Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo proteger las redes Windows de un ataque rasomware

[12/07/2020] El servicio de atención al cliente y los servicios financieros de Honda fueron aparentemente golpeados por un ataque de rescate recientemente. Kaspersky encontró muestras en la base de datos de VirusTotal que hacen parecer que la compañía fue blanco del rescate de Snake. Este incidente me hizo pensar en lo que podemos aprender de la forma en que Honda fue atacada para proteger mejor las redes de Windows de los ataques de rescate.

Kaspersky indicó que el malware fue lanzado usando un archivo llamado nmon.bat. Llamar a un archivo malicioso con la extensión .bat significa que las herramientas de alerta verían que se utilizó un archivo programable o por lotes en la red. En muchos entornos este sería un archivo permitido.

Los atacantes utilizaron un archivo llamado KB3020369.exe en el ataque. Esto es interesante ya que la Base de Conocimientos de Microsoft número 3020369 es para un parche de la pila de servicio de Windows 7. Sin embargo, el nombre de archivo del parche real no es KB3020369.exe, sino Windows6.1-KB3020369-x64.msu. Los atacantes nombraron los archivos maliciosos en un patrón para "esconderse a plena vista" de los profesionales de la tecnología.

El programa de rescate Snake elimina las copias de sombra de volumen de los sistemas infectados y luego mata los procesos, incluidos los relacionados con las máquinas virtuales, los sistemas de control industrial, las herramientas de gestión remota y el software de gestión de redes. La secuencia de ataque se construyó para resolver dominios dentro del dominio de Honda, como señalaron investigadores en un análisis del ataque. Esto indica que los atacantes apuntaron a la red de Honda.

Los atacantes van detrás de los puntos débiles: las personas. Luego se esconden en las redes hasta que están listos para saltar sobre nosotros, a veces durante meses. Eso no incluye el tiempo que los atacantes tardan en hacer un reconocimiento de la infraestructura de la red.

Usando el software de rescate de Honda como guía, aquí está cómo puede proteger mejor las redes de Windows:

Tenga cuidado con las herramientas, scripts y configuraciones de políticas de grupo no autorizadas

Kaspersky sugiere que una tarea programada fue usada para lanzar algunos de los ataques. Puede vigilar las actividades no autorizadas como ésta en sus registros de eventos. Siga estos pasos para revisar el registro de eventos nativo de Windows:

  • Ejecute eventvwr.msc.
  • Vaya a "Registros de Windows".
  • Haga clic con el botón derecho del mouse en "Registros de seguridad" y luego en "Propiedades".
  • Asegúrese de que "Habilitar registro" esté seleccionado.
  • Aumente el tamaño del registro a por lo menos 1 GB.
  • Busque el evento 4698 event ID para encontrar la última tarea programada.

Como se ha señalado en un blog de Netwrix, puede configurar una tarea de PowerShell para enviar una notificación por correo electrónico cuando se cree y ejecute una nueva tarea programada. Es posible que necesite un servicio SMTP de terceros, como smtp2go.com, para configurar las alertas. Puede utilizar otros métodos para configurar las notificaciones o ver si su software de auditoría proporciona tal servicio incorporado.

Identificar a los empleados de alto riesgo para los ataques de phishing dirigidos

Un correo electrónico personalizado, agradable y jugoso para un usuario clave -especialmente un administrador de dominio- puede proporcionar a un atacante una forma de entrar en una red. Más trabajo desde casa significa un mayor uso de la tecnología de acceso remoto. Las credenciales en lugar de las vulnerabilidades en el sistema operativo son el fruto de la baja del 2020.

Revise las licencias y herramientas que proporciona a los empleados clave. Puede mezclar y combinar las licencias de Microsoft 365 dentro de su empresa para que no todos tengan que usar la misma licencia o el mismo nivel de protección. Revise la necesidad de las licencias de Microsoft 365 E5 que incluyen Protección avanzada contra amenazas (ATP, por sus siglas en inglés). Este servicio recientemente incluyó el detector de malware UEFI en máquinas con ATP habilitada. Como Microsoft señaló recientemente, "El nuevo detector UEFI lee el sistema de archivos de firmware en tiempo de ejecución interactuando con el chipset de la placa madre". La ATP del Microsoft Defender también proporciona al administrador una lista de acciones a tomar:

Acciones que debe realizar la ATP del Microsoft Defender.
Rasomware

Revisar el dominio de la Política de grupo y las carpetas de scripts para archivos maliciosos

Los ataques suelen lanzarse desde los mismos lugares que los administradores utilizan para gestionar la red. Tómese el tiempo necesario para validar los archivos que guarda y las ubicaciones de los scripts. Revise si se han añadido nuevos archivos a las carpetas utilizadas para la administración. Revise los permisos adecuados de las carpetas para asegurarse de que solo los usuarios autorizados puedan agregar o ajustar estos scripts de administración.

Utilice la autenticación multifactorial para las cuentas privilegiadas

Lo más importante es asegurarse de que los administradores de los dominios tengan activada la autenticación multifactorial (MFA) siempre que sea necesario el acceso remoto. También habilitar MFA para las cuentas de Microsoft 365. Revise qué cuentas se utilizan en su red y dónde las utiliza.

Revise sus estrategias de copia de seguridad.

Disponer de una buena copia de seguridad de la que pueda recuperarse ayuda a garantizar que puede responder al rasomware sin pagar el rescate. Realice copias de seguridad automáticas con regularidad y asegúrese de que estén protegidas. La cuenta de usuario que realiza el proceso de copia de seguridad no debería ser la misma que la del usuario que inicia sesión. Por último, tenga un proceso de copia de seguridad fuera de línea en su rotación para que los medios se retiren fuera del sitio o fuera de línea, evitando que los atacantes eliminen los archivos de copia de seguridad. No puedo enfatizar esto lo suficiente: Tener una copia de seguridad es muy importante para la recuperación de un ataque rasomware.