Ransomware: Ciberdefensa y consejos varios

Workshop dedicado a las estrategias de ciberdefensa contra el ransomware. Durante este taller, los participantes se sumergieron en el uso de frameworks líderes como MITRE ATT&CK y NIST CSF, y adquirieron conocimientos en defensa informada de amenazas para proteger eficazmente sus entornos contra ataques de ransomware.

---

Diferencia entre nota de rescate y ransomware:

Nota de rescate 📜: Es un mensaje que aparece en los dispositivos de las víctimas una vez que el ransomware ha cifrado los archivos.

Su objetivo es informar a la víctima que sus datos han sido secuestrados y ofrecer instrucciones para el pago del rescate.

Ransomware 🦠: Es el malware en sí que infecta los sistemas, se propaga y cifra los archivos o sistemas para luego exigir un rescate para su descifrado.

**

Fases del ataque según el Cyber Kill Chain -Simplificado-:

• **Reconocimiento 🔍: **El atacante identifica vulnerabilidades en el sistema objetivo.
• Arma ⚔️: Creación del malware (ransomware) que se utilizará en el ataque.
• **Entrega 📧: **El ransomware se envía al objetivo, por ejemplo, a través de un correo electrónico de phishing.
• Explotación 💥: El ransomware se activa al abrir el usuario el archivo malicioso.Instalación 🔧: El ransomware se instala en el sistema, otorgando al atacante el control
• Comando y Control (C2) 📡: El ransomware puede comunicarse con un servidor externo para recibir instrucciones adicionales o para enviar información del sistema infectado.
• **Acciones sobre objetivos 🎯: **El ransomware cifra los archivos y muestra la nota de rescate.

Ejemplo de algunas Técnicas de MITRE ATT&CK:

• T1193 (Spearphishing Attachment)📬: Entrega de ransomware a través de un adjunto malicioso en un correo electrónico.
• T1486 (Data Encrypted for Impact)🔒: Cifrado de datos para impactar a la víctima y forzar el pago del rescate.
• **T1071 (Application Layer Protocol)🌐: **Uso de protocolos de la capa de aplicación para la comunicación C2.

**Ejemplos concretos: **Un ciberataque puede estar en curso sin que se haya detectado si el ransomware ha logrado evadir las soluciones de seguridad y aún no ha activado la nota de rescate 🕵️‍♂️.

Por ejemplo, el ransomware podría estar en la fase de movimiento lateral dentro de la red, intentando acceder y cifrar servidores críticos antes de revelar su presencia. La nota de rescate solo ocurre después de que el ransomware ha completado su objetivo principal (cifrado de archivos), por lo que las acciones preventivas son limitadas en ese momento 🚨. El daño ya está hecho y la tarea se centra en la recuperación y mitigación.

Ejemplos de distintos casos de Ransomware MITRE ATT&CK:

• **Conti **https://attack.mitre.org/software/S0575/
• **BlackCat **https://attack.mitre.org/software/S0575/
• **NotPetya **https://attack.mitre.org/software/S0368/
• **Ver más: **https://attack.mitre.org/software/

Ejemplos de distintos casos de Ransomware ATTCK FLOW:

• Conti https://center-for-threat-informed-defense.github.io/attack-flow/ui/?src=..%2fcorpus%2fConti%20Ransomware.afb
• **Maastricht University Ransomware **https://center-for-threat-informed-defense.github.io/attack-flow/ui/?src=..%2fcorpus%2fMaastricht%20University%20Ransomware.afb
• NotPetya https://center-for-threat-informed-defense.github.io/attack-flow/ui/?src=..%2fcorpus%2fNotPetya.afb
• **Ragnar Locker **https://center-for-threat-informed-defense.github.io/attack-flow/ui/?src=..%2fcorpus%2fRagnar%20Locker.afb
• **Ver más: **https://center-for-threat-informed-defense.github.io/attack-flow/example_flows/

Mientras que una nota de rescate indica que el ransomware ya ha ejecutado su carga útil, la detección y respuesta tempranas a indicadores de compromiso relacionados con el ransomware pueden prevenir o mitigar el daño antes de que la nota de rescate sea siquiera desplegada. Los enfoques de seguridad deben enfocarse tanto en la prevención de la instalación y ejecución del ransomware como en la detección rápida de sus actividades maliciosas.

🛡️Es cierto que todos podemos ser víctimas de un ciberataque, la detección es antes de ser víctimas, si su equipo de monitoreo ve una nota de rescate, detecto 0, todo lo demás viene después en la respuesta “Prepárate para responder”. (Steps, Flow, Att&ck, Playbook, etc).

---

Measure, Maximize, and Mature: Defensa Informada por Amenazas (M3TID) 🛡️🎯de MITRE Engenuity

El proyecto Measure, Maximize, and Mature Threat-Informed Defense (M3TID) define lo que significa una defensa informada por amenazas y las actividades clave asociadas con su práctica. Este proyecto captura perspectivas y mejores prácticas sobre lo que significa estar informado por amenazas a lo largo de un programa de seguridad, expandiendo las dimensiones de la Defensa Informada por Amenazas en componentes clave que las organizaciones pueden implementar.

Las tres dimensiones de la defensa informada por amenazas incluyen:

• Inteligencia sobre Amenazas Cibernéticas (CTI) 🕵️‍♂️📊
• Mantenerse al día con la información vital sobre las amenazas actuales y emergentes para anticipar movimientos de adversarios.
• Medidas Defensivas (Contramedidas) 🛡️⚔️
• Implementar y ajustar tácticas, técnicas y procedimientos que neutralicen o mitiguen las amenazas identificadas.
• Pruebas y Evaluación 🧪📝
• Verificar la efectividad de las estrategias defensivas mediante pruebas rigurosas y evaluaciones periódicas para asegurar que las defensas estén funcionando como se espera y adaptarse a las nuevas amenazas.

Fuente:https://lnkd.in/eMTY4xFM

Referencias

Framework

• https://csrc.nist.gov/pubs/ir/8374/final
• https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8374.pdf
• https://www.cisa.gov/stopransomware/ransomware-guide
• https://www.cisecurity.org/insights/blog/a-blueprint-for-ransomware-defense-using-the-cis-controls
• https://securityandtechnology.org/ransomwaretaskforce/
• https://trustmapp.com/ransomware-readiness/
• https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks
• https://securityandtechnology.org/wp-content/uploads/2021/04/IST-Ransomware-Task-Force-Report.pdf
• https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html
• https://www.ncsc.gov.uk/section/advice-guidance/all-topics?allTopics=true&topics=ransomware&sort=date%2Bdesc
• https://insights.sei.cmu.edu/library/an-updated-framework-of-defenses-against-ransomware/
• https://www.lrseducationservices.com/courses/id/2367/ncsf-ransomware-nist-cybersecurity-framework-ncsf-ransomware-risk-management/course-detail
• https://www.rubrik.com/bin/get/content?token=sUiYEa6-_KX6YiX1o58NZvcyjmXmie_rICpJnzNu5bZSC6ihZte9170Fn2Yi_kZy18du7mxoe9G96Ls8FwRGDmIPVAPVZYhxPLjvl_twumCCjpI8VjVW-PECdmgb2tIE_dReWt3w6ji-dI4bxw3FsA==
• https://www.rapid7.com/fundamentals/ransomware/
• https://www.eccouncil.org/cybersecurity-exchange/cyber-talks/incident-response-and-ransomware-negotiations/

Playbook:

• https://github.com/counteractive/incident-response-plan-template/blob/master/playbooks/playbook-ransomware.md
• https://github.com/demisto/content/blob/master//Packs/Ransomware/Playbooks/playbook-ransomware_README.md
• https://github.com/aws-samples/aws-incident-response-playbooks/blob/master/playbooks/IRP-Ransomware.md
• https://github.com/demisto/content/blob/master//Packs/Core/Playbooks/playbook-Ransomware_Response_README.md
• https://github.com/CyberSecurityUP/Red-Team-Management/blob/main/Ransomware%20Playbook.docx
• https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_S3.md
• https://github.com/austinsonger/Incident-Playbook/blob/main/Playbooks/MITRE-ATTACK/Impact/T1486-Data-Encrypted-for-Impact-Ransomware.md

MITRE ATT&CK:

• https://mitre-attack.github.io/attack-navigator/
• https://attack.mitre.org/techniques/T1598/
• https://center-for-threat-informed-defense.github.io/m3tid/spreadsheet/
• https://center-for-threat-informed-defense.github.io/m3tid/M3TIDScoringSpreadsheet.xlsx
• https://mitre-engenuity.org/cybersecurity/center-for-threat-informed-defense/our-work/attack-flow

Detección y precisión

• https://medium.com/@gogasca_/precisi%C3%B3n-y-recuperaci%C3%B3n-precision-recall-dc3c92178d5b

Framework de propósito general

• https://securecontrolsframework.com/domains-principles/

---

📣 ¡Sígueme en mis redes sociales! 📣¿Quieres estar al día con las últimas tendencias en tecnología, ciberseguridad y educación? 🖥️

💡Soy Profesor Vargas 👨🏫👉

Puedes estudiar conmigo este curso pensando en entender y profundizar el fenómeno del Ransomware.

¡Sígueme en LinkedIn!

https://diplomadociberseguridad.com/ciberdefensa-contra-ransomware/

** Comparto valiosos insights, tutoriales y contenidos exclusivos para todos aquellos apasionados por el mundo digital. 🌍💼🚀

Sígueme en mis redes sociales:

**🚀Redes Sociales TTPSec Spa:📸 **

• Instagram: ttpsecspa👍
• Fanpage Facebook: ttpsecspa🕺
• Tiktok: profesorsvargas🐦
• Twitter: profesorsvargas🎥
• Youtube: profesorsvargas
• 🔗 Linkedin: TTPSec