post-explotación sean increíblemente fáciles de ejecutar, y rutinariamente aparece como una herramienta abusada en incidentes de ransomware.

• Cómo detectar Cobalt Strike: muchas herramientas EDR e investigadores de seguridad tienen la vista puesta en la detección del uso de Cobalt Strike. Aquí tienes una fantástica colección de recursos para ayudarte a hacer lo mismo.

2) Software de acceso remoto inesperado: mira la sección de acceso remoto en «Persistencia» más arriba.

3) Conexiones de acceso remoto sospechosas: podría incluir el uso de RDP, SMB, VNC y más.

• Cómo detectar conexiones de acceso remoto sospechosas: consulta esta lista de ideas de supervisión de MITRE (por ejemplo: creación de conexiones de red, acceso a recursos compartidos de red, etc.) y profundiza en las subtécnicas para obtener información específica sobre el uso indebido de RDP, SMB, VNC, SSH, etc.

4) Uso sospechoso de PsExec: PsExec es otra herramienta incorporada de Microsoft de la que los atacantes han abusado. Permite ejecutar remotamente comandos o scripts como SYSTEM.

• Cómo detectar el abuso de PsExec: nuestro amigo Kelvin también tiene un script para esto (faltaría menos). También puedes encontrar más IDs de eventos de Windows y cambios en el registro para monitorear aquí.

Exfiltración de datos

1) Conexiones salientes sospechosas y picos de tráfico: con el fin de ganar más ventaja sobre las víctimas, es cada vez más común que los atacantes no solo cifren los datos, sino que los exfiltren primero. Eso les da la amenaza adicional de vender los datos o publicarlos en directo.

• Cómo detectar la exfiltración de datos: los indicadores de una posible exfiltración de datos pueden incluir grandes picos de tráfico saliente, conexiones inesperadas a direcciones IP públicas, puertos utilizados de forma poco común, altos volúmenes de consultas DNS, extensiones de archivos de origen sospechosas (.rar, .7z, .zip, etc.) y más. La supervisión de la red y las reglas del firewall pueden resultar muy útiles aquí. Para más ideas, consulta la sección «Exfiltración» de MITRE ATT&CK.

2) Abuso de herramientas de transferencia de archivos integradas y de código abierto: a los atacantes les encanta utilizar herramientas legítimas que les ayuden a pasar desapercibidos. Para la exfiltración de datos, esto incluye Microsoft BITS, curl.exe, Rclone, Mega (MegaSync y MegaCmd) y más.

• Cómo detectar el uso sospechoso de la transferencia de archivos: aunque los atacantes pueden tomarse la molestia de cambiar el nombre de estos programas, algunos simplemente no lo hacen, por lo que bloquear y/o supervisar y alertar sobre su uso es un buen punto de partida. Para más ideas de detección avanzada/granular, consulta los siguientes recursos: detección de Rclone, detección de Mega y Rclone, y MITRE ATT&CK ID T1197.

Añade una capa de detección de ransomware que sea manejable y escalable

Supervisar y alertar activamente sobre este tipo de actividades puede ser un reto para las organizaciones que no cuentan con un recurso especializado y capacitado. En muchos casos, colaborar con los expertos adecuados puede ser el camino a seguir.

Para ver más ejemplos de automatizaciones que los equipos de TI pueden aprovechar con NinjaOne, consulta «¿Qué deberías supervisar con tu RMM? 28 recomendaciones».

NinjaOne también colabora con Bitdefender para ofrecer una solución antiransomware integrada como parte de su plataforma de gestión unificada de TI (UITO). Al incluir NinjaOne + Bitdefender GravityZone + NinjaOne Data Protection, el paquete NinjaOne Protect ayuda a prevenir, detectar y responder a los ataques de ransomware, mitigando potencialmente el impacto del ransomware en tu negocio .

Apúntate a una prueba gratuita de NinjaOne Protect hoy mismo.