Checklist de respuesta a incidente: Ransomware
En caso de ser atacado por un malware de tipo Ransomware, deberemos seguir los pasos descritos en este checklist
El ransomware es un tipo de malware que cifra los archivos de una computadora y los bloquea hasta que el usuario paga una tarifa para recuperar el acceso a ellos. Esta amenaza es una de las principales preocupaciones de la seguridad informática en estos días, ya que los ciberdelincuentes usan esta técnica para extorsionar a las víctimas y obtener dinero.
Las consecuencias del ransomware pueden ser devastadoras para las organizaciones afectadas. Los ciberdelincuentes pueden bloquear el acceso a los datos críticos de una empresa, lo que puede tener un efecto paralizante en la capacidad de la empresa para operar. Los datos críticos pueden estar bloqueados durante un período prolongado de tiempo si los ciberdelincuentes no reciben el rescate que exigen.
En caso de sospecha de ser infectado por malware de ransomware, sigue la siguiente lista de tareas a realizar.
El ransomware suele ser detectado primero por los usuarios finales
Crea conciencia sobre el ransomware para que cualquiera que vea una anomalía la reporte al personal departamental de TI o al Centro de operaciones de seguridad
Identifique los sistemas y las cuentas involucradas en la violación inicial. Esto puede incluir cuentas de correo electrónico.
Detecte los signos de ataque
Se muestra un mensaje de rescate que indica que los archivos del usuario han sido encriptados y solicita un pago (a menudo en criptomonedas como Bitcoin) para recuperar los archivos.
Usuarios que informan que sus archivos (en el disco local y/o en un recurso compartido de red) no son accesibles, están dañados o han sido reemplazados por versiones con extensiones de archivo extrañas (. xyz, . abc, . aaa, etc.).
Numerosos archivos siendo modificados en un corto período de tiempo.
Alto uso de CPU en la computadora infectada.
El usuario informa que se están recibiendo correos electrónicos extraños de aspecto profesional (que a menudo afirman ser facturas) que contienen archivos adjuntos que no se cargan correctamente.
Las amenazas de bajo nivel, como escaneos de red, sondeos o intentos de entrada fallidos, generalmente se consideran normales según la mayoría de los estándares. Estas amenazas rara vez se abordan directamente, si es que se abordan. En cambio, la mayoría de las organizaciones confían en herramientas basadas en software como software antivirus, software antimalware y firewalls de red para hacer que la mayoría de estos ataques rudimentarios sean discutibles.
El uso inadecuado de la red, paquetes y conexiones abiertas sospechosas
Los ataques de acceso no autorizado y de denegación de servicio (DOS) generalmente se consideran amenazas de alto nivel. Dado que estos incidentes tienen el potencial de cerrar todo su sistema o acceder a datos confidenciales, estas actividades deben identificarse adecuadamente y contenerse por completo lo más rápido posible
Aísle los sistemas afectados: En la mayoría de los casos, el programa ransomware escaneará su red en busca de vulnerabilidades para propagarse lateralmente a otras partes de la red, por lo que es crucial que aísle los sistemas afectados lo más rápido posible.
Mandar a contención todo posible archivo infectado
Obtenga acceso al entorno, ya sea a través de medios físicos o acceso remoto cuidadosamente restringido.
Detenga el cifrado malicioso / eliminación de datos.
Cambiar los permisos de acceso a archivos.
Mata los procesos maliciosos.
Deshabilite los mecanismos de persistencia, como los procesos de supervisión, las tareas programadas y los scripts de inicio automático.
Detener la exfiltración de datos.
Compruebe las alertas, los registros y el tráfico de red saliente en busca de signos de comunicaciones salientes sospechosas.
Bloquee el tráfico de red saliente sospechoso en el firewall perimetral o en un firewall interno intermediario si está disponible.
Bloquear el acceso a cualquier servicio en la nube o sitio de intercambio de archivos utilizado por el adversario para transferir datos.
No permitir el uso de utilidades como aplicaciones FTP, PowerShell y Win-SCP si no es necesario.
Restrinja el acceso al repositorio de datos modificando permisos, roles y configuraciones de aplicaciones según corresponda.
Elimine cualquier regla de reenvío de correo electrónico creada por un adversario.
Considere cortar todo el tráfico de red como medida temporal.
Bloquea a los hackers.
Eliminar los servicios de conexión remota.
Restablecer contraseñas para cuentas locales y en la nube.
Audite y elimine las cuentas recién creadas.
Implemente la autenticación multifactor.
Restringir las comunicaciones perimetrales.
Minimice el acceso de terceros.
Mitigue los riesgos de software comprometido.
Asegure sus copias de seguridad, En caso de un ataque de ransomware, lo primero que intentarán hacer la mayoría de las organizaciones es restaurar una copia de seguridad para evitar pagar el rescate. Por supuesto, los atacantes serán conscientes de esto y, por lo tanto, harán todo lo posible para localizar las copias de seguridad y cifrarlas o eliminarlas. Las organizaciones siempre deben tratar de mantener una copia fuera de línea de sus copias de seguridad y asegurarse de que estén protegidas con contraseña.
Deshabilitar todas las tareas de mantenimiento, Después de un ataque de ransomware, su equipo de seguridad deberá iniciar una investigación forense sobre la causa del incidente. Esto implicará examinar los archivos de registro, buscar vulnerabilidades, etc. Sin embargo, ciertas tareas de mantenimiento, como las tareas que eliminan archivos temporales o innecesarios, instalan actualizaciones, etc., pueden interferir con la investigación y deben desactivarse.
Solo en caso de que no pueda desconectar los dispositivos de la red, apáguelos para evitar una mayor propagación de la infección del ransomware
Llevar a cabo una erradicación completa solo es posible después de haber analizado y entendido a fondo la amenaza original.
Eliminación y reemplazo de archivos afectados
Parchar o corregir las vulnerabilidades restantes
Migrar o mover recursos no afectados a nuevos sistemas
Actualización de sistemas heredados más antiguos
Instalación de protección de red adicional
Vuelva a formatear el disco duro y vuelva a crear la imagen de la computadora. Si la computadora ha sido infectada y todos los archivos del usuario han sido encriptados, entonces la única solución es reformatear el disco duro, volver a crear una imagen del sistema y almacenar archivos críticos desde una copia de seguridad.
Instale todos los parches del sistema operativo y active las actualizaciones automáticas.
Investigue al adversario para reunir inteligencia procesable que pueda guiar la respuesta.
Alcance el incidente para comprender el alcance y el impacto completos; documente sus hallazgos para uso del equipo y terceros involucrados en la respuesta.
Determinar si se requerirá una investigación formal de incumplimiento , basada en obligaciones legales, regulatorias y contractuales.
Conserve la evidencia de fuentes como software y dispositivos de seguridad, notas de rescate, artefactos del sistema y registros de autenticación.
Triage de los sistemas afectados para la restauración y recuperación.
Identifique y priorice los sistemas críticos para la restauración, y confirme la naturaleza de los datos alojados en los sistemas afectados.
Priorice la restauración y la recuperación en función de una lista de activos críticos predefinida que incluya sistemas de información críticos para la salud y la seguridad, generación de ingresos u otros servicios críticos, así como sistemas de los que dependen.
Realice un seguimiento de los sistemas y dispositivos que no se perciben afectados para que puedan ser despriorizados para la restauración y recuperación. Esto permite a su organización volver al negocio de una manera más eficiente.
Resolver ataques de denegación de servicio
Busca amenazas.
Utilice herramientas de búsqueda de amenazas como la detección y respuesta de puntos finales (EDR), la información de seguridad y la gestión de eventos (SIEM) y los escáneres de vulnerabilidades para buscar signos de actividad sospechosa.
Quite hosts o máquinas virtuales (VM) sospechosos del entorno.
Desactive cuentas de usuario inexplicables o malintencionadas.
Deshabilite las aplicaciones de software recién instaladas o sospechosas.
Erradicar cualquier otra fuente de amenazas potenciales.
Genere datos de firmas para cualquier amenaza identificada y actualice las soluciones de seguridad para aprovechar la nueva información.
Tome una imagen del sistema y una captura de memoria de una muestra de dispositivos afectados (por ejemplo, estaciones de trabajo y servidores). Además, recopile cualquier registro relevante, así como muestras de cualquier binario de malware "precursor" y observables asociados o indicadores de compromiso (por ejemplo, sospecha de IP de comando y control). direcciones, entradas de registro sospechosas u otros archivos relevantes detectados).
Tenga cuidado de preservar la evidencia que es de naturaleza altamente volátil, o limitada en retención, para evitar la pérdida o la manipulación (por ejemplo, memoria del sistema, registros de seguridad de Windows, datos en búferes de registro de firewall).
Consulte diversas fuentes en busca de descifradores, ya que los investigadores de seguridad ya han roto los algoritmos de cifrado para algunas variantes de ransomware.
Busque evidencia de malware precursor "gotero". Un evento de ransomware puede ser evidencia de un compromiso de red anterior no resuelto. Muchas infecciones de ransomware son el resultado de infecciones de malware existentes como TrickBot, Dridex o Emotet.
Realizar análisis extensos para identificar mecanismos de persistencia de afuera hacia adentro y de adentro hacia afuera.
La persistencia de afuera hacia adentro puede incluir acceso autenticado a sistemas externos a través de cuentas no autorizadas, puertas traseras en sistemas perimetrales, explotación de vulnerabilidades externas, etc.
La persistencia de adentro hacia afuera puede incluir implantes de malware en la red interna o una variedad de modificaciones de estilo de vida fuera de la tierra (por ejemplo, uso de herramientas comerciales de prueba de penetración como Cobalt Strike; uso de la suite PsTools, incluido PsExec, para instalar y controlar malware de forma remota y recopilar información sobre sistemas Windows o realizar administración remota de ellos; uso de scripts de PowerShell).
La identificación puede implicar la implementación de soluciones de detección y respuesta de puntos finales, auditorías de cuentas locales y de dominio, examen de datos encontrados en sistemas de registro centralizados o análisis forense más profundo de sistemas específicos una vez que se ha mapeado el movimiento dentro del entorno.
Después de analizar el incidente y erradicar cualquier amenaza inmediata, es hora de comenzar el proceso de restauración y recuperación. La duración de esta fase, y el esfuerzo que requiere, depende de la magnitud del daño.
Reconstruya sistemas basados en una priorización de servicios críticos (por ejemplo, salud y seguridad o servicios generadores de ingresos), utilizando imágenes estándar preconfiguradas, si es posible.
Valide el sistema restaurado y que vuelva a su estado normal.
Verifique que todos los parches del sistema operativo estén instalados y que las actualizaciones automáticas estén activadas.
Vuelva a instalar todo el software necesario y verifique que estén actualizados y que las actualizaciones automáticas estén activadas siempre que sea posible.
Instale el software antivirus, actualice las firmas antivirus y realice un análisis completo.
Localice la copia de seguridad limpia más reciente del sistema y utilícela para restaurar los archivos del usuario
Una vez que el entorno se haya limpiado y reconstruido por completo (incluidas las cuentas afectadas asociadas y la eliminación o corrección de mecanismos de persistencia malintencionados), emita restablecimientos de contraseñas para todos los sistemas afectados y aborde cualquier vulnerabilidad asociada y brechas en seguridad o visibilidad. Esto puede incluir la aplicación de parches, la actualización de software y la toma de otras precauciones de seguridad que no se habían tomado anteriormente.
Vuelva a conectar los sistemas
Tenga cuidado de no volver a infectar los sistemas limpios durante la recuperación. Por ejemplo, si se ha creado una nueva red de área local virtual con fines de recuperación, asegúrese de que solo se agreguen sistemas limpios
Realice un análisis exhaustivo de amenazas para identificar si los sistemas están 100% limpios.
Documente las lecciones aprendidas del incidente y las actividades de respuesta asociadas para informar las actualizaciones y refinar las políticas, planes y procedimientos de la organización y guiar los ejercicios futuros de los mismos.
Considere compartir las lecciones aprendidas y los indicadores relevantes de compromiso con CISA o su sector ISAC / ISAO para compartir aún más y beneficiar a otros dentro de la comunidad.