Cada 11 segundos hay un ataque de ransomware. Los malos actores apuntan a las empresas y los sistemas de infraestructura crítica para su próxima oportunidad. En muchos casos, se infiltran en su objetivo y luego esperan para atacar. OpenText™ Managed Detection and Response (MDR) detectó numerosas actividades maliciosas a las pocas horas de la implementación y evitó que los ataques causaran daños financieros y de reputación importantes. Fabian Franco, gerente sénior de DFIR, Threat Hunting y SOC, OpenText, y Kevin Golas, director de Servicios de seguridad cibernética mundial, OpenText comparten su experiencia y pensamientos sobre cómo MDR es una parte esencial de un plan de resiliencia cibernética.
P. ¿De qué manera los recientes ataques de ransomware en la cadena de suministro aumentaron la necesidad de servicios de seguridad administrados?
FF: La urgencia siempre estuvo ahí. Sin embargo, la publicidad de los ataques de JBS y Colonial Pipeline mostró cuán vulnerable es la infraestructura a un ataque de ransomware. Ahora que los líderes de seguridad pueden ver lo que un actor de amenazas puede hacer desde el otro lado del mundo para paralizar nuestra cadena de suministro, hay un mayor énfasis en la necesidad de invertir en soluciones de seguridad cibernética. Las empresas ya no pueden simplemente comprar una tecnología, configurarla y olvidarla, y asumir que están completamente protegidas. Es necesario contar con equipos de servicios administrados para encontrar ataques como Solar Winds. Estos equipos de expertos son los que tienen más probabilidades de encontrar las últimas versiones de ransomware moviéndose dentro de los entornos.
Desafortunadamente, mucha gente piensa que estos ataques de ransomware ocurrieron repentinamente, pero la verdad es que los atacantes probablemente ya han estado en el entorno durante un par de meses. Los atacantes se mueven lateralmente, acceden a los datos y utilizan técnicas de persistencia. También pueden estar inyectando malware en las copias de seguridad. Luego, cuando ven un momento oportuno, atacan estos lugares con ransomware al mismo tiempo, lo que dificulta que las autoridades limpien la actividad y realicen una investigación. Los ataques recientes arrojan luz sobre cuán vulnerable es la cadena de suministro y cómo las organizaciones deben invertir tanto en tecnologías de ciberseguridad como en servicios administrados para detectar estas amenazas antes de que puedan causar daños.
P: ¿Qué técnicas y herramientas comunes utilizan los atacantes?
KG: Al final del día, el ransomware es lo que más afecta a las empresas y es la forma más fácil de entrar para los atacantes. No importa qué herramientas usen, pero Colbalt Strike parece ser una de las más fáciles de usar. Cuando llega a manos de personas que saben lo que están haciendo, es extremadamente peligroso.
FF: cada malware tiene su herramienta en el cofre de herramientas, y Cobalt Strike suele ser el descargador secundario. Cuando una máquina está infectada, los atacantes no arrojarán inmediatamente Cobalt Strike en ella porque quieren asegurarse de que esté conectada a un dominio y que haya algo interesante en ella. Si, por ejemplo, fuera la computadora de mi casa, la mayoría de las veces el actor de amenazas no perderá su tiempo en esto. Ahora, si fue un empleado el que hizo clic en el correo electrónico de phishing en su máquina de trabajo, entonces tiene un dominio allí. Eso se vuelve mucho más atractivo e interesante para los actores de amenazas. Luego, pueden enviarles un correo electrónico de phishing que tiene una macro maliciosa o un enlace malicioso, por ejemplo, un malware IcedID que se ejecuta en su entorno. Una vez que puedan confirmar que es un dominio, saldrán e implementarán Cobalt Strike en la máquina. Cobalt Strike suele ser una pieza secundaria de malware que se implementa y no está vinculada a una sola campaña.
P¿Se están volviendo más sofisticados los atacantes?
FF: Cuando recordamos el ataque de Cassia como ejemplo, la primera vez que los atacantes ingresaron fue durante el horario comercial habitual, cuando la actividad estaba en su punto máximo. Por lo general, los actores de amenazas enviarán correos electrónicos de phishing durante los momentos más ocupados cuando los trabajadores reciben muchos correos electrónicos y es más probable que hagan clic accidentalmente en un enlace o abran un archivo adjunto. Una vez que un atacante está dentro y persiste en el entorno, esperará para implementar el ransomware durante las horas de menor actividad cuando las organizaciones tienen personal limitado para monitorear las alertas. Por ejemplo, llamando la atención cuando la gente se dirige a un fin de semana de tres días. La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han observado un aumento en los ataques de ransomware de gran impacto que ocurren en días festivos y fines de semana, cuando las oficinas normalmente están cerradas. Los atacantes suelen estar en el entorno y se pasan por alto las señales críticas. Si las empresas no tienen un proveedor de servicios de seguridad administrados, es cuando necesitan un especialista para investigar.
P¿Ha encontrado el equipo amenazas recién descubiertas y previamente desconocidas?
KG: Con uno de nuestros clientes, poco después de que nos agregaron a su red, identificamos una nueva baliza C2 que estaba usando Cobalt Strike, que no se informó anteriormente. OpenText fue el primero en identificarlo y publicarlo públicamente para concienciar a la gente y conocer ese canal de comando y control de Cobalt Strikes. Podemos descubrir amenazas a los pocos minutos de habernos implementado en un sistema. Tan pronto como nuestras fuentes de registro y telemetría se incorporan a la plataforma, en cuestión de minutos podemos ver lo que está sucediendo. Podemos hacer esto porque ya tenemos configurados nuestros TTP. Luego, podemos personalizarlos aún más según los requisitos y la industria de nuestros clientes.
En un escenario, tan pronto como subimos a la caja, nos dimos cuenta de que 412 direcciones IP venían de Rusia y atacaban desde un RDP que estaba abierto a Internet. Podemos ver cómo se mueve el atacante y cómo infecta otras máquinas y se mueve lateralmente. Luego, el cliente quería implementar agentes adicionales para tener aún más visibilidad. OpenText MDR pudo ver cómo los atacantes estaban afectando a las otras redes y, en cuestión de minutos, pudo comenzar a mitigar los riesgos, reducir los daños potenciales y agregar valor.
P: ¿Cómo aprovecha la inteligencia compartida?
FF: Cuantos más clientes administre un servicio MDR, mejor perspectiva tendrán los equipos en los entornos de sus clientes. Cuantos más datos tengamos, mejores soluciones podremos proporcionar a nuestros clientes y más conjuntos de datos podremos analizar y realizar una búsqueda de amenazas. Vemos tendencias en nuestros clientes MSP y en verticales como la atención médica. Cuando vemos que algo sucede en uno de nuestros entornos, revisamos todos los datos de nuestro cliente para asegurarnos de que no exista en otro lugar. OpenText MDR identificará tácticas, técnicas y procedimientos (TTP) relacionados con un nuevo malware que se dirige a un entorno en particular y luego escribirá ese TTP y lo aplicará a nuestros clientes y les notificará en tiempo real. Integramos completamente OpenText BrightCloud® Threat Intelligence en nuestra plataforma MDR. La integración en SIEM proporciona valiosa información de loopback. A medida que identificamos una nueva pieza de malware, notificamos a los clientes para que mejoren su información sobre amenazas.
Para obtener más información sobre OpenText MDR, visite: Detección y respuesta administradas: seguridad de OpenText
