Destrucción del servicio: cómo han cambiado los ataques de ransomware

Título original: Destruction of service: How ransomware attacks have changed
Fuente: TechTarget
Resumen:

Aunque NotPetya es aparentemente una variante de ransomware, los actores de la amenaza parecían no tener interés en hacer dinero y estaban más preocupados por dañar a las empresas al interrumpir las operaciones.

Introducir software malicioso dentro de la red de una empresa es bastante fácil: un ataque de phishing por correo electrónico generalmente funciona.

Sin embargo, NotPetya también parece haberse propagado comprometiendo a M.E.Doc, un fabricante de software de servicios financieros ucraniano y luego alterando una actualización automática para incluir NotPetya, entregándola a cada cliente.

La gran mayoría del software antivirus y antimalware no pudo detectar el contenido malicioso. A continuación, reinició las máquinas de las víctimas, cifró los datos y luego sobrescribió el registro de inicio maestro con su propio cargador personalizado. Una vez que se completó este proceso, los datos en las máquinas no se pudieron recuperar, a menos que pudieran restaurarse a partir de la copia de seguridad.

Para un pirata informático que se preocupa por destruir datos y causar tanto daño como sea posible, el siguiente paso es darle a las variantes de ransomware la capacidad de propagarse. NotPetya tenía una serie de métodos inteligentes integrados; esencialmente automatiza el proceso que se usa cuando se estan realizando pruebas de penetración de redes corporativas.

Las dos formas más sencillas para que un hacker se mueva por una red informática son explotar vulnerabilidades conocidas o extraer credenciales de administrador de la memoria y usarlas para acceder a cualquier computadora en la red. NotPetya tenía ambas habilidades incorporadas; usó las herramientas de la NSA filtradas EternalBlue y Eternal Romance en computadoras sin parches y también extrajo credenciales de la memoria usando una variante de la herramienta Mimikatz.

Previniendo la destrucción de los ataques al servicio

Defenderse contra los ataques de destrucción avanzada de servicios mejor se logra utilizando un enfoque de capas de defensa en profundidad. Prevenir la infección inicial es difícil, pero una combinación de educación del usuario, para ayudar a protegerse contra los ataques de phishing y un software avanzado de seguridad de punto final puede ayudar.

Evitar la propagación de variantes de ransomware es muy importante. El parcheo regular del software, incluida la capacidad de eludir las restricciones normales del ciclo de parcheo para instalar parches particularmente críticos, es esencial.

Para reducir el riesgo de extracción de credenciales de la memoria, se debe limitar el uso de administradores locales y restringir severamente la cantidad de Administradores del Dominio, así como también las operaciones que pueden realizar.

Asumir que uno puede ser atacado es un punto de vista sensato y por lo tanto, es de vital importancia tener una estrategia de respaldo efectiva y probada que almacene las copias de seguridad por separado de la red principal.

Aunque esta nueva ola de destrucción de ataques al servicio es muy sofisticada, la combinación de los diferentes principios de una sólida estrategia de ciberseguridad, junto con la educación del usuario y las pruebas periódicas de sus defensas, puede reducir el riesgo de un ataque altamente dañino.


Alternativas en Computación tiene el conocimiento y las herramientas para ayudar a su empresa a prevenir y mitigar el riesgo que representa ransomware.

¡Si deseas agendar una cita, por favor déjanos tus datos!

Leave A Comment