¿Qué es la cadena de ataque de ransomware?

La cadena de ataque de ransomware es una versión específica de la Cadena de Ataque Cibernético que detalla las diversas etapas en una infección típica de ransomware. Esta perspectiva puede ser útil para los defensores cibernéticos porque puede ayudar a identificar puntos potenciales donde la amenaza puede ser detectada y eliminada antes de que comience el robo y la encriptación de datos.

Los diversos grupos de ransomware tienen diferentes tácticas, técnicas y procedimientos (TTP) que utilizan, lo que significa que la cadena de ataque de ransomware no es «una talla única para todos». Sin embargo, mapear campañas de ataque a marcos como la Cadena de Ataque Cibernético de Lockheed Martin o el marco MITRE ATT&CK puede proporcionar información valiosa.

Aspectos Clave

• La cadena de ataque de ransomware descompone un ataque en etapas para que los defensores puedan interrumpirlo antes de que ocurra la encriptación.
• Muchas campañas modernas de ransomware incluyen descubrimiento, escalada de privilegios y movimiento lateral antes del impacto final.
• La doble extorsión añade una fase de exfiltración de datos distinta que puede ocurrir antes de la encriptación.
• Los controles de red y acceso pueden reducir el riesgo de ransomware bloqueando destinos maliciosos conocidos, detectando exploits, limitando el acceso y previniendo la transferencia de datos sensibles.
• Romper cualquier etapa puede reducir el radio de explosión, los costos de respuesta y el tiempo de inactividad del negocio.

Cómo la cadena de ataque de ransomware es diferente de la cadena de ataque cibernético tradicional

Lockheed Martin definió la Cadena de Ataque Cibernético como un modelo de propósito general para ciberataques. La cadena de ataque de ransomware se centra en los aspectos específicos de los ataques de ransomware, a menudo enfatizando los mecanismos de intrusión y los impactos del ransomware en la exfiltración de datos y la encriptación.

Como resultado, estas cadenas de ataque de ransomware pueden introducir etapas adicionales específicas de malware en el proceso. Por ejemplo, la cadena de ataque de ransomware de Cisco incluye las siguientes etapas:

• Reconocimiento
• Etapa 4
• Lanzamiento
• Explotar
• Instalar
• Devolver la llamada
• Persistir

Si bien este es un modelo de alto nivel, las cadenas de ataques de ransomware reales varían. Por ejemplo, algunos atacantes pueden realizar acciones adicionales entre obtener un acceso inicial y buscar un impacto.

¿Por qué los defensores utilizan modelos por etapas?

Los defensores utilizan comúnmente modelos por etapas porque facilitan el análisis de un ataque e identifican oportunidades potenciales para interrumpir y contener un ataque. Idealmente, esto implica detectar y eliminar la amenaza temprano en su ciclo de vida, ya que esto reduce el costo y la complejidad de la remediación. Además, los modelos por etapas facilitan el desarrollo de manuales de operaciones de SOC y respuesta a incidentes (IR) que se aplican generalmente a múltiples operadores de ransomware en lugar de a una campaña específica.

Las etapas centrales de la cadena de ataque de ransomware

Los ataques de ransomware pueden variar drásticamente de un actor de amenaza a otro e incluso entre campañas. Además, diferentes proveedores de ciberseguridad tienen diferentes modelos de la cadena de ataque de ransomware. Sin embargo, ya sea que el modelo contenga cuatro pasos o nueve, desglosar el proceso tiene sus beneficios.

En este artículo, utilizaremos las siguientes etapas para la cadena de ataque de ransomware:

1. Acceso Inicial e Infección: El malware se instala y se ejecuta en un sistema objetivo
2. Movimiento Lateral y Propagación: El ransomware se propaga a través de la red hacia sistemas de alto valor
3. Comunicación de Comando y Control: El malware establece comunicación con el atacante para recibir instrucciones y realizar la exfiltración de datos
4. Exfiltración de Datos: Los datos sensibles son extraídos de la red en ataques de doble extorsión
5. Cifrado Los datos son cifrados para inducir a las víctimas a pagar un rescate

Cómo los atacantes suelen obtener acceso inicial en campañas de ransomware

Los atacantes pueden utilizar una variedad de métodos para obtener acceso inicial a un entorno objetivo. Algunas de las técnicas más comunes incluyen ataques de phishing, sitios web maliciosos, explotación de servicios expuestos y credenciales robadas.

Si bien las campañas de ransomware pueden variar drásticamente, la mayoría de los atacantes utilizan una de estas técnicas. La razón de esto es que a menudo son objetivos fáciles, explotando la confianza, la autenticación débil o sistemas no parcheados para obtener acceso inicial.

Cómo se ve la Compromiso Inicial en la Telemetría de Seguridad

Después de obtener un primer acceso, el objetivo del atacante es hacer que su malware se ejecute en el sistema infectado. Además, el malware comúnmente establece una conexión con la infraestructura de comando y control para recibir instrucciones y exfiltrar datos robados. Esta combinación de acciones a menudo produce los siguientes indicadores de compromiso (IoCs):

• Consultas DNS para dominios sospechosos o conocidos como malos
• Conexiones salientes inusuales
• Nuevos procesos desconocidos
• Ejecución inesperada de varias herramientas

Si bien estos pueden ser señales de advertencia de una infección por ransomware, no son prueba absoluta. Por ejemplo, un nuevo proceso desconocido podría ser un nuevo software legítimo que un usuario ha instalado y ejecutado en su sistema.

Qué sucede después de obtener un acceso inicial y por qué los operadores de ransomware se centran en el descubrimiento y el movimiento lateral

Los operadores de ransomware rara vez obtienen acceso inmediato a sus sistemas objetivo. Por ejemplo, un ataque de phishing probablemente compromete la estación de trabajo de un usuario, mientras que el ransomware es más efectivo en un sistema de alto valor como una base de datos importante o un servidor de archivos.

Por esta razón, los atacantes a menudo intentarán moverse lateralmente a través de la red, realizando escaneos y exploraciones de la red para identificar posibles objetivos y trabajando para acercarse a ellos. Por ejemplo, un atacante podría intentar robar credenciales adicionales de usuario que les permitirían autenticarse en un nuevo sistema.

Objetivos Comunes de los Atacantes en el Medio de la Cadena de Ransomware

En el medio de la cadena de ransomware, los objetivos de los atacantes son moverse desde su punto de entrada inicial hacia objetivos de alto valor. Las acciones comunes que podrían llevar a cabo para lograr esto incluyen:

• Recolección de credenciales y escalada de privilegios
• Mapeo de rutas de red y activos críticos
• Desactivación de defensas y preparación de la encriptación a gran escala

Dónde Encaja la Exfiltración de Datos en la Cadena de Ransomware, y Cómo Cambia la Doble Extorsión

El ransomware tradicional que se centra en la encriptación de archivos es menos efectivo si la víctima tiene copias de seguridad de las que puede restaurar. Por esta razón, muchos operadores de ransomware han adoptado técnicas de doble extorsión, robando datos antes de encriptarlos y amenazando con filtrarlos si no se paga el rescate. Algunos actores de amenazas integran tácticas adicionales de extorsión, como ataques de denegación de servicio distribuido (DDoS), también.

Indicadores y Controles Defensivos que Más Importan Durante la Exfiltración

Con la exfiltración de datos, las organizaciones tienen la oportunidad de identificar y bloquear un ataque antes de que pase a la etapa de encriptación de datos. Esto requiere monitoreo y aplicación de políticas diseñadas para identificar y bloquear la exfiltración de datos sensibles y comportamientos anómalos, como la descarga masiva de datos y la exfiltración.

¿Cómo Pueden los Controles de Seguridad Interrumpir la Cadena de Ransomware en Múltiples Etapas?

Mapear infecciones de ransomware a un modelo de múltiples etapas permite la interrupción en varias etapas del proceso. Algunas formas en que los controles de seguridad pueden ayudar a mitigar los ataques de ransomware incluyen:

• Filtrado de DNS: Identifica y bloquea intentos de acceso a dominios maliciosos y destinos de phishing.
• Sistema de prevención de intrusiones («Intrusion Prevention System», IPS) Detecta y bloquea el tráfico de explotación y la actividad maliciosa en línea.
• Acceso a la red de confianza cero («Zero-Trust Network Access», ZTNA) Limita el acceso a los recursos mediante políticas de permiso explícito y el principio de menor privilegio. Reduce las rutas de movimiento lateral.
• Prevención de pérdida de datos («Data Loss Prevention», DLP) Reduce el riesgo de que datos sensibles salgan de la organización.

Cómo el filtrado de DNS interrumpe la actividad temprana de la cadena de ataque de ransomware.

El DNS se utiliza para convertir nombres de dominio en direcciones IP y es importante en múltiples etapas de la cadena de ataque de ransomware. Las búsquedas de DNS pueden ser necesarias para la descarga inicial de malware, al establecer conexiones con sistemas de comando y control, y para la exfiltración de datos. Bloquear intentos de acceder a dominios sospechosos y conocidos como dañinos evita que estas acciones tengan éxito y puede terminar el ataque temprano en la cadena de ataque.

Cómo el IPS ayuda a bloquear explotaciones y ralentiza la propagación.

El IPS es un control de seguridad en línea diseñado para bloquear contenido malicioso e intentos de explotación. Se puede utilizar para prevenir explotaciones de vulnerabilidades para el acceso inicial y la transferencia de ransomware al entorno objetivo.

Cómo el ZTNA contiene el acceso y limita el movimiento lateral.

El ZTNA implementa controles de acceso de menor privilegio, que reducen los privilegios al mínimo necesario para un rol y requieren que cada solicitud de acceso sea validada y aprobada explícitamente. Esto puede obstaculizar los intentos de movimiento lateral al limitar el alcance de las cuentas comprometidas y permitir que la organización identifique y bloquee solicitudes anómalas y sospechosas de datos o recursos corporativos.

Cómo el DLP reduce el riesgo de exfiltración de datos.

El DLP tiene como objetivo prevenir que datos sensibles sean compartidos con destinatarios no autorizados. En un contexto de ransomware, esto puede ayudar a prevenir ataques de doble extorsión si la solución de DLP puede identificar y bloquear la exfiltración de datos robados.

Qué deben medir los equipos de seguridad para validar la interrupción de la cadena de ataque de ransomware.

Al intentar interrumpir ataques de ransomware más temprano en la cadena de ataque, algunas métricas comunes incluyen:

• Tiempo medio de detección (MTTD)
• Tiempo medio de remediación (MTTR)
• Reducción en el radio de explosión del ataque (puntos finales afectados, cuentas, datos, etc.)

Categorías de Medición de Ejemplo

Las organizaciones también pueden implementar métricas específicas por etapa diseñadas para identificar cuándo logran detectar y abordar una infección por ransomware, incluyendo:

• convergente Bloqueos en las etapas de acceso inicial y explotación
• Contención: Los intentos de movimiento lateral son detenidos o segmentados
• Seguridad de Datos: Intentos de exfiltración detectados o prevenidos
• Reducción de Impacto: Menor propagación de cifrado y recuperación más rápida

¿Cómo Mejora la Cadena de Muerte del Ransomware la Respuesta a Incidentes y el Fortalecimiento Post-Incidente?

La cadena de muerte del ransomware ayuda a mejorar la respuesta a incidentes y el fortalecimiento post-incidente al ofrecer un desglose más concreto y granular del ataque para vincular los manuales de procedimientos y las lecciones aprendidas. Por ejemplo, una retrospectiva post-incidente podría examinar si la amenaza fue detectada en varias etapas (acceso inicial, movimiento lateral, exfiltración de datos, etc.) y cómo la organización puede implementar o ajustar controles adicionales para abordar las brechas de visibilidad o contención identificadas.

Cadena de Muerte del Ransomware: Cómo Utilizar el Marco para Reducir el Impacto del Ransomware a lo Largo del Tiempo

La cadena de muerte del ransomware ofrece un marco para pensar en estos ataques y planificar controles de seguridad y acciones de respuesta a incidentes. Algunas formas en que las organizaciones pueden hacer uso del marco incluyen:

• Construir detecciones y controles basados en etapas
• Realizar ejercicios de mesa alineados a las etapas
• Revisar incidentes por etapa y ajustar controles

PREGUNTAS FRECUENTES

¿Cuáles son las etapas típicas en la cadena de ataque de ransomware?

Los modelos de la cadena de ataque de ransomware pueden variar en las etapas incluidas. Algunas etapas comunes incluyen acceso inicial, movimiento lateral, comando y control, exfiltración de datos y cifrado de datos.

¿La exfiltración de datos siempre es parte del ransomware?

No, el ransomware originalmente se centraba únicamente en el cifrado de datos, no en la exfiltración. Sin embargo, los ataques de doble extorsión se han vuelto más comunes para evitar que las víctimas eviten pagar el rescate restaurando desde copias de seguridad.

¿Cómo se relaciona la cadena de ataque de ransomware con la Cadena de Ataque Cibernético?

La Cadena de Ataque Cibernético es un modelo de propósito general diseñado para desglosar etapas comunes de una amplia gama de ataques potenciales. La cadena de ataque de ransomware utiliza un desglose similar pero se centra en la amenaza del ransomware.

¿Qué controles pueden interrumpir el ransomware antes del cifrado?

Algunos controles de seguridad que pueden interrumpir ataques de ransomware antes de que lleguen a la etapa de cifrado incluyen filtrado de DNS, prevención de explotación en línea, controles de acceso y controles de datos. Por ejemplo, el filtrado de DNS puede bloquear el acceso a páginas web que sirven malware e infraestructura de comando y control.

¿Qué deben priorizar los equipos si no pueden cubrir cada etapa?

Si las organizaciones no pueden cubrir cada etapa de la cadena de ataque de ransomware, deben intentar priorizar las etapas anteriores y aquellas donde tienen mayor visibilidad y control. Por ejemplo, una organización puede limitar el acceso de los usuarios de acuerdo con el principio de menor privilegio para reducir la capacidad de un atacante de moverse lateralmente a través de la red hacia objetivos de alto valor.