Los expertos de Kaspersky realizaron un análisis en profundidad de las tácticas, técnicas y procedimientos de los ocho grupos de ransomware más comunes: Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat. Comparando los métodos y herramientas en las diferentes etapas del ataque, llegaron a la conclusión de que muchos grupos siguen el mismo patrón. Esto permite crear medidas universales eficaces que pueden proteger la infraestructura de la empresa contra el ransomware.
Los detalles del estudio, que cuenta con un análisis detallado de cada técnica y ejemplos de su uso en la vida real, se pueden encontrar en el informe Common TTPs of modern ransomware groups. También contiene reglas para detectar técnicas maliciosas en el formato SIGMA.
El informe está dirigido principalmente a los analistas de SOC, a los expertos en la detección de amenazas y en la inteligencia de amenazas, y a los especialistas en investigación y respuesta a problemas o incidentes. Sin embargo, nuestros investigadores también han recopilado en el informe las mejores prácticas para combatir el ransomware. Creemos que es útil hacer en nuestro blog un recordatorio sobre las principales recomendaciones prácticas para proteger la infraestructura empresarial frente a las intrusiones.
Prevenir intrusiones
La opción ideal es detener el ataque de ransomware antes de que la amenaza se acerque al “perímetro” corporativo. Las siguientes medidas ayudarán a reducir el riesgo de intrusión:
- Filtrar el tráfico entrante. Las políticas de filtrado deben implementarse en todos los dispositivos que sean una frontera con el exterior: routers, firewalls, sistemas IDS. No hay que olvidar el filtrado del correo de spam y phishing. Es aconsejable utilizar el Kaspersky Sandbox para validar los archivos adjuntos en un correo electrónico.
- Bloqueo de sitios web maliciosos. Restringir el acceso a sitios web maliciosos conocidos. Por ejemplo, implementando servidores proxy de interceptación. También se pueden utilizar las fuentes de datos de inteligencia de amenazas para tener listas actualizadas de las ciberamenazas.
- Inspección Profunda de Paquetes (DPI). Una solución de clase DPI a nivel de puerta de enlace te permitirá comprobar el tráfico en busca de malware.
- Bloqueo de código malicioso. Utilizar firmas para bloquear el malware.
- Protección RDP. Desactivar el RDP siempre que sea posible. Si por alguna razón no puedes dejar de usarlo, coloca los sistemas con un puerto RDP abierto (3389) detrás de un cortafuegos y permite el acceso a ellos solo a través de una VPN.
- Autenticación multifactor. Utilizar la autenticación multifactor, contraseñas fuertes y políticas de bloqueo automático de cuentas en todos los puntos a los que se pueda acceder de forma remota.
- Listas de conexiones permitidas. Aplicar el listado de IP permitidas mediante cortafuegos de hardware.
- Corregir las vulnerabilidades conocidas. Instalar oportunamente parches para vulnerabilidades en sistemas de acceso remoto y dispositivos con conexión directa a Internet.
El informe también contiene consejos prácticos sobre la protección contra la explotación y los movimientos laterales, así como recomendaciones para contrarrestar las fugas de datos y cómo prepararte para un incidente.
Protección adicional
Para dotar a las empresas de herramientas adicionales que puedan ayudar a eliminar la ruta de propagación de un ataque lo antes posible y a investigar un incidente, también hemos actualizado nuestra solución EDR. La nueva versión, recomendada para empresas con procesos de seguridad IT consolidados, se llama Kaspersky Endpoint Detection and Response Expert. Puede desplegarse en la nube o en las propias oficinas. Puedes obtener más información sobre el potencial de esta solución aquí.