E-book: Utilizando MITRE ATT&CK para comprender las mayores infracciones de 2023
USANDO MITRE ATT&CK® para entender las técnicas detrás de las mayores infracciones de 2023
Las filtraciones de datos orquestadas por el formidable grupo de ransomware BlackCat (también conocido como ALPHV) en 2023 fueron una llamada de atención para individuos y organizaciones por igual. Los ataques revelaron las inquietantes vulnerabilidades que existen en las infraestructuras actuales, destacando la urgente necesidad de mejorar las medidas de ciberseguridad.
En un mundo donde los datos son tan valiosos como vulnerables, entender la naturaleza y las técnicas de los ciberataques es primordial. Nuestro e-book profundiza en las intrincadas capas de las filtraciones de datos de BlackCat y desentraña las sofisticadas técnicas de ataque que emplearon. Adoptamos la matriz MITRE ATT&CK, un marco reconocido mundialmente, para diseccionar y entender los patrones y metodologías detrás de las infracciones.
Llene el formulario y descargue el e-book ahora
CONTENIDO INCLUIDO:
- Descubra el desarrollo paso a paso de los ataques ransomware BlackCat en el 2023.
- Obtenga información sobre cómo el grupo de ransomware BlackCat orquestó los ataques.
- Correlacione las técnicas utilizadas por el grupo de ransomware BlackCat con el marco MITRE ATT&CK.
- Explore medidas de ciberseguridad robustas para portegerse contra las amenazas en evolución.
Introducción
En la era de la interconexión digital, el valor y la vulnerabilidad de los datos nunca han sido más evidentes. Las filtraciones de datos se han convertido en una amenaza muy familiar, que plantea riesgos significativos para las personas, las organizaciones y la integridad de la información confidencial.
Entre las numerosas violaciones de datos que han sacudido el panorama digital, la violación de datos de Reddit en el 2023 se destacó como uno de los incidentes más importantes y preocupantes a principios de año. Reddit, la popular plataforma de redes sociales con millones de usuarios, fue víctima de un sofisticado ataque cibernético dirigido a su vasto tesoro de información de usuarios. La violación expuso “información de contacto limitada de (actualmente cientos de) contactos y empleados de la compañía (actuales y anteriores), así como información limitada de anunciantes”, dijo Reddit en su comunicado.
Sobre la infracción
La violación de seguridad fue atribuida a la banda de ransomware BlackCat (también conocida como ALPHV), que afirma haber robado 80GB de datos confidenciales y amenazó con revelar la información robada.
Además de Reddit, otra compañía que recientemente fue víctima del ransomware BlackCat es el gigante de la salud Henry Schein. El 15 de octubre de 2023, Henry Schein reveló que había experimentado un incidente de ciberseguridad. Posteriormente, el grupo BlackCat se atribuyó la responsabilidad del ataque, revelando que había violado con éxito la red de la compañía y exfiltrado aproximadamente 35TB de archivos confidenciales. El ransomware BlackCat también atacó a McLaren Health Care y Seiko, poniendo los datos personales en riesgo de exposición.
Las secuelas de estas violaciones de datos sirven como un claro recordatorio de las implicaciones de largo alcance que tienen tales fallas de seguridad. Las infracciones suscitaron preocupaciones sobre el robo de identidad, los ataques de phishing y el posible compromiso de otras cuentas en línea para los usuarios afectados.
Las violaciones de datos también ejemplifican la urgencia de que las personas y las organizaciones prioricen la protección de datos y adopten medidas de ciberseguridad robustas. A medida que la tecnología continúa avanzando, también lo hacen las tácticas de los ciberdelincuentes. En este documento técnico, intentaremos decodificar las técnicas de ataque detrás de las filtraciones de datos de BlackCat, y la mejor manera de entender los patrones de ataque es correlacionarlos con la matriz MITRE ATT&CK.
¿Qué es el marco MITRE ATT&CK?
El marco MITRE ATT&CK es un modelo integral de tácticas y técnicas utilizadas por los atacantes que ayuda a los equipos de seguridad a identificar patrones en la metodología de ataque para la detección e investigación rápidas de amenazas. Puede haber muchas ciberamenazas al acecho en un momento dado, pero las técnicas utilizadas por los atacantes no son tan variadas.
El marco de modelado de amenazas MITRE ATT&CK ayuda a los equipos de seguridad a desarrollar una infraestructura de ciberseguridad robusta, ya que no solo identifica las técnicas y los posibles pasos que podría tomar el atacante, sino que explica las formas en que estas técnicas pueden detectarse y mitigarse. Aquí hay algunas maneras en que puede ayudar a su negocio:
Detección y prevención de amenazas: Las empresas pueden comprender mejor cómo operan los atacantes al correlacionar los ataques del mundo real con el marco MITRE ATT&CK. Este conocimiento es invaluable para detectar y prevenir ataques similares en el futuro.
Respuesta a incidentes e investigación forense: En el caso de un incidente o violación de datos, proporciona un marco para que los equipos de seguridad evalúen la situación rápidamente, identifiquen las tácticas y técnicas utilizadas y el tipo de datos que pueden haber sido comprometidos. Esto permite responder a los incidentes de manera eficaz.
Análisis de brechas y mejora de la postura de seguridad: Las empresas pueden comparar sus medidas de seguridad con el marco MITRE ATT&CK para identificar las brechas de seguridad en sus defensas e identificar las áreas que deben priorizar.
Evaluación de proveedores y herramientas de seguridad: Las empresas también pueden utilizar el marco al seleccionar herramientas y soluciones de ciberseguridad. Les permite evaluar qué tan bien la solución puede abordar varias técnicas de ataque y tomar una decisión informada sobre si el proveedor ayudará a sus necesidades comerciales.
Requisitos de cumplimiento y regulatorios: Muchos organismos reguladores y normas de cumplimiento exigen que las organizaciones tengan medidas de ciberseguridad sólidas. Correlacionar los controles y las prácticas de seguridad con el marco MITRE ATT&CK puede ayudar a demostrar el cumplimiento de estos requisitos.
Este documento técnico correlaciona el patrón de ataque del ransomware BlackCat con las tácticas, técnicas y procedimientos (TTP) de MITRE ATT&CK para entender su patrón de ataque junto con lo que puede hacer para mitigar dicho ataque.
Correlación del patrón de ataque del ransomware BlackCat con las técnicas del marco de modelado de amenazas MITRE ATT&CKs
El ataque de la banda de ransomware BlackCat generalmente comienza con un sofisticado ataque de phishing. El malware está codificado en el lenguaje de programación Rust, lo que le ayuda a evadir los sistemas de detección de malware. Esto se debe a que las soluciones buscan lenguajes que sean conocidos y ampliamente utilizados. Rust, al ser un nuevo lenguaje, ayuda al ransomware BlackCat a evadir los mecanismos de detección. Esto le permite elevar privilegios y obtener acceso no autorizado a los archivos, que el grupo de ransomware encripta y amenaza con filtrar luego.
Técnica
Phishing (T1566): El phishing es una técnica de uso común que los atacantes utilizan para obtener acceso inicial a una red. Los ciberdelincuentes utilizan correos electrónicos poco llamativos que contienen archivos adjuntos o enlaces maliciosos que, una vez abiertos o descargados, ejecutan el código malicioso en los sistemas de la víctima.
Cómo los actores de amenazas aprovechan esta técnica
Esta es la técnica utilizada por el grupo BlackCat para obtener su punto de apoyo inicial en la red. En su declaración, Reddit afirmó que se trataba de un "ataque de phishing sofisticado y altamente dirigido", donde el actor de la amenaza enviaba "avisos que sonaban convincentes" a sus empleados, dirigiéndolos a un sitio web que clonaba el comportamiento del portal de la intranet de Reddit.
Técnica
Manipulación del token de acceso (T1134): En esta técnica, los actores de amenaza modifican los tokens de acceso y operan bajo un usuario diferente para obtener acceso autorizado a la información. Al manipular el token de acceso, pueden hacer que un proceso en ejecución parezca derivarse de un proceso diferente, o pertenecer a un usuario diferente. Luego, el proceso asume el contexto de seguridad del nuevo usuario. Esta técnica es difícil de detectar ya que el acceso del usuario se verá legítimo.
Cómo los actores de amenazas aprovechan esta técnica
El ransomware BlackCat es un software malicioso que viene en forma de una herramienta de línea de comandos. El ransomware requiere un token de acceso (un código de 32 caracteres) para ejecutarse. Sin este token, el ransomware no se ejecutará, lo que dificulta que los investigadores de seguridad o las herramientas de análisis automatizado lo estudien en un entorno seguro.
El ransomware utiliza la API de GetCommandLineW para comprobar si el token de acceso se proporciona correctamente. Una vez provisto con el código de 32 caracteres, el ransomware inicia sus actividades maliciosas.
Técnica
Abuso del mecanismo de control de elevación: Eludir el control de cuentas de usuario (T1548.002): Los atacantes intentan elevar sus privilegios en un sistema evitando los mecanismos de control de acceso de usuario (UAC). Windows UAC permite a un usuario realizar una tarea con privilegios de administrador solicitando al usuario la confirmación con un mensaje de consentimiento. Si la protección UAC no está establecida al nivel más alto, los atacantes pueden explotar los objetos del modelo de objetos componentes (COM) para evitar activar el sistema UAC y obtener acceso a privilegios administrativos.
Cómo los actores de amenazas aprovechan esta técnica
El ransomware BlackCat explota los objetos COM utilizados por el binario Microsoft Connection Manager Profile Installer (CMSTP), particularmente la interfaz CMSTPLUA {3E5FC7F9-9A51-4367-9063-A120244FBEC7}. Este es un ejemplo de secuestro de la biblioteca de enlaces dinámicos (DLL).
Utiliza CoGetObject para registrar la DLL maliciosa con el CLSID {3E5FC7F9-9A51-4367-9063-A120244FBEC7}, y esta DLL maliciosa se carga y ejecuta cuando lo solicita el CMSTP con privilegios elevados. Esta técnica permite al ransomware BlackCat eludir el sistema UAC y realizar sus acciones maliciosas sin ser detectado o bloqueado por las medidas de seguridad del sistema.
Técnica
Descubrimiento de grupos de permisos: Grupos de dominio (T1069.002): Los atacantes pueden intentar descubrir los grupos de nivel de dominio y la configuración de permisos para obtener privilegios elevados.
Cómo los actores de amenazas aprovechan esta técnica
Una vez que el ransomware BlackCat omite el UAC, utiliza la API LookupPrivilegeValueW para buscar la lista de privilegios. Estos privilegios permiten al proceso ejecutar operaciones a nivel de sistema. Luego, se utiliza AdjustTokenPrivileges para otorgar al atacante esos privilegios.
Ahora, el ransomware se prepara para cifrar los archivos de la víctima y hacerlos inaccesibles. Sin embargo, antes de hacerlo, utiliza algunas medidas de precaución para obstaculizar cualquier intento de recuperación.
Técnica
Inhibir la recuperación del sistema (T1490): En esta técnica, los atacantes pueden deshabilitar los servicios que están diseñados para ayudar con el respaldo y recuperación de sistemas dañados. Esto se puede ejecutar con utilidades nativas de Windows.
Cómo los actores de amenazas aprovechan esta técnica
Para garantizar que la víctima no pueda recuperar los archivos, el software malicioso realiza los siguientes pasos:
- a. Elimina las copias ocultas del volumen usando los comandos vssadmin y wmic, que son copias de seguridad de los archivos que podrían usarse para restaurar datos.
- b. Deshabilita la reparación automática usando bcdedit, evitando que el sistema se repare a sí mismo después de un ataque.
- c. Borra los logs de eventos, que podrían contener información valiosa sobre las acciones del ransomware.
- d. Finaliza los servicios y procesos activos, potencialmente para evitar la detección o interferencia.
Técnica
Descubrimiento de archivos y directorios (T1083): Los actores de amenaza pueden obtener una lista de archivos y directorios, o buscar información particular dentro de un sistema de archivos y encriptar esos archivos. Esto se puede lograr usando muchos comandos.
Cómo los actores de amenazas aprovechan esta técnica
El ransomware BlackCat utiliza FindFirstFile y FindNextFile para encontrar todos los archivos del sistema. También se utiliza WriteFile para escribir la nota de rescate en cada directorio.
Técnica
Datos cifrados para el impacto (T1486): Después de obtener acceso a los archivos de destino, los atacantes hacen que los archivos sean inaccesibles cifrándolos y reteniendo la clave de descifrado.
Cómo los actores de amenazas aprovechan esta técnica
El ransomware BlackCat genera una clave secreta utilizando un algoritmo especial llamado Advanced Encryption Standard (AES). Esta clave secreta es como una contraseña que solo el ransomware conoce. Se utiliza para bloquear sus archivos de forma segura y se le entrega a la víctima del ransomware para descifrar sus archivos.
Una vez que los archivos objetivo en el sistema están cifrados, el fondo de escritorio de la víctima se cambia, pidiéndole que lea la nota de rescate para recuperar el acceso a sus archivos.
Lecciones aprendidas de las mayores violaciones de datos del 2023 y cómo se pueden aplicar para aumentar nuestras defensas
Se requiere un enfoque de seguridad de múltiples capas para detectar y defenderse contra un ciberataque similar al ransomware BlackCat. A continuación se presentan algunas técnicas de detección y mejores prácticas que pueden ayudar a mitigar el riesgo de un ataque de este tipo:
Detección de anomalías y monitoreo del comportamiento:
- Implemente sistemas de detección de anomalías basados en el comportamiento que puedan identificar comportamientos de proceso inusuales, como un proceso que intenta cifrar varios archivos rápidamente.
- Utilice herramientas de seguridad como las soluciones SIEM para detectar creaciones de procesos no autorizadas o sospechosas e intentos de escalamiento de privilegios. Algunas técnicas como la omisión del UAC pueden ser difíciles de detectar con sistemas de detección normales basados en reglas. Un enfoque basado en el comportamiento, como el análisis del comportamiento de usuarios y entidades (UEBA), establece una línea de base para el comportamiento normal que ayuda a detectar cualquier comportamiento anómalo al instante.
Análisis del tráfico de red:
- Monitoree el tráfico de red en busca de volúmenes grandes o inusuales o de datos que se transfieren a destinos externos, ya que el ransomware puede extraer datos durante su ejecución. Esto se puede hacer con la ayuda de análisis de comportamiento, para establecer una línea de base del tráfico de red normal y detectar el tráfico de red anormal. Estas soluciones aprenden sobre las transferencias de datos regulares (incluyendo el volumen y el tipo de datos que se transfieren) y le alertan de cualquier anomalía para una detección y respuesta rápidas.
Monitoreo del sistema de archivos:
- Utilice herramientas de monitoreo del sistema de archivos para ver si se modifican (cifran) varios archivo en un corto período de tiempo.
- Implemente el monitoreo de la integridad de los archivos (FIM) para detectar modificaciones no autorizadas en archivos críticos.
Monitoreo del escalamiento de privilegios:
- Monitoree las llamadas sospechosas a funciones de API como LookupPrivilegeValueW y AdjustTokenPrivileges, ya que pueden indicar intentos de escalamiento de privilegios.
Inteligencia de amenazas y análisis de comportamiento:
- Manténgase informado sobre las últimas amenazas de ransomware y sus técnicas a través de fuentes de inteligencia de amenazas.
- Utilice el análisis de comportamiento para identificar patrones y características inusuales asociados con familias conocidas de ransomware, como BlackCat.
Seguridad del correo electrónico y la web:
- Implemente gateways de seguridad de correo electrónico sólidas que pueden bloquear los intentos de phishing y los archivos adjuntos maliciosos que contienen ransomware.
- Utilice el filtrado web para evitar el acceso a sitios web maliciosos conocidos que se utilizan en la distribución de ransomware.
Privilegio mínimo y segmentación:
- Aplique el principio de privilegio mínimo para limitar los permisos de los usuarios y procesos en el sistema.
- Segmente su red para evitar el movimiento lateral de ransomware dentro de la red.
Cómo prevenir ataques similares a los ataques del ransomware BlackCat
Mitigar un ataque del grupo de ransomware BlackCat o amenazas de ransomware similares implica implementar una combinación de medidas técnicas y prácticas recomendadas para mejorar la postura de seguridad de su organización. Estos son algunos pasos clave para mitigar el riesgo de tal ataque:
- Sensibilización de los usuarios: Capacite a sus empleados sobre las amenazas de ransomware, las técnicas de phishing y las prácticas informáticas seguras para que sean más conscientes de las ciberamenazas que prevalecen. Anímelos a tener cuidado con los enlaces de correo electrónico y archivos adjuntos, para evitar el riesgo de phishing u otros ataques de ingeniería social.
- Implementación de la confianza cero: Haga cumplir el principio de privilegio mínimo, asegurándose de que los usuarios y procesos solo tengan los permisos mínimos necesarios para realizar sus tareas. Se recomienda seguir el modelo de seguridad de confianza cero, que promueve la verificación continua, el privilegio mínimo, el cifrado de extremo a extremo y el uso de análisis para minimizar el impacto de una violación.
- Gestión de cuentas de usuario: Gestione la creación, modificación y permisos de cuentas de usuario para reducir el riesgo de movimiento lateral y mantener seguros sus recursos.
- Segmentación de red: Segmente su red para separar los activos y recursos críticos y así limitar el impacto del movimiento lateral en caso de una violación.
- Autenticación multifactor (MFA): Habilite la MFA siempre que sea posible para agregar una capa adicional de seguridad a las cuentas de usuario.
- Evaluaciones y auditorías de seguridad periódicas: Realice evaluaciones de seguridad periódicas para los sistemas, software y configuraciones inseguras y permisos, y realice pruebas de penetración para identificar y abordar cualquier vulnerabilidad.
- Monitor de anomalías: Monitoree las actividades de la red y los endpoints para detectar comportamientos inusuales o signos de compromiso. Utilice sistemas de detección de intrusiones para bloquear cualquier amenaza a la red antes de que obtenga un punto de apoyo inicial.
- Copia de seguridad de los datos:Realice y almacene copias de seguridad regulares de los servidores críticos y asegúrese de que estén seguros. Se recomienda reforzar la seguridad de esta copia de seguridad y almacenarla por separado de la red corporativa para limitar las posibilidades de compromiso.
- Prevención de pérdida de datos (DLP): Implemente una estrategia de prevención de pérdida de datos para categorizar sus datos, identificar información confidencial y evitar la exfiltración de datos.
- Gestión de eventos e información de seguridad (SIEM): Implemente una solución SIEM para centralizar y analizar los logs de eventos de seguridad con el fin de detectar las actividades sospechosas a tiempo.
Conclusión:
Las infracciones de datos de BlackCat destacaron la importancia de tener una postura de seguridad sólida y un sistema de gestión de incidentes, ya que puede ocurrir un ataque en cualquier momento dado. Cualquier enlace malicioso o descarga accidental puede tener graves consecuencias y costar mucho a la organización, ya sea financieramente o en términos de reputación.
Las infracciones resaltaron la necesidad de que las empresas inviertan en su infraestructura de seguridad, realicen evaluaciones de seguridad periódicas y se mantengan alerta frente a las amenazas emergentes. Sin embargo, monitorear continuamente las amenazas y los eventos sospechosos puede ser difícil, y esto es precisamente algo en lo que confían los atacantes. Esta dificultad se puede superar invirtiendo en una herramienta de seguridad que monitorea, detecta y marca las amenazas potenciales al instante para evitar que el ataque se intensifique.
Acerca de la SIEM de ManageEngine:
Log360 es una solución de SIEM unificada con funciones integradas de DLP y CASB que detecta, prioriza, investiga y responde a las amenazas de seguridad. Combina la inteligencia sobre amenazas, la detección de anomalías basada en machine learning y las técnicas de detección de ataques basadas en reglas para detectar ataques sofisticados, y ofrece una consola de gestión de incidentes para resolver eficazmente las amenazas detectadas. Log360 proporciona una visibilidad holística de la seguridad en redes on-premises, en la nube e híbridas con sus funciones intuitivas y avanzadas de análisis y monitoreo de la seguridad.
Zoho Corporation Pvt. Ltd. os los derechos reservados