Los equipos de inteligencia de amenazas de Microsoft han estado rastreando múltiples campañas de ransomware y han vinculado ataques a “DEV-0270” también conocidos como Nemesis Kitten (un grupo de cibercriminales Iraní que a su vez son un subgrupo de PHOSPHORUS). Microsoft evaluó operaciones realizadas por “DEV-0270” de red maliciosas, incluido el análisis generalizado de vulnerabilidades.
“DEV-0270” aprovecha los exploits para vulnerabilidades de alta criticidad para obtener acceso a los dispositivos. “DEV-0270” también utiliza binarios (LOLBINs) a lo largo de la cadena de ataque para el descubrimiento y el acceso a credenciales, además, el grupo de ciberdelincuentes utiliza herramientas nativas de Microsoft como BitLocker para cifrar archivos en dispositivos comprometidos.
Según Microsoft, en algunos casos en los que el ransomware fue exitoso, el tiempo de rescate (TTR) entre el acceso inicial y la nota de rescate fue de alrededor de dos días. Se ha observado que el grupo exige USD 8.000 para las claves de descifrado.
Además, se ha observado que el actor busca otras vías para generar ingresos a través de sus operaciones. En un ataque, una organización víctima se negó a pagar el rescate, por lo que el actor optó por publicar los datos robados de la organización para su venta.
Recomendación contra grupos de ransomware
Salvaguardar la información hoy en día ante las nuevas brechas de seguridad representa un reto para las empresas, debido a que los riesgos en el área de tecnología evolucionan continuamente. Es por ello que el poder tomar el control del riesgo moderno conlleva una ardua tarea.
Tanium Enforce nos permite que la administración de políticas de Windows sea simple y automatizada de tal forma que se pueda supervisar de forma continua en todos los endpoints. Esto gracias a que algunos de sus métodos de detección:
- Windows policy management. Administración de políticas de Windows para sistema operativo y servidor.
- Device and removable storage control. Control de acceso a dispositivos de lectura o escritura, así mismo el control de acceso a endpoints.
- Firewall management. Administración de procesos y aplicativos permitidos.
- Antivirus management. Mejora de gestión de Windows Defender.
- Drive encryption. Administración, configuración y aplicación de políticas de cifrado de endpoints.
- Lightweight agent. Consola de administración ligera, donde se configuran, aplican y verifican políticas de endpoints.
Además, podemos utilizar Tanium Comply, de esta forma lograremos tener un alcance mayor de análisis y prevención ante alguna posible amenaza, dado que ayuda a:
- Cumplir con configuraciones y escaneos de vulnerabilidades.
- Correcciones, actualizaciones de software y cambios de políticas.
- Evaluación de sistemas operativos, así como aplicaciones, normas y configuraciones de seguridad.
Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para que estés enterado de esta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.
Consulta la fuente de esta entrada aquí: