Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 44 vistas

    Ataque de Ransomware-Caso Real

    Cargado por

    Dani GJ
    Una empresa sufrió un ataque de ransomware que encriptó archivos y servidores. Tras apagar equipos y aislar servidores, restauraron sistemas desde copias de seguridad pero algunas copias estaban inaccesibles. Diagnosticaron que el ataque comenzó con un correo malicioso y se propagó usando privilegios de administrador. Crearon un plan de acción por fases para restablecer servicios de forma escalonada.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Ataque de Ransomware-Caso Real

    Cargado por

    Dani GJ
    44 vistas4 páginas
    Una empresa sufrió un ataque de ransomware que encriptó archivos y servidores. Tras apagar equipos y aislar servidores, restauraron sistemas desde copias de seguridad pero algunas copias estaban inaccesibles. Diagnosticaron que el ataque comenzó con un correo malicioso y se propagó usando privilegios de administrador. Crearon un plan de acción por fases para restablecer servicios de forma escalonada.

    Título original

    ATAQUE DE RANSOMWARE-CASO REAL

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Una empresa sufrió un ataque de ransomware que encriptó archivos y servidores. Tras apagar equipos y aislar servidores, restauraron sistemas desde copias de seguridad pero algunas copias estaban inaccesibles. Diagnosticaron que el ataque comenzó con un correo malicioso y se propagó usando privilegios de administrador. Crearon un plan de acción por fases para restablecer servicios de forma escalonada.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    44 vistas4 páginas

    Ataque de Ransomware-Caso Real

    Cargado por

    Dani GJ
    Una empresa sufrió un ataque de ransomware que encriptó archivos y servidores. Tras apagar equipos y aislar servidores, restauraron sistemas desde copias de seguridad pero algunas copias estaban inaccesibles. Diagnosticaron que el ataque comenzó con un correo malicioso y se propagó usando privilegios de administrador. Crearon un plan de acción por fases para restablecer servicios de forma escalonada.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 4

    CASO REAL

    Ataque de Ramsomware

    En este caso real te mostramos como fue el ataque y que diagnóstico,


    resolución y planes de acción se tomaron.

    Ataque de Ransomware

    Se detectaron los primeros síntomas en el mal funcionamiento del servidor de


    base de datos y, posteriormente, se detectó en algunos equipos la presencia de
    ficheros encriptados y un fichero .html con dos direcciones de correo, habitual
    en este tipo de ataques, para el envío del rescate de los sistemas secuestrados.

    Se confirma que el RANSOMWARE es el RYUK, porque se detectan inicios de


    sesión en escritorios remotos con un usuario desconocido ajeno a la
    organización. EL ATAQUE ERA INMINENTE.

    Como sucede en estos casos, la primera medida fue apagar los equipos y aislar
    los servidores de la red, para que no continuase la propagación. También se
    procedió a la actualización del antivirus corporativo Kaspersky en los equipos y
    servidores.
    Además, se detectó un segundo síntoma. Se observaron rastros del virus en
    forma de ejecutables y la afectación a las políticas GPO del servidor de dominio
    de Windows, realizándose la propagación a través del despliegue de las
    políticas. Era evidente que la profundidad del ataque era tal que resultaba casi
    imposible evaluar el impacto y el alcance de las afectaciones en los sistemas
    informáticos.

    Las pruebas y análisis realizados con el antivirus Kaspersky, para la detección y


    eliminación del virus, no tuvieron éxito.

    Se decide restaurar desde copia de seguridad e instalar los sistemas desde su


    configuración inicial, después del fallido intento de resolución a través del
    software corporativo de antivirus. Al intentar restaurar las copias de seguridad,
    se detectaron dos problemas: el tiempo de recuperación, debido a la
    infraestructura actual de protección de datos y backup y sus elementos que lo
    componen dentro de un proceso de restauración, y lo más grave, la
    inaccesibilidad a algunas copias de seguridad dentro del sistema de backup.

    Era más que evidente que nos encontrábamos ante un escenario no sólo de
    ataque inminente de un RANSOMWARE y sus consecuencias, sino ante una
    situación posterior de aplicación de correctivos y mitigación de la incidencia
    que no daban los resultados esperados.

    Y es que, en un escenario de crisis, disrupción e indisponibilidad de los


    procesos de negocio, se hacía más que patente porque el tiempo jugaba en
    contra y no se encontraba una solución definitiva al problema, ni la garantía de
    que no volviese a producirse un nuevo brote de los síntomas, dada la
    profundidad del ataque, característica fundamental de estas nuevas variantes
    de ataque de RANSOMWARE como hemos mencionado.

    Por tanto, quedaba un largo camino hacía el restablecimiento de los sistemas,


    con las consecuencias que esto supone a nivel operativo, pero sobre todo de
    negocio.

    Diagnóstico

    De acuerdo con los síntomas, la afectación y a las características de ataque,


    todo indica que el inicio del incidente provino de una campaña específica de
    envío masivo de correos maliciosos que suplantaban la identidad de un
    usuario en los que había anexado un documento de tipo “Word “

    A pesar de que a nivel de cabecera del mensaje se veía claro que no provenía
    del servidor de correo corporativo, es probable que muchos usuarios
    procedieran a ejecutarlo pensando que era un documento inofensivo de trabajo
    habitual. Esto provocó la ejecución de una “macro” incluida en el documento
    que debía instalar algún tipo de software malicioso (por ejemplo, trickbot) para
    poder desplegar el ransomware Ryuk tras una fase de post-explotación y
    utilizando herramientas tipo “Cobalt Strike” de índole profesional.
    El software de antivirus Kaspersky no pudo detectarlo como un posible
    elemento malicioso, posiblemente porque muchos de los equipos de los
    usuarios no tenían instalada la última actualización y las firmas asociadas.

    Una vez dentro y antes de encriptar ficheros, este tipo de RANSOMWARE buscó
    los elementos Core, sobre todo servidores de Bases de Datos o de Directorio
    Activo. Para ello aprovechó vulnerabilidades de sistema operativo y
    deficiencias en gestión de contraseñas y permisos, habilitando sesiones de
    escritorio remoto con usuarios desconocidos, como fue en este caso.

    Además, el mal uso de las cuentas con privilegios de administrador facilitó la


    propagación de la GPO y la profundidad del ataque. Precisamente, esta
    facilidad de acceso a los sistemas pudo ser el motivo de la posible afectación
    del sistema de backup, con el objetivo de no poder recuperar los datos
    afectados.

    Resolución y planes de acción

    Ante este tipo de situaciones, se recomienda, aunque suene a tópico, mantener


    la calma en la toma de decisiones, porque cualquier paso en falso en los
    Planes de Acción estipulados puede suponer una pérdida importante de
    tiempo, que impacta directamente en los plazos establecidos de restauración y,
    por ende, en el negocio.

    No tener una visión clara de la afectación es un problema común en estos


    episodios de ataque. Por tanto, nuestra recomendación fue empezar desde la
    configuración inicial de los sistemas, restaurando de manera rápida los datos y
    los servicios, estableciendo un orden a partir de los sistemas más críticos,
    conociendo la correlación entre ellos para el restablecimiento de manera
    escalonada de los servicios.

    Fue fundamental encontrar un sistema de antivirus capaz de detectar y eliminar


    este tipo de ataques y que, además, sea de fácil despliegue y gestión ante este
    tipo de situaciones.

    Establecimos un Plan de Acción por fases para ir restableciendo los servicios.


    Para esto fue sumamente importante tener un Gobierno de la infraestructura y
    de cada una de sus capas y elementos, para no dejar ningún cabo suelto, desde
    el usuario a los servidores y sistemas de backup.

    De esta manera garantizamos, una vez detenido el ataque, tener un control de


    los servicios a medida se vayan restableciendo.
    Lecciones aprendidas

    Es evidente que, por naturaleza, somos más reactivos que proactivos y


    actuamos en consecuencia. Como hemos mencionado, este tipo de ataques
    evolucionan muy rápidamente. Es la razón fundamental para estar prevenidos
    y, sobre todo, tener definidos Planes de Acción en constante evolución para
    prevenir, identificar y mitigar al máximo posible las afectaciones ante un
    episodio de esta índole.

    Es importante tener los elementos necesarios en nuestra infraestructura


    para establecer un Plan de Continuidad de Negocio en condiciones.

    Te dejamos unas recomendaciones que se deben de tener en cuenta:

    • Disponer de un inventario y diagramas actualizados de nuestra


    infraestructura IT en sus diferentes capas y elementos.
    • Tener un Plan de Actualización periódico de los sistemas y aplicaciones,
    esencialmente a nivel de sistema operativo.
    • Tener un Plan de Seguridad de las aplicaciones y sistemas informáticos,
    a través de políticas, por ejemplo, de contraseñas seguras.
    • Mantener actualizado el software antivirus en todos sus niveles, desde
    el usuario a los servidores y sistemas de ficheros.
    • Disponer de una solución de protección de correo que nos garantice la
    detección, el análisis y la detención de cualquier ataque de Malware o
    Phishing, con la granularidad y visibilidad adecuada para la rápida
    detección de un episodio de ataque.
    • Establecer un Gobierno elaborado y actualizado de los servicios de
    directorio, como el Directorio Activo, para la gestión de usuarios,
    permisos, grupos y políticas de toda nuestra infraestructura.
    • Tener un Sistema de Backup que nos garantice niveles de recuperación
    inmediata, consistencia de las copias de seguridad en función de las
    aplicaciones y, sobre todo, ser inmutables y seguros ante cualquier
    ataque de RANSOMWARE o de otra índole.
    • Tener un Sistema de Ficheros estructurado a nivel de accesos y
    permisos, que posea o se integre a un sistema de protección antivirus.
    Así mismo, se debe valorar tener analíticas de comportamiento de
    ficheros y auditorías, siendo una de las maneras de detectar un ataque.
    • Establecer políticas, procedimientos o formación de concienciación a
    nivel de usuarios finales, con la finalidad que sean capaces de detectar
    o sospechar que están siendo víctimas de un ataque.

    También podría gustarte