Cuando en Sophos trabajamos con víctimas de ransomware, hacemos una revisión de las últimas dos semanas previas a la detección del ataque. En ese lapso es común encontrar algunos indicadores que nos hacen saber de inmediato en dónde fue vulnerado el sistema.
Actualmente, los atacantes utilizan herramientas de administración legítimas para preparar el escenario y lanzar sus ataques. Estas cinco señales que enlistamos a continuación, pueden pasarse por alto fácilmente o ser difíciles de detectar por el personal de TI de una empresa, pero son indicadores muy claros de que los atacantes ya tenían una idea de cómo es la red afectada, cómo podrían obtener las cuentas y los accesos necesarios y de que se avecina un ransomware:
1. Escáneres de red, especialmente en un servidor
Los atacantes generalmente comienzan por obtener acceso a una máquina donde buscan información básica: si es una Mac o un PC, cuál es el dominio y el nombre de la empresa, qué tipo de derechos de administrador tiene la computadora y más. Luego, los atacantes querrán saber qué más hay en la red y a qué pueden acceder. La forma más fácil de determinar esto es escanear la red. Si se detecta un escáner de red, como Angry IP o Advanced Port Scanner, se debe acudir de inmediato al personal de TI para saber si este escáner fue instalado por ellos. Si nadie resulta responsable, es hora de investigar.
2. Herramientas para deshabilitar el software antivirus
Una vez que los atacantes tienen derechos de administrador, intentarán deshabilitar el software de seguridad utilizando aplicaciones creadas para la eliminación forzada de software, como Process Hacker, IOBit Uninstaller, GMER y PC Hunter. Este tipo de herramientas comerciales son legítimas, pero en las manos equivocadas son muy peligrosas. Al detectarse que no hay algún software que requiera ser eliminado, entonces el personal de ciberseguridad debe encender las alertas y preguntarse seriamente por qué aparecieron de repente.
3. Presencia de MimiKatz
Primero entendamos qué es MimiKatz: se trata de una aplicación de código abierto que permite robar datos de identificación y credenciales de usuarios de una red, para brindar acceso de forma ilegal a los sistemas y explotar vulnerabilidades del mismo. Esta herramienta fue creada para detectar vulnerabilidades en Windows, y es muy usada por atacantes actualmente.
Cualquier detección de esta aplicación debe ser investigada de inmediato. Los atacantes también suelen usar Microsoft Process Explorer, incluido en Windows Sysinternals, que es una herramienta legítima que se infiltra en los equipos creando un archivo en formato .dmp. Una vez dentro, instalan MimiKatz para extraer de forma segura los nombres de usuario y las contraseñas.
4. Patrones de comportamiento sospechoso
El personal de TI debe estar atento a cualquier patrón de comportamiento que ocurra a la misma hora todos los días, o de forma repetitiva, ya que esto es a menudo un indicio de que algo sospechoso sucede, incluso si se han detectado y eliminado archivos maliciosos.
5. Ataques de ‘prueba’
Ocasionalmente, los atacantes implementan pequeños ataques de prueba en algunos computadores para ver si el método de implementación y el ransomware se ejecutan con éxito, o si el software de seguridad los detiene. Si las herramientas de seguridad detienen el ataque, cambian sus tácticas e intentan nuevamente. Esto les ayudará a saber qué tan limitado es su tiempo de ataque y qué tan fuertes son las medidas de seguridad implementadas en el objetivo. A menudo es cuestión de horas antes de que se lance un ataque mucho más grande, por lo que ante un ataque de este tipo la acción debe ser inmediata.