Enfoque de ransomware de Microsoft DART y procedimientos recomendados

Ransomware operado por humanos no es un problema de software malintencionado, es un problema criminal humano. Las soluciones que se usan para abordar problemas de productos básicos no son suficientes para evitar una amenaza que se parezca más a un actor de amenazas de estado nacional que:

• Deshabilita o desinstala el software antivirus antes de cifrar archivos
• Deshabilita los servicios de seguridad y el registro para evitar la detección
• Busca y daña o elimina copias de seguridad antes de enviar una demanda de rescate

Estas acciones se realizan normalmente con programas legítimos que es posible que ya tenga en su entorno con fines administrativos. En manos criminales, estas herramientas se usan malintencionadamente para llevar a cabo ataques.

Responder a la creciente amenaza de ransomware requiere una combinación de la configuración empresarial moderna, productos de seguridad actualizados, y la vigilancia del personal de seguridad entrenado para detectar y responder a las amenazas antes de que se pierdan los datos.

El equipo de detección y respuesta de Microsoft (DART) responde a los riesgos de seguridad para ayudar a los clientes a ser ciberresistentes. DART proporciona respuesta a incidentes reactivos in situ y investigaciones proactivas remotas. DART usa las asociaciones estratégicas de Microsoft con organizaciones de seguridad de todo el mundo y grupos internos de productos de Microsoft para proporcionar la investigación más completa y exhaustiva posible.

En este artículo se describe cómo DART controla los ataques de ransomware para los clientes de Microsoft para que pueda considerar la posibilidad de aplicar elementos de su enfoque y procedimientos recomendados para su propio cuaderno de estrategias de operaciones de seguridad.

Consulte estas secciones para conocer los detalles:

• Cómo DART usa los servicios de seguridad de Microsoft
• El enfoque DART para llevar a cabo investigaciones de incidentes ransomware
• Sugerencias y procedimientos recomendados de DART

Nota:

Este contenido de artículo se deriva de Una guía para combatir ransomware operado por humanos: Parte 1 y Una guía para combatir ransomware operado por humanos: Parte 2 del blog del equipo de seguridad de Microsoft.

Cómo DART usa los servicios de seguridad de Microsoft

DART se basa en gran medida en los datos de todas las investigaciones y usa implementaciones existentes de servicios de seguridad de Microsoft, como Microsoft Defender para Office 365, Microsoft Defender para punto de conexión, Microsoft Defender for Identity y Microsoft Defender for Cloud Apps..

Defender para punto de conexión

Defender para punto de conexión es la plataforma de seguridad para punto de conexión empresarial de Microsoft diseñada para ayudar a los analistas de seguridad de redes empresariales a prevenir, detectar, investigar y responder a las amenazas avanzadas. Defender para punto de conexión puede detectar ataques mediante análisis de comportamiento avanzado y aprendizaje automático. Los analistas pueden usar Defender para punto de conexión para el análisis de comportamiento de los atacantes.

Este es un ejemplo de una alerta en Microsoft Defender para punto de conexión para un ataque pass-the-ticket.

Los analistas también pueden realizar consultas avanzadas de búsqueda para dinamizar los indicadores de riesgo (IOC) o buscar un comportamiento conocido si identifican un grupo de actores de amenazas.

Este es un ejemplo de cómo se pueden usar las consultas de búsqueda avanzadas para localizar el comportamiento conocido del atacante.

En Defender para punto de conexión, tiene acceso a un servicio de análisis y supervisión de nivel experto en tiempo real Expertos en amenazas de Microsoft para la actividad de actor sospechosa en curso. También puede colaborar con expertos a petición para obtener más información sobre alertas e incidentes.

Este es un ejemplo de cómo Defender para punto de conexión muestra la actividad detallada de ransomware.

Defender for Identity

Puede usar Defender for Identity para investigar las cuentas en peligro conocidas y encontrar cuentas potencialmente comprometidas en su organización. Defender for Identity envía alertas para la actividad malintencionada conocida que los actores suelen usar, como ataques DCSync, intentos de ejecución de código remoto y ataques pass-the-hash. Defender for Identity permite identificar la actividad sospechosa y las cuentas para restringir la investigación.

Este es un ejemplo de cómo Defender for Identity envía alertas para actividades malintencionadas conocidas relacionadas con ataques de ransomware.

Defender for Cloud Apps

Defender for Cloud Apps (anteriormente conocido como Microsoft Cloud App Security) permite a los analistas detectar comportamientos inusuales en las aplicaciones en la nube para identificar ransomware, usuarios en peligro o aplicaciones no autorizadas. Defender for Cloud Apps es la solución de agente de seguridad de acceso a la nube (CASB) de Microsoft que permite supervisar los servicios en la nube y el acceso a datos en los servicios en la nube por parte de los usuarios.

Este es un ejemplo del panel de Defender for Cloud Apps, que permite que el análisis detecte un comportamiento inusual en las aplicaciones en la nube.

Puntuación de seguridad de Microsoft

El conjunto de servicios XDR de Microsoft Defender proporciona recomendaciones de corrección dinámicas para reducir la superficie expuesta a ataques. Puntuación segura de Microsoft es una medida de la posición de seguridad de una organización, con un número mayor que indica que se han realizado más acciones de mejora. Consulte la documentación de puntuación de seguridad para obtener más información sobre cómo su organización puede usar esta característica para priorizar las acciones de corrección basadas en su entorno.

El enfoque DART para llevar a cabo investigaciones de incidentes ransomware

Debe hacer todo lo posible para determinar cómo el adversario obtuvo acceso a los recursos para que se puedan corregir las vulnerabilidades. De lo contrario, es muy probable que el mismo tipo de ataque se vuelva a producir en el futuro. En algunos casos, el actor de amenazas toma medidas para cubrir sus pistas y destruir pruebas, por lo que es posible que toda la cadena de eventos no sea evidente.

Estos son tres pasos clave en las investigaciones de RANSOMWARE DART:

Paso	Objetivo	Preguntas iniciales
1. Evaluar la situación actual	Descripción del ámbito	¿Qué te hizo inicialmente consciente de un ataque de ransomware? ¿Qué hora y fecha ha aprendido por primera vez el incidente? ¿Qué registros están disponibles y hay alguna indicación de que el actor accede actualmente a los sistemas?
2. Identificar las aplicaciones de línea de negocio (LOB) afectadas	Volver a conectar los sistemas	¿La aplicación requiere una identidad? ¿Están disponibles las copias de seguridad de la aplicación, la configuración y los datos? ¿El contenido y la integridad de las copias de seguridad se comprueban periódicamente mediante un ejercicio de restauración?
3. Determinación del proceso de recuperación en peligro (CR)	Eliminación del control del atacante del entorno	N/D

Paso 1: Evaluar la situación actual

Una evaluación de la situación actual es fundamental para comprender el ámbito del incidente y para determinar las mejores personas para ayudar y planear y definir el ámbito de las tareas de investigación y corrección. Formular las siguientes preguntas iniciales es fundamental para ayudar a determinar la situación.

¿Lo que inicialmente te hizo consciente del ataque ransomware?

Si el personal de TI identificó la amenaza inicial, como la detección de copias de seguridad que se eliminan, alertas antivirus, alertas de detección y respuesta de puntos de conexión (EDR) o cambios sospechosos del sistema, a menudo es posible tomar medidas decisivas rápidas para frustrar el ataque, normalmente deshabilitando todas las comunicaciones entrantes y salientes de Internet. Esta amenaza podría afectar temporalmente a las operaciones empresariales, pero normalmente sería mucho menos impactante que un adversario que implementa ransomware.

Si un usuario llama al departamento de soporte técnico de TI identificó la amenaza, podría haber suficiente advertencia anticipada para tomar medidas defensivas para evitar o minimizar los efectos del ataque. Si una entidad externa como la aplicación de la ley o una institución financiera identificó la amenaza, es probable que el daño ya se haya realizado y verá evidencia en su entorno de que el actor de amenazas tiene control administrativo de la red. Esta evidencia puede variar desde notas ransomware, pantallas bloqueadas o demandas de rescate.

¿Qué fecha y hora ha aprendido por primera vez el incidente?

Establecer la fecha y hora iniciales de la actividad es importante porque ayuda a restringir el ámbito de la evaluación de prioridades inicial para ganar rápidamente por el atacante. Las preguntas adicionales pueden incluir:

• ¿Qué actualizaciones faltaron en esa fecha? Es importante comprender qué vulnerabilidades podrían haber sido explotadas por el adversario.
• ¿Qué cuentas se usaron en esa fecha?
• ¿Qué cuentas nuevas se han creado desde esa fecha?

¿Qué registros están disponibles y hay alguna indicación de que el actor accede actualmente a los sistemas?

Los registros, como antivirus, EDR y red privada virtual (VPN), son un indicador de riesgo sospechoso. Las preguntas de seguimiento pueden incluir:

• ¿Se agregan registros en una solución de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel, Splunk, ArcSight y otros? ¿Cuál es el período de retención de estos datos?
• ¿Hay algún sistema sospechoso en peligro que experimente actividad inusual?
• ¿Hay cuentas sospechosas en peligro que parezcan ser utilizadas activamente por el adversario?
• ¿Hay alguna evidencia de controles y comandos activos (C2) en EDR, firewall, VPN, proxy web y otros registros?

Como parte de la evaluación de la situación actual, es posible que necesite un controlador de dominio de Servicios de dominio de Active Directory (AD DS) que no estaba en peligro, una copia de seguridad reciente de un controlador de dominio o un controlador de dominio reciente que se desconecta para mantenimiento o actualizaciones. Determine también si se requería la autenticación multifactor (MFA) para todos los usuarios de la empresa y si se usó Microsoft Entra ID.

Paso 2: Identificar las aplicaciones loB que no están disponibles debido al incidente

Este paso es fundamental para averiguar la forma más rápida de volver a poner en línea los sistemas mientras se obtienen las pruebas necesarias.

¿La aplicación requiere una identidad?

• ¿Cómo se realiza la autenticación?
• ¿Cómo se almacenan y administran las credenciales, como certificados o secretos?

¿Están disponibles copias de seguridad probadas de la aplicación, la configuración y los datos?

• ¿Se comprueba periódicamente el contenido y la integridad de las copias de seguridad mediante un ejercicio de restauración? Esta comprobación es especialmente importante después de cambios de administración de configuración o actualizaciones de versiones.

Paso 3: Determinar el proceso de recuperación en peligro

Este paso puede ser necesario si ha determinado que el plano de control, que normalmente es AD DS, se ha puesto en peligro.

La investigación siempre debe tener un objetivo de proporcionar la salida que se alimenta directamente en el proceso de CR. CR es el proceso que quita el control del atacante de un entorno y aumenta tácticamente la posición de seguridad dentro de un período establecido. LA CR tiene lugar después de la infracción de seguridad. Para obtener más información sobre CR, lea el artículo del blog CRSP: Expertos en recuperación de seguridad vulnerada. El equipo de emergencia que lucha contra los ciberataques de los clientes

Después de recopilar las respuestas a las preguntas de los pasos 1 y 2, puede crear una lista de tareas y asignar propietarios. Un factor clave en una participación correcta en la respuesta a incidentes es una documentación detallada y exhaustiva de cada elemento de trabajo (como el propietario, el estado, los resultados, la fecha y la hora), lo que hace que la compilación de los resultados al final de la interacción sea un proceso sencillo.

Sugerencias y procedimientos recomendados de DART

Estas son las recomendaciones y procedimientos recomendados de DART para las actividades de contención y posteriores a los incidentes.

Contención

La contención solo se puede producir una vez que se determina lo que debe contenerse. En el caso de ransomware, el objetivo del adversario es obtener credenciales que permiten el control administrativo sobre un servidor de alta disponibilidad y luego implementar el ransomware. En algunos casos, el actor de amenazas identifica datos confidenciales y los filtra a una ubicación que controlan.

La recuperación táctica es única para el entorno, el sector y el nivel de experiencia y experiencia de TI de su organización. Los pasos que se describen a continuación se recomiendan para los pasos de contención táctica y a corto plazo que puede realizar su organización. Para más información sobre las instrucciones a largo plazo, consulte Protección del acceso con privilegios. Para obtener una visión completa del ransomware y la extorsión y cómo preparar y proteger su organización, consulte Ransomware operado por humanos.

Los siguientes pasos de contención se pueden realizar simultáneamente a medida que se detectan nuevos vectores de amenaza.

Paso 1: Evaluar el ámbito de la situación

• ¿Qué cuentas de usuario se han visto comprometidas?
• ¿Qué dispositivos se ven afectados?
• ¿Qué aplicaciones se ven afectadas?

Paso 2: Conservar los sistemas existentes

• Deshabilite todas las cuentas de usuario con privilegios, excepto un pequeño número de cuentas usadas por los administradores para ayudar a restablecer la integridad de la infraestructura de AD DS. Si cree que una cuenta de usuario está en peligro, deshabilite inmediatamente.
• Aísle los sistemas en peligro de la red, pero no los apague.
• Aislar al menos un buen controlador de dominio conocido en cada dominio-dos es aún mejor. Desconéctelos de la red o apáguelos por completo. El objeto es detener la propagación de ransomware a la identidad crítica de los sistemas-identidad entre los más vulnerables. Si todos los controladores de dominio son virtuales, asegúrese de que el sistema y las unidades de datos de la plataforma de virtualización se realicen copias de seguridad en medios externos sin conexión que no estén conectados a la red, en caso de que la propia plataforma de virtualización esté en peligro.
• Aísle los servidores de aplicaciones correctos conocidos críticos, por ejemplo SAP, la base de datos de administración de configuración (CMDB), la facturación y los sistemas de contabilidad.

Estos dos pasos se pueden realizar simultáneamente a medida que se detectan nuevos vectores de amenazas. Deshabilite esos vectores de amenazas y, a continuación, intente encontrar un buen sistema conocido para aislar de la red.

Otras acciones de contención táctica pueden incluir:

• Restablezca la contraseña krbtgt, dos veces en sucesión rápida. Considere la posibilidad de usar un proceso con scripts y repetible. Este script le permite restablecer la contraseña de la cuenta krbtgt y las claves relacionadas, a la vez que minimiza la probabilidad de problemas de autenticación Kerberos causados por la operación. Para minimizar posibles problemas, la duración de krbtgt se puede reducir una o varias veces antes del primer restablecimiento de contraseña para que los dos restablecimientos se realicen rápidamente. Tenga en cuenta que todos los controladores de dominio que planea mantener en su entorno deben estar en línea.

• Implemente una directiva de grupo en todo el dominio (o dominios) que impida el inicio de sesión privilegiado (administradores de dominio) en todo lo que no sean controladores de dominio y estaciones de trabajo privilegiadas sólo para administradores (si las hubiera).

• Instale todas las actualizaciones de seguridad que faltan para los sistemas operativos y las aplicaciones. Cada actualización que falta es un vector de amenaza potencial que los adversarios pueden identificar y aprovechar rápidamente. Microsoft Defender para punto de conexión La administración de amenazas y vulnerabilidades proporciona una manera sencilla de ver exactamente lo que falta, así como el posible impacto de las actualizaciones que faltan.

  • En el caso de los dispositivos Windows 10 (o posteriores), confirme que la versión actual (o n-1) se ejecuta en todos los dispositivos.

  • Implemente reglas de reducción de la superficie expuesta a ataques (ASR) para prevenir la infección por malware.

  • Habilite todas las características de seguridad de Windows 10.

• Compruebe que todas las aplicaciones externas, incluido el acceso VPN, están protegidas por la autenticación multifactor, preferiblemente mediante una aplicación de autenticación que se ejecuta en un dispositivo protegido.

• En el caso de los dispositivos que no usan Defender para punto de conexión como software antivirus principal, ejecute un examen completo con Examen de seguridad de Microsoft en sistemas correctos conocidos aislados antes de volver a conectarlos a la red.

• Para cualquier sistema operativo heredado, actualice a un sistema operativo compatible o retire estos dispositivos. Si estas opciones no están disponibles, tome todas las medidas posibles para aislar estos dispositivos, como el aislamiento de red/VLAN, las reglas de seguridad del protocolo de Internet (IPsec) y las restricciones de inicio de sesión, por lo que solo son accesibles para las aplicaciones por parte de los usuarios o dispositivos para proporcionar continuidad empresarial.

Las configuraciones más arriesgadas constan de ejecutar sistemas críticos en sistemas operativos heredados antiguos como Windows NT 4.0 y aplicaciones, todos en hardware heredado. No solo son estos sistemas operativos y aplicaciones inseguros y vulnerables, si se produce un error en ese hardware, las copias de seguridad normalmente no se pueden restaurar en hardware moderno. A menos que el hardware heredado de reemplazo esté disponible, estas aplicaciones dejarán de funcionar. Considere encarecidamente la posibilidad de convertir estas aplicaciones para que se ejecuten en sistemas operativos y hardware actuales.

Actividad posterior al incidente

DART recomienda implementar las siguientes recomendaciones de seguridad y procedimientos recomendados después de cada incidente.

• Asegúrese de que se aplican las mejores prácticas a las soluciones de correo electrónico y colaboración para dificultar que los atacantes abusen de ellas y, al mismo tiempo, permitir que los usuarios internos accedan a contenidos externos de forma fácil y segura.

• Siga los procedimientos recomendados de seguridad de Confianza Cero para las soluciones de acceso remoto a los recursos internos de la organización.

• A partir de los administradores de impacto crítico, siga los procedimientos recomendados para la seguridad de las cuentas, incluido el uso de la autenticación sin contraseña o MFA.

• Implemente una estrategia completa para reducir el riesgo de comprometer el acceso con privilegios.

  • Para el acceso administrativo de nube y bosque o dominio, use el modelo de acceso con privilegios (PAM) de Microsoft.

  • Para la administración administrativa del punto de conexión, use la solución de contraseñas administrativas locales (LAPS).

• Implemente la protección de datos para bloquear las técnicas de ransomware y confirmar una recuperación rápida y fiable tras un ataque.

• Revise los sistemas críticos. Compruebe la protección y las copias de seguridad contra el borrado o el cifrado deliberado por parte de atacantes. Es importante que pruebe y valide periódicamente estas copias de seguridad.

• Asegúrese de la detección y corrección rápidas de ataques comunes en el punto de conexión, el correo electrónico y la identidad.

• Descubra y mejore continuamente la posición de seguridad de su entorno.

• Actualice los procesos organizativos para administrar eventos de ransomware importantes y optimizar la subcontratación para evitar la fricción.

PAM

El uso de PAM (anteriormente conocido como modelo de administración por niveles) mejora la posición de seguridad de Microsoft Entra ID, lo que implica:

• Dividir cuentas administrativas en una cuenta "planeada" para cada nivel, normalmente cuatro:

• Plano de control (anteriormente nivel 0): Administración de controladores de dominio y otros servicios de identidad cruciales, como Servicios de federación de Active Directory (AD FS) (ADFS) o Microsoft Entra Conectar, que también incluye aplicaciones de servidor que requieren permisos administrativos para AD DS, como Exchange Server.

• Los dos aviones siguientes eran anteriormente de nivel 1:

  • Plano de administración: gestión de activos, supervisión y seguridad.

  • Plano de datos y carga de trabajo: aplicaciones y servidores de aplicaciones.

• Los dos planos siguientes eran anteriormente de nivel 2:

  • Acceso de usuario: derechos de acceso para usuarios (como cuentas).

  • Acceso a aplicaciones: derechos de acceso para aplicaciones.

• Cada uno de estos planos tiene una estación de trabajo administrativa independiente para cada plano y solo tiene acceso a los sistemas de ese plano. A otras cuentas de otros planos se les deniega el acceso a estaciones de trabajo y servidores de los otros planos a través de asignaciones de derechos de usuario establecidas en esas máquinas.

El resultado neto de PAM es que:

• Una cuenta de usuario en peligro solo tiene acceso al plano al que pertenece.

• Las cuentas de usuario más confidenciales no iniciarán sesión en estaciones de trabajo y servidores con el nivel de seguridad de un plano inferior, lo que reduce el movimiento lateral.

LAPS (Solución de contraseñas de administrador local)

De forma predeterminada, Microsoft Windows y AD DS no tienen administración centralizada de cuentas administrativas locales en estaciones de trabajo y servidores miembros. Esto puede dar lugar a una contraseña común que se asigna para todas estas cuentas locales o al menos en grupos de máquinas. Esta situación permite a los atacantes poner en peligro una cuenta de administrador local y, a continuación, usar esa cuenta para obtener acceso a otras estaciones de trabajo o servidores de la organización.

El LAPS de Microsoft mitiga esto mediante una extensión del lado cliente de directiva de grupo que cambia la contraseña administrativa local a intervalos regulares en estaciones de trabajo y servidores según el conjunto de directivas. Cada una de estas contraseñas es diferente y se almacena como atributo en el objeto de equipo de AD DS. Este atributo se puede recuperar de una aplicación cliente simple, en función de los permisos asignados a ese atributo.

LAPS requiere que el esquema de AD DS se extienda para permitir que el atributo adicional, las plantillas de directiva de grupo de LAPS se instalen y una pequeña extensión del lado cliente que se instalará en cada estación de trabajo y servidor miembro para proporcionar la funcionalidad del lado cliente.

Puede obtener LAPS en el Centro de descargas de Microsoft.

Recursos adicionales del ransomware

Información clave de Microsoft:

• La creciente amenaza del ransomware, entrada de blog de Microsoft On the Issues del 20 de julio de 2021
• Ransomware controlado por personas
• Protección rápida frente al ransomware y la extorsión
• Informe de 2021 sobre defensa digital de Microsoft (consulte las páginas 10 a 19)
• Ransomware: un informe generalizado y continuo de análisis de amenazas amenazas en el portal de Microsoft Defender
• Caso práctico de ransomware de Microsoft DART

Microsoft 365:

• Implementación de la protección contra ransomware en el inquilino de Microsoft 365
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Recuperación en caso de un ataque de ransomware
• Protección contra malware y ransomware
• Proteger el PC contra el ransomware
• Control del ransomware en SharePoint Online
• Informes de análisis de amenazas para ransomware en el portal de Microsoft Defender

Microsoft Defender XDR:

• Búsqueda de ransomware con búsqueda avanzada

Microsoft Azure:

• Defensas de Azure ante ataques de ransomware
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Plan de copia de seguridad y restauración para protegerse contra el ransomware
• Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
• Recuperación de un riesgo de identidad sistemático
• Detección de un ataque avanzado de varias fases en Microsoft Sentinel
• Detección de fusión para ransomware en Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Creación de directivas de detección de anomalías en Defender for Cloud Apps

Entradas de blog del equipo de seguridad de Microsoft:

• Tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021)

• Guía para combatir ransomware operado por humanos: Parte 1 (septiembre de 2021)

  Pasos clave sobre cómo DART de Microsoft lleva a cabo investigaciones de incidentes de ransomware.

• Guía para combatir ransomware operado por humanos: Parte 2 (septiembre de 2021)

  Sugerencias y procedimientos recomendados

• Mayor resistencia mediante la comprensión de los riesgos de ciberseguridad: Parte 4: Análisis de las amenazas actuales (mayo de 2021)

  Consulte la sección Ransomware.

• Ataques de ransomware controlados por personas: Un desastre evitable (marzo de 2020)

  Incluye el análisis de la cadena de ataques de los ataques reales.

• Respuesta al ransomware: ¿pagar o no pagar? (diciembre de 2019)

• Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre de 2019)