Introducción Los ciberdelincuentes están buscando formas creativas de mantener su información secuestrada. Sin embargo, si bien el ransomware podría volverse más sofisticado, es importante recordar que aún debe cumplir con las mismas reglas que el malware tradicional. Eso significa que todavía tiene que ser distribuido, y aún tiene que infectar su sistema antes de que el ransomware pueda comenzar a trabajar, lo mejor de todo es que puede evitarse adoptando un enfoque proactivo o preventivo de seguridad. Esta guía contiene diferentes Controles de seguridad seleccionados específicamente para ayudar a proteger a las Pymes. Si requiere algún tipo de información adicional o apoyo para la implementación, comuníquese con el Instituto de Ciberseguridad o visite nuestro sitio web www.iciberseguridad.io.
Tabla de contenido Introducción ...................................................................................................................................... 2 Visión general ................................................................................................................................... 4 ¿Qué es la exfiltración de datos? ................................................................................................... 4 Del ransomware al doxware .......................................................................................................... 5 ¿Cómo funciona la exfiltración? .................................................................................................... 5
Infiltración .................................................................................................................................................. 6 Phishing.................................................................................................................................................. 6 Protocolo de escritorio remoto (RDP) .......................................................................................... 6 MSP y RMM ........................................................................................................................................... 6 Exfiltración ................................................................................................................................................. 7 Tipos de archivo exfiltrado .............................................................................................................. 7 Estrategias de exfiltración ............................................................................................................... 8 Técnicas de mitigación de exfiltración de datos ........................................................................ 9
Métodos de Detección ........................................................................................................................... 9 Filtros de contenido ............................................................................................................................ 9 Marca de agua ..................................................................................................................................... 9 Gestión de información y eventos de seguridad: .................................................................... 9 Métodos de Mitigación ....................................................................................................................... 10 Principio de mínimo privilegio ..................................................................................................... 10 Filtrado de egresos.......................................................................................................................... 10 Aplicación de políticas de seguridad ........................................................................................ 10 Conclusión ....................................................................................................................................... 11
Seguridad en estaciones de trabajo ....................................... ¡Error! Marcador no definido. ¿Qué podemos hacer? .............................................................. ¡Error! Marcador no definido. ¿Qué herramientas podemos utilizar? ............................... ¡Error! Marcador no definido.
Visión general Esta guía de seguridad está enfocada en detectar y mitigar una amenaza que se está volviendo tendencia entre las nuevas infecciones de Ransomware, la exfiltración de datos. Es probable que conozcas la palabra "infiltración", que significa entrar u obtener acceso a algo. La exfiltración es retirar algo de algún lugar, generalmente de forma secreta. Por ende, la "Exfiltración de datos" significa mover sus datos fuera de la red de su organización, Dentro de este documento podrá encontrar un conjunto integral de mejores prácticas de ciberseguridad desarrolladas por expertos en TI que abordan esta amenaza con tendencia creciente. Existen 4 categorías de Ransomware, sobre la cuál en este documento sólo abordaremos y brindaremos nuestra atención en uno, el Doxware o Ransomware de exfiltración de datos. Esas categorías de ransomware son:
Bloqueo de dispositivos Cifrado de archivo Eliminación de archivos Exfiltración de datos
¿Qué es la exfiltración de datos? La exfiltración de datos es la última etapa en un ataque (generalmente) dirigido a una organización. Si bien hay muchos documentos y herramientas excelentes disponibles para diversas técnicas, este es nuestro intento de reunir todo esto. La exfiltración de datos es el término utilizado para describir la transferencia no autorizada de datos desde una computadora.
Del ransomware al doxware Los ataques de Ransomware de cifrado de información, actualmente tienen un gran defecto, si la información se ve comprometida por un ransomware de cifrado, las víctimas potenciales pueden, si cuentan con las medidas de prevención necesarias (puedes tomar como referencia nuestra guía de ciberseguridad para pequeñas y medianas empresas) recuperar su información cifrada a través de copias de seguridad.
Pero a diferencia de este tipo de ataque, el Doxware nos dice, "Hemos hecho una copia de toda la información crítica o privada de tu empresa, y vamos a publicarla en línea, a menos que nos pagues el rescate”. Por desgracia, para esta categoría de Ransomware, la respuesta no es una opción viable, la prevención es tu mejor respuesta.
¿Cómo funciona la exfiltración? Las amenazas persistentes avanzadas (APT) son una forma de ataque cibernético en el que la exfiltración de datos es a menudo un objetivo principal. El objetivo de un APT es obtener acceso a una red, pero permanecer sin ser detectado ya que busca sigilosamente los datos más valiosos, una vez dentro en la red, los atacantes hacen uso de herramientas de monitoreo para identificar la información objetivo. Una vez que se descubren los datos y activos deseados, se utilizan técnicas de exfiltración de datos para transferir los datos fuera de la organización.
Para extraer datos, los atacantes primero necesitan obtener acceso a la red objetivo, mismo que lo hacen a través de las siguientes formas:
Infiltración Algunos de los vectores de ataque más comunes incluyen: Phishing los atacantes envían correos electrónicos cuidadosamente elaborados a una organización o persona específica o personas dentro de una organización. Los atacantes pueden pretender ser alguien que se considera «por encima de toda sospecha», por ejemplo, el jefe del destinatario, un cliente importante o un socio de gran prestigio.
Protocolo de escritorio remoto (RDP) desarrollado por Microsoft, RDP es un protocolo de comunicaciones que permite a los usuarios acceder y administrar una computadora de forma remota a través de una conexión de red. Los atacantes utilizan herramientas de escaneo ampliamente accesibles para escanear Internet en busca de máquinas con rangos de puertos IP y TCP que usan los servidores RDP (generalmente el puerto 3389). Después de identificar un equipo expuesto, los atacantes intentan obtener acceso a la máquina utilizando herramientas de fuerza bruta, que intentan iniciar sesión automáticamente una y otra vez utilizando millones de combinaciones de caracteres para adivinar las credenciales de inicio de sesión de la máquina. Una vez que la herramienta descifra las credenciales de inicio de sesión, los atacantes pueden hacer cualquier cosa dentro de los límites de privilegios de la cuenta pirateada.
MSP y RMM los atacantes suelen apuntar al software de administración y monitoreo remoto utilizado por los proveedores de servicios administrados. Con un solo ataque exitoso a un MSP, los atacantes pueden obtener acceso a toda la base de clientes del MSP, lo que ejerce una enorme presión sobre la víctima para que pague el rescate. Véase el caso de Percsoft / DDS Safe. Infección ocasionada por un proveedor de servicio.
Exfiltración Tipos de archivo exfiltrado Una vez que el malware ha ingresado a la red y ha logrado encontrar la información que buscaba, es momento de recolectarla, almacenarla y prepararla para ser sacada de la organización. Tanto el doxware como los criminales, utilizan diversos métodos y uso de ciertos tipos de archivos con la finalidad de filtrar o sacar la información sin ser detectados, inclusive para evadir las soluciones de seguridad DLP (Data Loss Prevention), entre los cuales, algunos de esos archivos utilizados se encuentran:
Zip protegido con contraseña. Zip’s anidados (muchos sistemas dejarán de escanear después de 10-100 archivos anidados para evitar que el ordenador deje de responder). 7zip RAR CAB Tar (+/- gzip) Imagen WIM
Estrategias de exfiltración Una vez que un atacante se ha afianzado en una red, y ha recopilado la información necesaria, la extracción de datos es un proceso relativamente sencillo. Las estrategias de exfiltración pueden variar significativamente en términos de alcance. Los atacantes pueden robar archivos indiscriminadamente y procesar los datos más tarde; alternativamente, la exfiltración puede ser un proceso cuidadoso y selectivo en el que los atacantes extraen solo archivos de alto valor.
El enfoque sutil Dependiendo de la naturaleza del ataque, los actores de la amenaza pueden intentar evitar la detección de sistemas de monitoreo de red al ofuscar los datos que están robando. Dado que muchos sistemas de prevención de pérdida de datos dependen de mecanismos simples de coincidencia de patrones para detectar la exfiltración, incluso las técnicas de cifrado simples pueden ser suficientes para escapar de la detección. Los canales comunes de exfiltración encubierta incluyen SSL/TLS, así como la tunelización de protocolos y la esteganografía.
El enfoque rápido y furioso Alternativamente, los atacantes pueden favorecer la velocidad sobre la sutileza y usar canales de gran ancho de banda para robar archivos lo más rápido posible. FTP, HTTP y HTTPS son los canales de exfiltración más utilizados, ya que el tráfico filtrado a través de estas conexiones a menudo es difícil de distinguir del tráfico legítimo. Con menos frecuencia, se pueden usar aplicaciones de correo electrónico y mensajería instantánea. Estos canales se monitorean fácilmente, pero también tienden a estar menos restringidos que otras conexiones porque se usan con tanta frecuencia para actividades comerciales legítimas.
Técnicas de mitigación de exfiltración de datos Dadas las necesidades extremadamente diversas de las organizaciones y la amplia gama de métodos técnicos utilizados para filtrar datos, es imposible proporcionar una lista de verificación definitiva para proteger la red de una empresa.
Métodos de Detección Filtros de contenido Cuanto más rápido pueda detectar una organización una posible exfiltración, más posibilidades tiene de interrumpir el ataque. Las organizaciones deben implementar filtros de contenido para el tráfico saliente en canales de filtración conocidos, como correo electrónico, HTTP y FTP. Ciertos filtros se pueden configurar para controlar la transferencia de datos confidenciales en función de patrones de datos personalizables. Cuando los datos que se ajustan al patrón de datos se transfieren desde la red, el filtro marca el evento y notifica a un administrador. Algunos filtros se pueden configurar para interrumpir automáticamente la transferencia. Los filtros de contenido se pueden eludir al ofuscar los datos transferidos para que no coincidan con ningún patrón conocido.
Marca de agua la marca de agua es una herramienta infrautilizada que puede ser útil para detectar la exfiltración e identificar posibles debilidades de la infraestructura. Una marca de agua digital es un marcador que está incrustado de forma encubierta en un archivo. El marcador contiene una firma que puede notificar a un producto de inspección profunda de paquetes en tiempo real cuando el archivo se extrae. Las marcas de agua persisten incluso si el archivo se ha copiado y pegado, y son particularmente útiles para identificar fugas internas en la cadena de manejo de datos de una organización.
Gestión de información y eventos de seguridad: El software de gestión de información y eventos de seguridad (SEIM) puede ser muy útil para recopilar datos de eventos generados por la infraestructura de seguridad de una organización y cotejarlos en una plataforma centralizada. Combina resultados de múltiples fuentes y proporciona a los equipos de TI una visión holística de la red.
Métodos de Mitigación Definir respuestas: muchos de los sistemas de detección de exfiltración mencionados en la sección anterior son capaces no solo de identificar actividades sospechosas sino también de responder a ellas. Dependiendo de la situación, las respuestas pueden ser mucho más sofisticadas que simplemente permitir o denegar el acceso. Por ejemplo, un sistema de detección de intrusos (IDS) activado podría reemplazar la transferencia de datos solicitada con datos señuelo, protegiendo los archivos reales y brindando a los administradores la oportunidad de recopilar información sobre la amenaza.
Principio de mínimo privilegio Toda organización debe hacer cumplir el principio de privilegio mínimo, que estipula que cada usuario y aplicación debe tener solo los privilegios mínimos necesarios para realizar su función. Minimizar los privilegios reduce el volumen y el valor de los datos que potencialmente pueden ser robados si se compromete un punto final. Forrester Research estima que el 80% de las violaciones de seguridad involucran credenciales privilegiadas.
Filtrado de egresos Si bien muchas organizaciones están preocupadas por los ataques externos en el perímetro de su red, relativamente pocas se centran en los datos que salen de su red. El filtrado de egreso puede ser una forma efectiva de restringir el tráfico saliente. Con el filtrado de salida, una conexión de salida debe cumplir con ciertas políticas establecidas por el administrador antes de que se permita. Las organizaciones conscientes de la seguridad pueden querer implementar una política de denegación predeterminada, que bloquea todo el tráfico saliente (incluidos el correo electrónico, los navegadores web, la mensajería instantánea y más) a menos que lo permita la política. La implementación de una política de denegación predeterminada puede requerir mucho trabajo y mucho tiempo, ya que hay muchos tipos de tráfico saliente que una empresa necesita para funcionar, cada uno de los cuales requiere su propia política de filtro de salida.
Aplicación de políticas de seguridad las políticas de seguridad estrictas no tienen sentido si no se observan y se aplican. La aplicación manual no es factible o efectiva, por lo que las organizaciones deben invertir en un software de aplicación de políticas que garantice que los usuarios se adhieran a las políticas de seguridad. Muchas soluciones permiten a las organizaciones definir una política de seguridad, verificar el cumplimiento y, en algunos escenarios, resolver problemas automáticamente.
Conclusión A medida que las pandillas de ransomware buscan obtener una mayor influencia sobre sus víctimas, es probable que veamos más eventos de exfiltración en las próximas semanas y meses. Las estrategias de exfiltración son variadas y diversas; para las organizaciones, esto significa que no existe una solución única para prevenir el robo de datos. Identificar actividades sospechosas en canales abiertos y encubiertos, definir y hacer cumplir políticas de seguridad e invertir en sistemas que puedan responder de manera inteligente a las amenazas detectadas puede ser útil para reducir el riesgo de filtración de datos.
Si requiere algún tipo de información adicional o apoyo para la implementación, comuníquese con el Instituto de Ciberseguridad o visite nuestro sitio web www.iciberseguridad.io.