Detener el ransomware y el movimiento lateral con segmentación

Por: Amit Serper

Si hay algo que todos aprendimos durante la última década es que los ataques de ransomware no cualquier cosa, y que están aquí para quedarse.

Si bien los ataques de ransomware comenzaron como ataques no dirigidos específicamente a una persona u organización, hoy en día se ha convertido en un negocio lucrativo que requiere planificación, gestión de ingresos y conocimientos prácticos sobre piratería informática.

¿Cómo empezó el ransomware?

Si miramos hacia atrás a hace unos años, la mayoría de los ataques de ransomware utilizaban publicidad maliciosa como vector de penetración inicial dirigido a prácticamente cualquier persona que cargara estos anuncios maliciosos, ya sea ‘Bob de contabilidad’ en una gran corporación o la abuela de alguien que intenta leer sus correos electrónicos. El ransomware realmente no distinguía entre a quién se dirigía: se dirigía a todos y si estas víctimas pagaban, genial, y si no lo hacían, estaba bien porque había muchos otros peces en el mar.

Sin embargo, todo esto cambió en 2012 con Shamoon, un ciberataque iraní dirigido contra la corporación Saudi Aramco. Shamoon permitió a los atacantes exfiltrar grandes cantidades de información de Aramco y una vez que se realizó la exfiltración, los atacantes usaron Shamoon para sobrescribir el Master Boot Record en las máquinas atacadas, inutilizándolas hasta que se reinstalaran. Esto provocó una cantidad considerable de tiempo de inactividad para la empresa.

¿Cómo evolucionó el ransomware?

En 2017  WannaCry y NotPetya, dos devastadores ataques de ransomware, causaron estragos en grandes corporaciones y entidades gubernamentales; los más notables fueron el NHS británico y el conglomerado de envíos MAERSK, ambos completamente desconectados por WannaCry y NotPetya respectivamente. Lo que distingue a  estos ataques, además de mostrar cuán frágil es Internet, fue que estos ataques utilizaron vulnerabilidades de día 0 para moverse lateralmente entre computadoras en la red de una manera virulenta, infectando y haciendo que todas las máquinas que encontraran se tornaran completamente inútiles. Se escribió mucho sobre NotPetya y WannaCry, pero hoy sabemos que los motivos detrás de estos ataques estaban relacionados con los ciberataques iniciados por un adversario de un estado-nación.

Estos ataques de ransomware comenzaron a ser utilizados por grupos de crimeware, que hasta ese momento se centraban principalmente en usar malware como Zeus (y todas sus variantes) para vulnerar las cuentas bancarias de las personas y desviar dinero. A menudo, esta era una operación larga, complicada y arriesgada, especialmente cuando se trataba de recibir el dinero. Hasta ese momento, la creencia predominante era simplemente que podría ser más fácil apuntar solo a las grandes corporaciones y chantajearlas para que envíaran grandes cantidades de dinero en bitcoins, lo que convirtió al ransomware en una amenaza corporativa que debería preocupar a los CISOs, pero no necesariamente a ciudadanos privados desprevenidos. .

Y hacia el 2020, mientras la pandemia de COVID-19 continúa en todo el mundo y la mayoría de las personas se ven obligadas a trabajar desde casa, cambiando completamente los modelos de amenazas, los factores de riesgo y las arquitecturas de red en muy poco tiempo, el mundo comenzó a ver que los operadores de ataques de ransomware cambiaban su modus operandi. Ahora estaban apuntando a las grandes empresas mediante la realización de un ataque de doble extorsión, donde los atacantes no solo vulneran a la organización, cifran los archivos y los mantienen como rehenes, sino que también comenzaron a exfiltrar esos datos preciosos y altamente valiosos de regreso a los atacantes, amenazando con hacer estos datos disponibles públicamente si no se paga el rescate.

Entonces, ¿cómo combatimos la amenaza del ransomware?

Esta nueva era de ataques de ransomware arroja luz sobre un problema que hace tiempo se debe resolver: el movimiento lateral.

Para que los atacantes puedan exfiltrar todos esos datos, tienen que saber dónde está en la red, y para saber eso, tienen que mapear la red y conocerla tan bien o mejor que la gente que originalmente la construyó. Esto requiere que los atacantes «se muevan lateralmente» de una máquina / servidor a otra, a menudo usando diferentes credenciales robándolas de varias máquinas a través de la red.

Muchos proveedores de seguridad intentaron resolver este problema y algunos lo lograron más que otros. El mercado de la seguridad ha visto surgir nuevos tipos de productos a lo largo de los años para prevenir este mismo problema, desde soluciones DLP hasta EDR y EPP, todos lo han intentado, pero han tenido un éxito muy parcial en la solución del problema del movimiento lateral.

Resolver el movimiento lateral es difícil: los atacantes están usando las características de una red en contra sí misma.

Utilizarán credenciales de administrador y varias herramientas administrativas legítimas (como el propio Psexec o Escritorio remoto de Microsoft, o incluso WMI) moviéndose de una máquina a otra, ejecutando comandos maliciosos y cargas útiles para robar datos y luego encriptar la red e iniciar la operación de extorsión.  Muchas organizaciones están invirtiendo recursos para tratar de solucionar este problema mediante la supervisión excesiva de varios recursos utilizando productos EDR / EPP que no estaban destinados a ser utilizados para ese propósito, lo que resulta en un éxito parcial de mitigar o incluso reducir el riesgo de un  ataque de ransomware.

Detener el movimiento lateral con segmentación.

Sin embargo, existe una solución y es mucho más simple de implementar de lo que cree: la segmentación de la red. La segmentación es algo que a menudo se olvida o incluso se ignora por completo, ya que se cree que es difícil de implementar y requiere una cuidadosa atención a la ingeniería de redes y la administración de activos. Debido a esto, a menudo se ignora la segmentación de la red, lo que deja las redes “planas”, lo que significa que cada terminal o servidor puede comunicarse entre sí sin ninguna restricción.

Hasta hace poco, segmentar una red significaba colocar diferentes activos en diferentes subredes con un firewall en el medio. Esto no permitió ninguna granularidad, hizo que la administración de la red fuera significativamente más difícil y requirió que los administradores gestionaran configuraciones complejas de firewall junto con la administración de asignaciones de direcciones IP en diferentes subredes, lo que luego hizo que el diseño y escalado de la red fuera mucho más difícil para el personal de TI, mientras las configuraciones incorrectas pueden provocar un riesgo de seguridad o un fallo de la red (y en algunos casos, ¡incluso ambos!). Esto, nuevamente, hizo que el personal de TI no pusiera énfasis en la segmentación y confiara mucho más en los productos de prevención de ejecución, dejando la red completamente plana y sin segmentar.

Orden Ejecutiva  promueve la segmentación para ralentizar el ransomware

En un memorandum reciente de la Casa Blanca de EE. UU. que analiza el crecimiento de los ataques de ransomware, se destacó el tema de la importancia que a menudo se pasa por alto de la segmentación de la red, junto con las precauciones y recomendaciones más tradicionales, como parches, 2FA y productos de seguridad actualizados.

La segmentación de la red ayuda no solo a mitigar el riesgo en algunos casos, sino también a reducir significativamente el riesgo de un ataque de doble extorsión si se implementa correctamente, al contener y minimizar el «radio de explosión» de un ataque de ransomware. Incluso si los firewalls  y los EDR no lograron evitar la ejecución del ransomware, la segmentación adecuada mantendrá ese daño contenido y no permitirá que los atacantes se muevan lateralmente a través de la red, robando más datos y encriptando más máquinas.

La granularidad de segmentar una red con el enfoque de software exclusivo de Guardicore le permite crear «silos de red» entre servidores, aplicaciones, diferentes sistemas operativos, instancias de nube, etc. La fuerza de reducir el riesgo de ransomware mediante el uso de una política de segmentación adecuada proviene de su simplicidad: un bit puede viajar por el cable (o un Vswitch) a una máquina diferente (o una VM / contenedor) o puede bloquearse, haciendo que el intento de los atacantes por  alcanzar más recursos en la red sea  inútil, dando al equipo más tiempo para responder al ataque y actualizar a las partes interesadas clave de la organización para que puedan tomar decisiones informadas sobre el daño de dicho ataque. La segmentación de la red no es una alternativa a un firewall o a una plataforma EDR, es un enfoque complementario que ha demostrado reducir significativamente, o eliminar por completo, el riesgo de ataques basados ​​en movimientos laterales a gran escala en las organizaciones.

Share on twitter
TWEET
Share on linkedin
SHARE

¡Síganos!

Vea a Centra en acción

Guardicore: Gran agilidad. Seguridad más fuerte. Funciona en cualquier lugar.