La preocupación por el ataque del ransomware DarkSide a Colonial Pipeline se ha extendido más allá de la industria de la ciberseguridad y ha llegado a la conciencia del consumidor cotidiano, un indicador de las amplias implicaciones que el ataque tiene en la economía mundial. En respuesta, la administración Biden emitió una orden ejecutiva y celebró una rueda de prensa, y la comunidad de hackers se movilizó para desmantelar los servidores de la banda de ransomware DarkSide.
¿Qué puede hacer para proteger a su empresa de un ataque de ransomware como servicio (RaaS) similar al que paralizó Colonial Pipeline? En primer lugar, comprenda cómo se llevan a cabo normalmente los ataques RaaS, que suelen favorecer las vulnerabilidades de Windows para explotar el acceso inicial. En este vídeo, Sean Deuby, MVP de Microsoft y Director de Servicios de Semperis, explica cómo los atacantes penetran en Active Directory.
Lecturas relacionadas
Como señala Deuby en el vídeo, los grupos RaaS siguen un determinado patrón de comportamiento:
- Un ataque comenzará con el "reconocimiento" utilizando herramientas de penetración para obtener el acceso inicial a sus sistemas.
- Una vez que han conseguido afianzarse, los atacantes pasarán semanas buscando vulnerabilidades y obteniendo acceso a cuentas de usuarios con privilegios.
- La banda tratará de maximizar el impacto después de bloquear sus sistemas y exigir el rescate.
- El ataque no sólo robará sus datos confidenciales, sino que también amenazará con hacerlos públicos si no se paga un rescate a tiempo.
La banda de ransomware DarkSide, en particular, tiene algunas peculiaridades propias:
- DarkSide sabe de negocios. No solo afirma tener "principios", como no atacar hospitales ni escuelas, sino que ataca únicamente a organizaciones que sabe que pueden y quieren pagar.
- La banda es oportunista y ataca cuando las organizaciones tienen más probabilidades de pagar. Es paciente y realiza reconocimientos durante varias semanas para localizar las joyas de la corona.
- Por último, sabe que los ingresos procedentes del ransomware son predecibles: no hay indicios de que el ransomware como servicio vaya a disminuir. El ataque a Colonial Pipeline, por ejemplo, indica que grupos como DarkSide han declarado "temporada abierta" a los proveedores de infraestructuras y sistemas SCADA.
Aunque no seas una empresa de infraestructuras, esta es la gran conclusión: Los grupos de ataque de ransomware como servicio favorecen las vulnerabilidades de Windows. Consejos comunes como "mantenga sus sistemas Windows actualizados" son especialmente aplicables cuando se trata de este tipo de ataques. Sin embargo, también es fundamental que busque proactivamente configuraciones débiles en sus sistemas de identidad (especialmente Active Directory) que son objetivos principales para los atacantes.
Descargar Purple Knight Herramienta gratuita de evaluación de la seguridad
Para ayudar a las empresas a protegerse contra los ataques de ransomware como servicio, Semperis ha lanzado una herramienta gratuita de evaluación de la seguridad, Purple Knightque permite a las organizaciones explorar de forma segura su entorno de Microsoft Active Directory (AD) para identificar errores de configuración peligrosos y otras debilidades que los atacantes pueden explotar para robar datos y lanzar campañas de malware. Creada y gestionada por un grupo de élite de expertos en identidad de Microsoft, la herramienta permite a las organizaciones combatir la avalancha de crecientes ataques dirigidos a AD detectando indicadores de exposición y compromiso en sus entornos y proporcionando orientación correctiva para cerrar las brechas.
Purple Knight es utilizado actualmente por algunas de las mayores organizaciones con los entornos de identidad más complejos del mundo. Al principio, los usuarios informaron de una puntuación media de fallos del 61%, lo que ayuda a explicar por qué AD es un objetivo fácil para las bandas de ransomware. Purple Knight le ayuda a identificar las áreas en las que la seguridad de su sistema de identidad necesita atención, incluida la seguridad de Kerberos, la delegación de AD, la seguridad de las cuentas, la seguridad de la infraestructura de AD y la seguridad de las directivas de grupo.
Puede obtener más información sobre Purple Knight y solicitar acceso gratuito en purple-knight.com. Si desea más información sobre cómo se han aprovechado de Active Directory ataques recientes de gran repercusión, consulte el seminario web "How Attackers Exploit Active Directory: Lessons Learned from High-Profile Breaches", presentado por Ran Harel (Principal Security Product Manager de Semperis), y Brian Desmond (Principal de Ravenswood Technology Group).
Sólo unos minutos de su tiempo pueden contribuir en gran medida a reforzar su sistema de identidad principal y aumentar la barrera de entrada para los atacantes.