Home Concientización Microsoft publica una guía para bloquear los ataques de ransomware

Microsoft publica una guía para bloquear los ataques de ransomware

Microsoft advirtió de las continuas campañas de rescate operadas por humanos dirigidas a organizaciones de salud y servicios críticos, y compartió consejos sobre cómo bloquear nuevas brechas mediante la aplicación de parches a los sistemas vulnerables de Internet.

Muchos de estos ataques comienzan cuando los operadores humanos explotan primero las vulnerabilidades encontradas en los dispositivos de red con conexión a Internet o forzando brutalmente los servidores RDP y luego despliegan las cargas de rescate.

Por ejemplo, los dispositivos VPN Pulse han sido objeto de amenazas en el pasado, y se cree que uno de esos dispositivos vulnerables está detrás del ataque Travelex con rescate por parte de Sodinokibi (REvil).

Otras bandas de rescates como DoppelPaymer y Ragnarok Ransomware también explotaron la vulnerabilidad de Citrix ADC (NetScaler) CVE-2019-1978 para hacerse con el control de las redes de sus víctimas.

Como detalla Microsoft, la etapa final de despliegue del software de rescate y de cifrado de los sistemas suele ir precedida de una etapa de reconocimiento en la que los atacantes roban datos que luego pueden utilizar para el chantaje, así como cosechan credenciales y se desplazan lateralmente por las redes de sus víctimas.

Para evitar que todo esto suceda, Microsoft aconseja a las posibles víctimas que eviten que los actores de las amenazas que están detrás de las campañas de rescate puedan explotar las debilidades de las que suelen abusar para lanzar sus ataques.

“La aplicación de parches de seguridad para los sistemas de cara a Internet es fundamental para prevenir estos ataques”, explica el Equipo de Inteligencia de Protección de Amenazas de Microsoft.

A partir de los datos adquiridos por Microsoft tras los recientes ataques de rescate, los agentes maliciosos suelen aprovechar estas brechas de seguridad:

– Protocolo de Escritorio Remoto (RDP) o puntos finales de Escritorio Virtual sin autenticación de factores múltiples (MFA)
– Plataformas más antiguas que han llegado al final del soporte y que ya no reciben actualizaciones de seguridad, como Windows Server 2003 y Windows Server 2008, exacerbadas por el uso de contraseñas débiles
– Servidores web mal configurados, incluyendo IIS, software de registro electrónico de salud (EHR), servidores de respaldo o servidores de administración de sistemas
– Sistemas de control de entrega de aplicaciones Citrix (ADC) afectados por CVE-2019-19781
– Sistemas de VPN con seguridad de pulso afectados por CVE-2019-11510
Aunque Microsoft no ha observado ningún ataque reciente que explote las vulnerabilidades de CVE-2019-0604 (Microsoft SharePoint), CVE-2020-0688 (Microsoft Exchange), CVE-2020-10189 (Zoho ManageEngine), basadas en señales históricas que eventualmente serán explotadas para obtener acceso dentro de las redes de las víctimas, por lo que también vale la pena revisarlas y parchearlas.

Las organizaciones también deben buscar señales de un ataque activo de rescate dentro de sus entornos, como herramientas que ayuden a que los ataques se mezclen con las actividades del equipo rojo (por ejemplo, Malicious PowerShell, Cobalt Strike y otras herramientas de prueba de penetración), actividades de robo de credenciales o manipulación de los registros de seguridad.

Una vez detectadas esas señales, los equipos de operaciones de seguridad de los orgs deben adoptar inmediatamente las siguientes medidas para evaluar el impacto en la seguridad y evitar que se desplieguen las cargas útiles:

– Investigar los puntos finales y las credenciales afectados
– Aislar los puntos finales comprometidos
– Inspeccionar y reconstruir dispositivos con infecciones de malware relacionadas

Otra medida importante para defenderse de los ataques con programas de rescate es abordar las debilidades de la Internet buscando e identificando los sistemas de perímetro que los atacantes podrían haber utilizado como trampolín para acceder a sus redes.

Con información de: Bleeping Computer.