La respuesta de OptimumTIC a la COVID-19. Más información

Blog

Prevención, Análisis y respuesta: Las herramientas líderes para hacer frente a todo tipo de ciberataques

Publicado 18 de noviembre de 2021
Prevención, Análisis y respuesta: Las herramientas líderes para hacer frente a todo tipo de ciberataques

Prevención, Análisis y respuesta: Las herramientas líderes para hacer frente a todo tipo de ciberataques

Cada día nos despertamos con nuevos titulares en los medios de comunicación sobre Ciberataques que dejan paradas a las empresas. Los ciberataques cada vez son más numerosos y utilizan técnicas más sofisticadas para conseguir sus objetivos.

Pero ¿Por qué los ciberdelincuentes han conseguido incrementar el éxito y el efecto de sus ciberataques? Lo cierto es que varios factores han favorecido esta situación. En primer lugar, las nuevas metodologías de trabajo han creado nuevas oportunidades, nuevas vías y vulnerabilidades que han sido aprovechadas por los ciberdelincuentes. En segundo lugar, la rápida y continua evolución tecnológica, que afecta tanto a aspectos positivos como negativos, ataques más sofisticados. Por último, la inmediatez, el crecimiento de ataques en un corto periodo de tiempo ha hecho que las organizaciones no estuvieran preparadas ni protegidas ante la posibilidad de ser atacadas.

Dentro del actual contexto de ciberataques, se ha destacado mucho el papel que está ejerciendo el Ransomware Conti.

¿Qué es el ransomware conti?

El ransomware conti es una variante del modelo ransomware como servicio (RaaS). El RaaS funciona de una forma muy similar a las aplicaciones SaaS que consumimos en nuestro día a día, pero con la diferencia de que en vez de tratarse de aplicaciones de ofimáticas o de ventas desarrolladas por Microsoft, se trata de un grupo que desarrollado un ransomware y lo empaqueta en un kit con todo lo necesario para poder llevar a cabo un ataque exitoso, publicándolo en la dark web. Los métodos más habituales para consumir estos kits son los siguientes.

  • Pagando una suscripción mensual a cambio de poder usar el kit.
  • A través de un programa de afiliados donde se paga una suscripción mensual y una comisión de los beneficios del rescate.
  • Otras modalidades. 

En este caso decimos de Conti que es una variante, ya que por lo que han publicado agencias como Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) o la Oficina Federal de Investigaciones (FBI) parece ser que la organización que gestiona conti ransomware pague un salario a los implementadores del malware y a cambio estos les den un porcentaje de las ganancias.

Este ransomwre fue detectado por primera vez en un incidente en diciembre del 2019 y hemos visto como su impacto ha crecido de forma muy importante durante este 2021 con más de 400 ataques en todo el mundo. Ya en 2020 los principales fabricantes de la industria de la cyberseguridad como Cortex de Palo Alto Neworks y SentinelOne realizaron revisiones en detalle de este virus para implementar mecanismos de detección especializados y publicaron informes alertando de estas nuevas técnicas de ataque.

Este malware cuenta con muchas variantes diferentes para poder infiltrase en la infraestructura, pero una de las más comunes es la siguiente:

  • Paso 1 infiltración del Malware: Los atacantes envían una campaña de phishing que contiene un fichero adjunto o un enlace malicioso. Otra vía muy común es explotando vulnerabilidades públicas sobre los servicios de la compañía.
  • Paso 2 Ejecución: Los atacantes ejecutan una carga útil previa encargada de recopilar información del entorno y hacerse con las credenciales de los usuarios que hayan iniciado sesión en la maquina infectada.
  • Paso 3 Persistencia: Los atacantes utilizarán herramientas legitimas de administración remota prexistente en la red o las añadirán para poder garantizarse una puerta trasera a la infraestructura.
  • Paso 4 Movimiento lateral y persistencia: Una vez dentro de la red y con la persistencia asegurada, los atacantes buscaran realizar movimientos laterales y escalación de privilegios obteniendo las credenciales sin cifrar de las máquinas de la red y explotando vulnerabilidades de otros elementos que sean vulnerables al no estar al día con los parches de seguridad.
  • Paso 5 Filtración de datos y encriptado: Conti comenzara su ejecución filtrando a servidores remotos toda la información posible sobre los equipos, mientras busca cualquier carpeta compartida en la red y empieza a encriptar con AES-256/RSA4096 los datos de forma muy rápida utilizando hasta 32 subprocesos a través de Microsoft CryptoAPI.
  • Paso 6 La extorsión: Con los datos filtrados y las maquinas encriptadas, los atacantes solicitaran un rescate con un fichero llamado README.TXT en todas las carpetas del sistema. 

La doble extorsión

Los ataques de ransomware clásicos que conocíamos hasta el momento, se limitaban a cifrar los datos y obligar a las empresas victima a pagar un rescate para desencriptar los datos y recuperarlos. Lo que ha hecho muy poco eficiente contra empresas que tuvieran implementados buenos sistemas de backup que les permitieran recuperar el núcleo de las operaciones en un corto periodo de tiempo.

Así que los actores que realizan este tipo de ataques de ransomware añadieron un segundo factor de extorción para obligar a las víctimas a pagar un rescate. Esta nueva generación de ransomware como Conti, además de cifrar los datos para hacerlos inaccesibles, roban los datos y amenazan de en caso de que la víctima no page el rescate el tiempo establecido, los operadores de ransomware filtraran los datos robados en un sitio web de filtración de datos conocido de la dark web.

¿Cómo protegernos de estas amenazas?

Actualmente el reto de las organizaciones es trabajar en la prevención y mitigación de aquellas vulnerabilidades que pudieran dar paso a estos ciberataques. Es importante disponer de soluciones de endpoint protection, desarrolladas para luchar contra amenazas avanzadas. Este tipo de soluciones proporcionan una amplia protección y visibilidad de endpoints.

Desde OptimumTIC somos partners desde hace años de dos de las herramientas líderes del mercado de endpoint antimalware – Da y “0” como es protection SentinelOne y Cortex de Palo Alto Networks, que ambos anunciaron con preaviso este tipo de ramsomware como Conti. 

Por un lado, SentinelOne une en una sola plataforma y un solo flujo de trabajo la seguridad y control de firewalls, EDR, dispositivos e integraciones, entre otros. Proporcionando así una arquitectura flexible y trabajando con la tecnología Storyline, la cual proporciona correlaciones y contextos en tiempo real y respuesta inmediata gracias al Active EDR.

Cortex, por otro lado, que unifica en una plataforma todas las necesidades de SOC.  Cortex XDR ofrece una protección integral al integrar todos los datos de seguridad clave para detener ataques sofisticados. De esta manera elimina los puntos ciegos con visibilidad completa, simplifica las operaciones de seguridad para reducir el tiempo de respuesta, aprovecha la escala de la nube y reduce costes mediante la consolidación de herramientas.

Ambas herramientas proporcionan un control y visibilidad total de las amenazas, ejecutando una respuesta automatizada ante estas.

En OptimumTIC, asesoramos e implementamos dichas herramientas según las necesidades de cada cliente. Previamente, con el fin de identificar el nivel de seguridad de nuestros clientes, realizamos auditorías completas. A partir de estas auditorías se elabora un plan estratégico en ciberseguridad, dónde se contemplan aquellas herramientas idóneas para la organización, en este caso, SentinelOne o Cortex. Gracias a nuestro equipo de técnicos certificados en ambas herramientas, ofrecemos un servicio basado en la mejora continua y en la cobertura 360 º.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com

OptimumTIC

OptimumTIC, Auditoria y Ciberseguridad al más alto nivel.

Siempre a la altura de nuestros clientes.

Contacta con nosotros

Plaça de Francesc Macià, 7
Barcelona 08029
Teléfono: 932 527 467
Email: info@optimumtic.com

Certificados en la ISO 27001

ISO 27001

Certificados en protocolo contra el covid-19

Protocolo contra el covid-19

Gestión Excelencia Empresarial

Gestión Excelencia Einforma

Empresa registrada en el INCIBE

Registrada en el INCIBE