Tecnologia
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Cuando en Sophos trabajamos con víctimas de ransomware, hacemos una revisión a las últimas dos semanas previas a la detección del ataque. En ese periodo de tiempo es común encontrar algunos indicadores que nos hacen saber de inmediato en dónde fue vulnerado el sistema afectado.

Cualquiera de los indicadores que enlistamos a continuación son una señal de que los atacantes ya tenían una idea de cómo es la red afectada y cómo podrían obtener las cuentas y los accesos necesarios para lanzar sus ataques.

Actualmente, los atacantes utilizan herramientas de administración legítimas para preparar el escenario para lanzar sus ataques. Estas cinco señales pueden pasar por alto fácilmente o ser difíciles de detectar por el personal de TI de una empresa, pero son indicadores muy claros de que se avecina un ransomware:

1. Escáneres de red, especialmente en un servidor

Los atacantes generalmente comienzan por obtener acceso a una máquina donde buscan información básica; es una Mac o Windows, cuál es el dominio y el nombre de la empresa, qué tipo de derechos de administrador tiene la computadora y más. Luego, los atacantes querrán saber qué más hay en la red y a que pueden acceder. La forma más fácil de determinar esto es escanear la red. Si se detecta un escáner de red, como AngryIP o Advanced Port Scanner, se debe acudir de inmediato al personal de TI para saber si este escáner fue instalado por ellos. Si nadie resulta responsable, es hora de investigar.

2. Herramientas para deshabilitar el software antivirus

Una vez que los atacantes tienen derechos de administrador, a menudo intentarán deshabilitar el software de seguridad utilizando aplicaciones creadas para la eliminación forzada de software, como Process Hacker, IOBit Uninstaller, GMER y PC Hunter. Este tipo de herramientas comerciales son legítimas, pero en las manos equivocadas son muy peligrosas. Si al detectarse que no hay algún software que requiera ser eliminado, entonces el personal de ciberseguridad debe encender las alertas y preguntarse seriamente por qué aparecieron de repente.

3. Presencia de MimiKatz

Primero entendamos qué es MimiKatz: se trata de una aplicación de código abierto que permite robar datos de identificación y credenciales de usuarios de una red para brindar acceso de forma ilegal a los sistemas y explotar vulnerabilidades del mismo. Esta herramienta fue creada para detectar vulnerabilidades en Windows, y es muy usada por atacantes actualmente.

Cualquier detección de esta aplicación debe ser de inmediato investigada. Los atacantes también suelen usan Microsoft Process Explorer, incluido en Windows Sysinternals, que es una herramienta legítima que se infiltra en los equipos creando un archivo en formato .dmp. Una vez dentro, instalan MimiKatz para extraer de forma segura los nombres de usuario y las contraseñas.

4. Patrones de comportamiento sospechoso

El personal de TI debe estar atento a cualquier patrón de comportamiento que ocurra a la misma hora todos los días, o de forma repetitiva, ya que esto es a menudo una indicación de que algo sospechoso sucede, incluso si se han detectado y eliminado archivos maliciosos.

5. Ataques de ‘prueba’

Ocasionalmente, los atacantes implementan pequeños ataques de prueba en algunas computadoras para ver si el método de implementación y el ransomware se ejecuta con éxito, o si el software de seguridad lo detiene. Si las herramientas de seguridad detienen el ataque, cambian sus tácticas e intentan nuevamente. Esto les ayudará a saber qué tan limitado es su tiempo de ataque y que tan fuertes son las medidas de seguridad implementadas en el objetivo. A menudo es cuestión de horas antes de que se lance un ataque mucho más grande, por lo que ante un ataque de este tipo la acción debe ser inmediata.

Las empresas en la actualidad deben estar atentas al ransomware ya que se trata de algo más común de lo que parece. De acuerdo con el estudio El estado del ransomware 2020 de Sophos, el 51% de las organizaciones a nivel global fueron víctimas de este tipo de ‘secuestros de datos’ durante 2019, lo cual representa pérdidas de hasta 1.4 millones de dólares para las empresas.

Fuente: sophosmx.prezly.com  / Por: Peter Mackenzie, Global Malware Escalations Manager de Sophos

Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx

Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.

 

Suscríbase para recibir novedades, regalos y artículos

Su email jamás será compartido con nadie. Odiamos el spam.

Te puede interesar...

Save
Cookies user preferences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accept all
Decline all
Marketing
Set of techniques which have for object the commercial strategy and in particular the market study.
DoubleClick/Google Marketing
Accept
Decline
$family
Accept
Decline
$constructor
Accept
Decline
each
Accept
Decline
clone
Accept
Decline
clean
Accept
Decline
invoke
Accept
Decline
associate
Accept
Decline
link
Accept
Decline
contains
Accept
Decline
append
Accept
Decline
getLast
Accept
Decline
getRandom
Accept
Decline
include
Accept
Decline
combine
Accept
Decline
erase
Accept
Decline
empty
Accept
Decline
flatten
Accept
Decline
pick
Accept
Decline
hexToRgb
Accept
Decline
rgbToHex
Accept
Decline
min
Accept
Decline
max
Accept
Decline
average
Accept
Decline
sum
Accept
Decline
unique
Accept
Decline
shuffle
Accept
Decline
rgbToHsb
Accept
Decline
hsbToRgb
Accept
Decline
Básicas
Accept
Decline
Analytics
Tools used to analyze the data to measure the effectiveness of a website and to understand how it works.
Google Analytics
Accept
Decline
Analíticas
Accept
Decline
Functional
Tools used to give you more features when navigating on the website, this can include social sharing.
AddThis
Accept
Decline
$family
$hidden
Accept
Decline
overloadSetter
Accept
Decline
overloadGetter
Accept
Decline
extend
Accept
Decline
implement
Accept
Decline
hide
Accept
Decline
protect
Accept
Decline
attempt
Accept
Decline
pass
Accept
Decline
delay
Accept
Decline
periodical
Accept
Decline
$constructor
alias
Accept
Decline
mirror
Accept
Decline
pop
Accept
Decline
push
Accept
Decline
reverse
Accept
Decline
shift
Accept
Decline
sort
Accept
Decline
splice
Accept
Decline
unshift
Accept
Decline
concat
Accept
Decline
join
Accept
Decline
slice
Accept
Decline
indexOf
Accept
Decline
lastIndexOf
Accept
Decline
filter
Accept
Decline
forEach
Accept
Decline
every
Accept
Decline
map
Accept
Decline
some
Accept
Decline
reduce
Accept
Decline
reduceRight
Accept
Decline
forEachMethod
Accept
Decline
each
clone
clean
invoke
associate
link
contains
append
getLast
getRandom
include
combine
erase
empty
flatten
pick
hexToRgb
rgbToHex
min
max
average
sum
unique
shuffle
rgbToHsb
hsbToRgb