jueves, 16 de febrero de 2023

Run Some Where: Ransomware

 Estimados amigos de Inseguros!!!

Seguimos con los incidentes de seguridad usando el ransomware como medio de monitización. En las últimas semanas numerosas empresas de mi entorno han sufrido en mayor o menor medida algún toque de atención respecto a este vector.

Me da hasta un poco de verguenza hablaros de este asunto, cuando es algo con lo que llevamos en guerra desde hace muchos años, pero muchas organizaciones siguen sin entender el asunto.


No se trata de "parar el ransomware" mediante EDR, Firewalls, sistemas de IA, fortificaciones, etc. Ante el Ransomware tenemos que tener otra aproximación. SI tenemos que establecer medidas para EVITAR el ataque, pero poniendo como símil el COVID, la gran mayoría de ciudadanos lo ha pillado. Muchos no lo saben, y por más medidas que hemos puesto, el virus ha encontrado alguna "brecha de seguridad".

Con el ransomware ocurre lo mismo. Pensar que el Ransomware no es el vector de ataque, es el "payload", es en lo que va a desembocar un ataque, producida por distinta vulnerabilidades, por lo que su defensa es muy compleja, y tenemos que trabajar mucho en la mitigación/contención/detección.

Un ransomware te puede entrar mediante una pieza de malware distribuida por correo, en una descarga, en la visita de una web, instalando un componente, o te puede entrar por un zero day, o por una vulnerabilidad en un server sin actualizar, o en un servicio mal configurado con una contraseña débil, o mediante un ataque de phishing y robo de credenciales de acceso a distintos entornos como vpn, rdp, etc... 

El ransomware es la manera que el cibercrimen ha encontrado para todos los ataques que hemos visto durante años, insisito, protegernos es MUY COMPLEJO.

Cuando hago auditorías de ciberseguridad encuentro administradores o responsables que no entienden esto, y cuando le dices de iniciar una fase del pentest, con credenciales de red, de distintos ámbitos, es decir, un usuario plano, y un usuario no tan plano... se sorprenden...

Por supuesto que yo voy a intentar conseguir hacerme admin sin ayuda... pero es de vital importancia medir la ciberseguridad desde todos los puntos. El que más se entiende es el externo, el blackbos, no te digo nada y dime hasta donde llegas, pero tenemos que ser capaces de defendernos antes otros escenarios.

Yo te preunto a ti, amigo lector:

  • Imagina un entorno en el que el malo tiene el usuario administrador del dominio.
  • Imagina un entorno en el que el malo ha deshabilitado el antivirus.
  • Imagina un entorno en el que el malo accede a distintos segmentos de red.
Antes este escenario, entiendo que tenemos la batalla muy muy perdida, pero no la guerra tota.

La gente no entiende, o no interioriza todo esto del Mitre, del Kill Chain, del DFIR, etc...

Los malos van a envirual un equipo, un servidor, un cliente, un navegador, como VECTOR DE INICIO, pero luego, una vez comprometida la organización, va a empezar a hacer escaladas de privilegios, movimientos laterales, comunicaciones al C&C... todo esto que sabemos.

Entonces, por qué solo le ponemos foco en que no ocurra el compromiso inicial? Deberíamos trabajar muy mucho en la parte de la detección y contención. No es lo mismo que se cifre un equipo, que las cabinas con los hypervisores y las máquinas.

Es muy importante tener esta visión global, 360, holística, siiii, estas palabras, y añado resiliencia... puedo seguir eh!!! pero al final, es lo que nos toca.

Es como los coches, tienen elementos de seguridad para que no nos estrellemos, pero tienen otros para que si nos hemos estrellado, el daño sea el menor...

Es como los militares, por un lado no queremos tener una guerra bacteoriológica en nuestro pais, o un terremoto de grado 8, pero si que hay que realizar pruebas para que cuando ocurra, estar preparados y poder actuar ante el incidente...

Esto en la informática se hace siguiendo un plan que contenga estas fases:
  • Auditoria.
  • Fortificación
  • Monitorización/Respuesta
Y esto nunca acaba, siempre habrá nuevos sistemas que auditar, o que fortificar, o que probar la monitorización.

Espero que te sirvan de ayuda estas reflexiones.

Por otro lado, contar con una buena formación teórico-práctica es importante.

El 23 de Marzo se inicia un curso de 3 meses que imparto sobre Ciberseguridad en entornos Microsoft que te podría servir de ayuda en tu misión con la ciberseguridad en las empresas.
Si quieres estar informado, te paso un link para inscribirte en la lista y estar informado.

Gracias por leerme !!!


Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.