Estimados amigos de Inseguros!!!
Seguimos con los incidentes de seguridad usando el ransomware como medio de monitización. En las últimas semanas numerosas empresas de mi entorno han sufrido en mayor o menor medida algún toque de atención respecto a este vector.
Me da hasta un poco de verguenza hablaros de este asunto, cuando es algo con lo que llevamos en guerra desde hace muchos años, pero muchas organizaciones siguen sin entender el asunto.
No se trata de "parar el ransomware" mediante EDR, Firewalls, sistemas de IA, fortificaciones, etc. Ante el Ransomware tenemos que tener otra aproximación. SI tenemos que establecer medidas para EVITAR el ataque, pero poniendo como símil el COVID, la gran mayoría de ciudadanos lo ha pillado. Muchos no lo saben, y por más medidas que hemos puesto, el virus ha encontrado alguna "brecha de seguridad".
Con el ransomware ocurre lo mismo. Pensar que el Ransomware no es el vector de ataque, es el "payload", es en lo que va a desembocar un ataque, producida por distinta vulnerabilidades, por lo que su defensa es muy compleja, y tenemos que trabajar mucho en la mitigación/contención/detección.
Un ransomware te puede entrar mediante una pieza de malware distribuida por correo, en una descarga, en la visita de una web, instalando un componente, o te puede entrar por un zero day, o por una vulnerabilidad en un server sin actualizar, o en un servicio mal configurado con una contraseña débil, o mediante un ataque de phishing y robo de credenciales de acceso a distintos entornos como vpn, rdp, etc...
El ransomware es la manera que el cibercrimen ha encontrado para todos los ataques que hemos visto durante años, insisito, protegernos es MUY COMPLEJO.
Cuando hago auditorías de ciberseguridad encuentro administradores o responsables que no entienden esto, y cuando le dices de iniciar una fase del pentest, con credenciales de red, de distintos ámbitos, es decir, un usuario plano, y un usuario no tan plano... se sorprenden...
Por supuesto que yo voy a intentar conseguir hacerme admin sin ayuda... pero es de vital importancia medir la ciberseguridad desde todos los puntos. El que más se entiende es el externo, el blackbos, no te digo nada y dime hasta donde llegas, pero tenemos que ser capaces de defendernos antes otros escenarios.
Yo te preunto a ti, amigo lector:
- Imagina un entorno en el que el malo tiene el usuario administrador del dominio.
- Imagina un entorno en el que el malo ha deshabilitado el antivirus.
- Imagina un entorno en el que el malo accede a distintos segmentos de red.
Entonces, por qué solo le ponemos foco en que no ocurra el compromiso inicial? Deberíamos trabajar muy mucho en la parte de la detección y contención. No es lo mismo que se cifre un equipo, que las cabinas con los hypervisores y las máquinas.
- Auditoria.
- Fortificación
- Monitorización/Respuesta
