El equipo de respuesta a amenazas gestionado por Sophos se enfrenta cara a cara con el ransomware REvil. Un caso específico muestra cómo trabajaron los ciberdelincuentes, cómo el equipo de Respuesta a amenazas administradas (MTR) finalmente tomó la delantera y qué lecciones deben aprender las empresas del incidente.
Al igual que muchas otras familias de ransomware, los ciberdelincuentes utilizan el ransomware REvil para robar y cifrar datos y luego exigir el mayor rescate posible. Sin embargo, lo que hace especial a REvil es la forma en que el ransomware está disponible. Como si se tratara de un negocio normal, los fabricantes ofrecen su "producto" como un servicio que incluso puede arrendar; esto le da una buena indicación de que el reino de los ciberdelincuentes es un negocio multimillonario.
Ataque REvil: $ 2 millones de rescate
El ejemplo actual de una empresa de medios a la que los chantajistas exigieron un rescate de más de dos millones muestra cómo funciona el ataque y cómo se puede contrarrestar a los delincuentes de manera efectiva. Con alrededor de 600 dispositivos en red, incluidos 25 servidores y tres dominios de Active Directory para operar las 24 horas del día, los 7 días de la semana, esta empresa también se vio obligada a trasladar gran parte de su trabajo diario a oficinas remotas después de la ola de COVID-19. Se conectaron estaciones de trabajo externas a la red y se ajustó la conexión a Internet, todas acciones bien intencionadas en términos de los requisitos necesarios. Pero abrió la puerta al ataque REvil.
Habiendo penetrado en la red, los delincuentes se dirigieron a los dispositivos desprotegidos y otros sistemas en línea, instalaron sus herramientas de ataque y las usaron para extender el ataque a más dispositivos.
Fuerza de respuesta rápida
Cuando se llamó al equipo de respuesta rápida de Sophos para realizar una investigación exhaustiva de la escena del crimen, rápidamente quedó claro que los atacantes de REvil ya habían comprometido varias cuentas y se movían libremente entre computadoras desprotegidas. Una mirada más cercana a las aplicaciones mostró que 130 puntos finales estaban equipados con el software Screen Connect 130, que a menudo se usa como una herramienta de colaboración para oficinas remotas. De hecho, la empresa no estaba al tanto de estas instalaciones, lo que sugiere que los atacantes instalaron esta herramienta junto con otros programas para sus fines delictivos.
Intercambio directo de golpes
A medida que los atacantes comenzaron a profundizar en la red, sabían que probablemente serían detectados y bloqueados, y que el equipo de MTR los perseguía. Sabían que se estaban utilizando herramientas de detección basadas en el comportamiento para rastrearlos y que CryptoGuard detectaría y bloquearía el cifrado. Luego, los atacantes intentaron penetrar en otros puntos finales desprotegidos para ejecutar el ransomware allí.
El intercambio directo de golpes entre el equipo de MTR y el atacante fue más intenso y complejo de lo habitual, ya que la empresa de medios tuvo que mantener la mayoría de los servidores en línea para mantener los sistemas y transmisiones 24/7. Eventualmente, la fiebre comenzó a disminuir. El segundo día, mientras aún se detectaban ataques esporádicos, estaba claro que el intento de ataque principal había terminado y había fracasado. El ganador de esta batalla lo tenía claro: el equipo MTR.
Balance y Perspectivas
Podría haber sido significativamente peor. El equipo de seguridad de TI descubrió que el daño se limitó principalmente a los dispositivos y dominios desprotegidos. El dominio en línea previamente protegido por un espacio de aire (opción de seguridad de la red) fue completamente destruido y tuvo que ser reconstruido, y también se eliminaron las copias de seguridad en línea.La buena noticia: aunque los atacantes lograron ingresar a la red, la empresa no estaba completamente quedó paralizado y tampoco tuvo que pagar un rescate exorbitante.
“En la mayoría de los casos, el ataque ya se está produciendo cuando nos llaman. Entonces podemos ayudar a contener, neutralizar e investigar las consecuencias”, dice Peter Mackenzie, gerente de respuesta rápida de Sophos. “En este caso, se nos pidió ayuda y estuvimos disponibles mientras se desarrollaba la fase final del ataque y pudimos ver tanto la determinación inicial de los atacantes como su creciente frustración. Y usaron todas las armas disponibles contra nosotros, disparando desde tantas direcciones como pudieron".
Dos hallazgos particularmente importantes
El primero se refiere a la gestión de riesgos. Cuando una empresa realiza cambios en un entorno, como mover una red de air-gapped a en línea, como en el caso de esta empresa, el riesgo cambia. Están surgiendo nuevas vulnerabilidades que los equipos de seguridad de TI deben identificar y eliminar.
El segundo hallazgo se refiere a la protección de datos. La primera cuenta comprometida en este ataque pertenecía a un miembro del equipo de TI. Todos los datos habían sido borrados. Esto significa que información valiosa como B. Se perdieron detalles del allanamiento original que podrían haberse utilizado para el análisis forense y la investigación. Cuanta más información se deje intacta, más fácil será comprender lo que sucedió y asegurarse de que no vuelva a suceder.
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.