Si Cisco ha realizado un monográfico de ransomware en su reporte de seguridad semestral, es por algo. El reporte hace foco en que los responsables de seguridad no están protegiendo los sistemas con la misma rapidez que los atacantes mejoran sus métodos. Aunque los defensores han evolucionado en herramientas y estrategias, los atacantes tienen aún tiempo suficiente para poder actuar. En resumen, los atacantes aprovechan el TTD (tiempo de detección de amenazas) a su favor para poder optimizar los efectos de sus campañas de ransomware.

Si bien es cierto que nos debemos a la seguridad, no es posible añadir recursos ilimitados a este factor. Nuestro negocio depende de mucho más. Sin embargo, por el hecho de no mantener unas buenas prácticas, estamos creando un espacio operativo que puede ser utilizado por agentes maliciosos y comprometer un servicio o aplicación.

Cisco ha descubierto a través de un estudio este último semestre que un 23% de dispositivos analizados presentaban vulnerabilidades. El hecho más alarmante es que el 16% presentaba vulnerabilidades publicadas por primera vez en 2009. De hecho, hay empresas que funcionan con una infraestructura TI absolutamente deficitaria, por ejemplo, sistemas operativos sin  una estrategia de actualizaciones automáticas o servidores JBoss con versiones antiguas que se convierten en el foco perfecto para ser inyectadas con código malicioso.

Ransomware: La “tormenta perfecta”

Nos llama la atención el hecho de ver que cada vez los vectores son más y están mejor dirigidos a objetivos específicos. Una extensa campaña centrada en el sector de la atención sanitaria a principios de este año empleó la variante de ransomware Samas/Samsam/MSIL.B/C (alias “SamSam”) que se distribuía a través de servidores comprometidos. Los agentes de amenazas utilizaron los servidores para moverse lateralmente a través de la red y comprometer máquinas adicionales que luego secuestraron para el rescate. Los atacantes utilizaron JexBoss, una herramienta de código abierto para probar y aprovechar los servidores de aplicaciones de JBoss, para obtener una posición establecida en las redes de organizaciones. Cuando accedieron a la red, procedieron a cifrar varios sistemas de Microsoft Windows con la familia de ransomware de SamSam.

Una tarea urgente ante el Ransomware: El tiempo de detección (TTD) y el de parcheo (TTP).

Dada la proliferación de amenazas de este tipo, fabricantes y proveedores de seguridad han estrechado lazos para analizar deficiencias en infraestructuras y software. De hecho, se ha avanzado liberando parches el mismo día que se presentan las vulnerabilidades.

Si se liberan parches con más frecuencia, podemos pensar erróneamente que el problema queda resuelto. Por desgracia, aunque los parches sean liberados, hay un gran número de servidores y servicios web que actualmente están funcionando con algún tipo de vulnerabilidad. Con el tiempo a favor del atacante, éste puede identificar y utilizar estos fallos de seguridad para infectar un servicio web y obtener una posición privilegiada en la red y moverse de manera lateral hasta poder escalar en privilegios y comprometer todo el perímetro. Una vez dentro, si recordamos el informe anterior, el tiempo de detección de una amenaza persistente (TTD) está alrededor de 200 días en el peor de los casos.

Los cortafuegos de nueva generación de Cisco con Firepower reducen el tiempo de detección de amenazas (TTD)  de días a pocas horas y, con Cisco ISE, bloqueamos la acción de un cryptolocker dentro de la red.

consultoría genérica

La ventaja de recibir actualizaciones de seguridad más continuadas se convierte en un espacio operativo para muchos atacantes que aprovechan la brecha entre publicación de la vulnerabilidad y parcheo de la infraestructura en producción.

Nuevas versiones de Ransomware: Mayor peligro y mejor sigilo.

Según el estudio de Cisco,  el crecimiento del tráfico cifrado HTTPS relacionado con la actividad maliciosa crece incesantemente a razón de inyectores de anuncios maliciosos (malvertising) y adware. Este hecho supone un reto significativo para CISOs y CSOs que intentan prevenir las campañas de malware. El uso de los defensores de técnicas para identificar amenazas en el tráfico HTTP, como la detección de IDS basada en firmas o en patrones de URL, no puede aplicarse al tráfico HTTPS sin agregar capacidades de inspección de SSL. Esto puede suponer la necesidad de renovación de parte de la infraestructura dedicada a seguridad.

Otra técnica de los atacantes para ocultar sus acciones es el uso de TLS, es decir, el uso de seguridad de la capa de transporte como técnica para optimizar los ataques de ransomware. Este hecho es una causa de preocupación para los encargados de seguridad ya que les impide una inspección de paquetes de forma exhaustiva. Sin embargo, hay familias de malware que usan TLS con parámetros obsoletos o débiles, lo que los hace detectables con una simple inspección de sus cabeceras.

El escenario no es demasiado alentador si sumamos a estos factores técnicas de cloaking una vez la amenaza ha pasado el perímetro. Muchas versiones actuales de ransomware limitan el consumo de red y de CPU para ocultar sus acciones y no ser detectados.

El objetivo del Ransomware: Reducir el TTD de días a horas

Los adversarios crean continuamente técnicas más sigilosas para evitar la detección. Los proveedores de seguridad responden a estos esfuerzos con la mejora de la integración y la detección de amenazas. El objetivo es acelerar estos procesos para poder reducir en la medida de lo posible el tiempo de detección y potenciar los factores de remediación de la amenaza.

Podemos imaginar esta situación como una carrera armamentística: tanto atacantes como defensores desarrollan una constante oleada de herramientas tanto para comprometer infraestructuras como para protegerlas.

Soluciones de seguridad Cisco para combatir Ransomware

Cisco trabaja duramente para mantener sus soluciones de seguridad alineadas con las amenazas de ransomware. El portfolio de seguridad de Cisco nos permite proteger desde múltiples ángulos:

  • Cisco Email Security

La plataforma antispam de Cisco detiene los mensajes de phishing y spam que pretenden inyectar en el cliente un ransomware.

  • Cisco AMP (Advanced Malware Protection)

Cisco AMP puede ser integrado en productos de seguridad de correo electrónico vía licenciamiento para un análisis estático y dinámico (sandboxing) para identificar amenazas tanto conocidas como desconocidas.

  • Cisco NGFW con Firepower

Los cortafuegos de nueva generación de Cisco bloquean el tráfico malicioso y permiten una visibilidad completa de los archivos maliciosos que atraviesan la red. Esta funcionalidad puede potenciarse aún más en combinación con Cisco ISE y FireSight.

  • Cisco ISE

A través de Cisco ISE, el cliente afectado se aísla insertándolo en una VLAN consiguiendo que el ransomware sea incapaz de extenderse lateralmente a través de la red.

Una protección especializada contra ransomware le ofrece una protección inmediata y una tasa de detección y bloqueo cercana al 100%. Asimismo, se gana una visibilidad y una capacidad de respuesta muy rápida. Con las soluciones de Cisco seguridad conseguimos reducir el TTD de días a horas.

Mejores prácticas de seguridad para mejorar la postura frente amenazas

Hay un conjunto de buenas prácticas que pueden ayudarnos a reducir el riesgo de cryptolocker / ransomware:

  • Refuerzo de los sistemas para resistir ataques de malware y hacking.
  • Implementar o mejorar herramientas de detección de amenazas en la red.
  • Evaluar el entorno de TI de la organización: ¿Qué tipo y número de dispositivos se encuentran en la red? ¿Dónde se encuentran esos dispositivos?
  • Informar a los usuarios sobre amenazas y prácticas recomendadas de seguridad.
  • Replantear las políticas de seguridad de acceso a dispositivos extraíbles.
  • Desarrollar un plan de respuesta a incidentes y añadirlo al plan de continuidad de negocio.
  • Supervisar la red de forma activa como prueba de
  • Abordar las vulnerabilidades existentes a partir de una auditoría y un plan de mantenimiento y puesta en producción para mantener la disponibilidad lo máximo posible.

Datacom.Global, como Partner Premier de Cisco, implementa soluciones de Seguridad para combatir Ransomware a empresas Pymes para potenciar su Seguridad TI.

Guia detección y amenazas de CISCO