El ransomware sigue siendo una de las amenazas más devastadoras para las organizaciones. Uno de los actores más notorios en este ámbito es el grupo de ransomware “Play”, conocido por sus ataques altamente sofisticados. A principios de este año, el equipo de Managed Detection and Response (MDR) de Trend Micro, utilizando la plataforma Trend Micro Vision One, detectó y contuvo un intento de intrusión por parte de este grupo, demostrando la importancia de una respuesta rápida y coordinada en ciberseguridad.
Descripción del incidente de Ransomware Play
La alerta inicial se produjo cuando la herramienta de comando y control SYSTEMBC fue detectada por el agente Apex One Endpoint Protection Platform (EPP). Esta herramienta de malware se alojaba en un servidor Windows y tenía como objetivo distribuir otras cargas útiles, como ransomware. Aunque la puerta trasera fue puesta en cuarentena, los atacantes aún tenían acceso al endpoint mediante credenciales legítimas. La red privada virtual (VPN) comprometida de la víctima permitió a los atacantes desplegar la herramienta de administración legítima PsExec, utilizada para ejecutar comandos en sistemas remotos.
Los atacantes también modificaron la configuración del Protocolo de Escritorio Remoto (RDP) para habilitar el acceso, y utilizaron una herramienta personalizada llamada GRIXBA para reconocimiento de red. Esta herramienta ayudó a los atacantes a identificar otros endpoints vulnerables, demostrando la capacidad del ransomware Play de realizar ataques sigilosos y evadir detecciones de seguridad.
La Técnica “Living-Off-the-Land” y las herramientas personalizadas
El grupo de ransomware Play empleó la técnica de “living-off-the-land”, utilizando herramientas legítimas como PsExec y RDP para operar sin ser detectados. Además, usaron herramientas personalizadas como GRIXBA, diseñadas para evitar las detecciones basadas en firmas tradicionales y facilitar su intrusión. Las herramientas personalizadas brindan ventajas a los atacantes, como la evasión y el sigilo, mientras que para los defensores ofrecen oportunidades de atribución y análisis de comportamiento para comprender mejor las tácticas de los atacantes.
Respuesta y mitigación del ataque
La respuesta coordinada del equipo de Trend Micro MDR fue crucial para contener la amenaza. Mediante un monitoreo continuo y análisis en tiempo real, se lograron detectar y bloquear actividades sospechosas, como el intento de volcado de memoria del proceso LSASS, utilizando el módulo de Monitoreo de Comportamiento (BM) del agente EPP de Apex One. Esta intervención oportuna impidió que los atacantes accedieran a información confidencial y evitaron una potencial exfiltración y cifrado de datos.
Estrategias de mitigación recomendadas
Para protegerse contra ataques similares del ransomware Play, las organizaciones deben implementar una serie de medidas de seguridad esenciales:
- Actualización y Parchado Regular: Mantener todos los sistemas y software actualizados con los parches de seguridad más recientes para cerrar posibles vulnerabilidades.
- Segmentación de la Red: Dividir la red en segmentos para limitar la propagación de ataques y contener daños potenciales en caso de intrusión.
- Autenticación Multifactor (MFA): Implementar MFA para acceder a sistemas y datos sensibles, añadiendo una capa adicional de seguridad contra accesos no autorizados.
- Supervisión del Tráfico de Red: Establecer monitoreo continuo del tráfico para identificar actividades inusuales o intrusiones en tiempo real.
- Copias de Seguridad Periódicas: Realizar copias de seguridad regulares de datos críticos y almacenarlas en ubicaciones seguras fuera de la red principal para protegerlas contra ransomware.
- Protección de Endpoints: Utilizar soluciones robustas de protección de endpoints para detectar y bloquear actividades maliciosas en dispositivos individuales.
Implementar estas medidas puede reducir significativamente el riesgo de sufrir ataques de ransomware y proteger la integridad de los sistemas de la organización. Para obtener una guía completa sobre cómo mitigar el ransomware, consulte la guía #STOPRANSOMWARE Play Ransomware.
En resumen
La detección y contención exitosa del ataque de ransomware Play por parte de Trend Micro nos deja ver la importancia de las medidas de seguridad proactivas y de una respuesta rápida ante amenazas. Utilizando los servicios de detección y respuesta gestionada (MDR), las organizaciones pueden beneficiarse de un monitoreo continuo y una protección experta, esencial en un panorama de amenazas cada vez más sofisticado. Las defensas en capas y las estrategias de mitigación descritas son fundamentales para construir una barrera sólida contra los ataques cibernéticos.
Para mantenerte informado y protegido, sigue las redes sociales de Nova : Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.