Tácticas del ransomware para el uso indebido de software legítimo
Los creadores de ransomware utilizan cada vez más software legítimo en varias fases del ciclo de vida del ataque, empleando tácticas, técnicas y procedimientos, TTP, diferentes para avanzar en sus misiones.
En CyberArk han analizado algunos de los ejemplos más comunes:
Infección inicial. A la hora de obtener el acceso inicial, algunos atacantes utilizan exploits, como el empleo de vulnerabilidades comunes (CVE) contra objetivos vulnerables. También roban, falsifican, alteran o manipulan las cookies de las sesiones web de los usuarios para entrar. O envían correos electrónicos de phishing y engañan a los usuarios para que descarguen aplicaciones legítimas. En enero de 2023 CISA (The Cybersecurity and Infrastructure Security Agency), advirtió de una campaña relacionada con un software de monitorización y gestión remota (RMM) que, una vez descargado, podía utilizarse como parte de una estafa de reembolso para robar dinero de las cuentas bancarias de las víctimas.
Persistencia. Los atacantes también utilizan software legítimo para establecer puertas traseras con fines de persistencia y/o mando y control (C2), así como utilizarlos para eludir MFA y/o modificar o desactivar las herramientas de seguridad existentes para evitar la detección, desde la terminación de los procesos protegidos por la detección y respuesta del endpoint (EDR) hasta la modificación/eliminación de claves de registro o archivos de configuración. En algunos ataques de ransomware, los autores utilizaron los ejecutables portátiles del software para obtener acceso sin necesidad de privilegios de administrador local ni de una instalación completa del software, lo que les permitió eludir los controles de software comunes.
Por otro lado, muchos programas de software se ejecutan por defecto en una máquina. Secuestrando estos programas, los atacantes pueden garantizar que sus programas maliciosos también se ejecutarán. Incluso las herramientas legítimas integradas en el sistema operativo, como los binarios “living off the land” (LOLbins), pueden ser objeto de ataques para ganar persistencia o escalar privilegios.
Escalada de privilegios. Los sistemas operativos Windows están protegidos por el Control de Cuentas de Usuario (UAC), una función de seguridad nativa diseñada para proteger contra el software malicioso y los cambios no autorizados. Si los usuarios de una empresa intentan ejecutar un programa como administrador, UAC les pedirá introducir las credenciales de un usuario administrador antes de poder realizar cambios. Y aunque la mayoría del ransomware que se comercializa hoy en día no requiere derechos de administrador para cifrar los datos, a menudo, los ciberdelincuentes se centran en UAC y lo eluden para elevar el acceso y establecer la persistencia.
Movimiento lateral. Muchas herramientas pueden facilitar la escalada de privilegios maliciosa y el movimiento lateral. Por ejemplo, AdvancedRun, que permite ejecutar software con diferentes configuraciones y posibilita la escalada de privilegios cambiando la configuración antes de ejecutar el software. Es más, numerosas funciones de Windows creadas para gestionar máquinas son también servidores de llamadas a procedimientos remotos (RPC). Es decir, pueden recibir órdenes remotas de otras máquinas de la red para ejecutar programas. Muchas RPCs exponen funciones a los usuarios finales, a la vez que permiten la comunicación entre programas cliente y servidor: esto abre la puerta a atacantes que pueden abusar de ellas para moverse lateralmente.
Cifrado. El cifrado puede utilizarse como herramienta y como arma. Las herramientas de cifrado son fundamentales para ocultar datos a usuarios no autorizados, pero también pueden utilizarse como ransomware. O los atacantes pueden comprometer a los usuarios con acceso legítimo a los datos cifrados para eludir por completo los controles de cifrado. De hecho, recientemente, el Departamento de Salud y Servicios Humanos (HSS) de EE.UU. alertó del ataque de ransomware a un centro médico. TimisoaraHackerTeam, el grupo de ransomware-as-a-service (RaaS) detrás del ataque, fue considerado “único entre los atacantes” debido a su táctica característica de abusar de herramientas de cifrado legítimas, incluyendo Microsoft BitLocker y Jetico BestCrypt, para, eventualmente, cifrar datos.
Exfiltración de datos. Los autores de ransomware que emplean técnicas de doble extorsión rara vez crean sus propias herramientas para robar los datos. En su lugar, suelen utilizar herramientas de copia de seguridad legítimas o programas similares para filtrar los datos de sus víctimas. A principios de 2023, CyberArk Labs observó que los ciberdelincuentes utilizaban Discord, una popular aplicación de colaboración, para filtrar datos a través de webhooks. Así como Rclone, un programa de línea de comandos para sincronizar archivos con almacenamiento en la nube que permite a los atacantes mover fácilmente archivos a través de protocolos de transferencia, como FTP y SFTP. Los atacantes también emplean herramientas como 7-zip, un archivador de archivos de código abierto, para comprimir datos, lo que les ayuda a evitar la detección antes de la exfiltración.
Por todo ello, es importante bloquear el ransomware durante todo el ciclo de vida del ataque. El cambio de los atacantes al software legítimo es preocupante dada la naturaleza altamente sigilosa de estos ataques. De ahí la necesidad de que las organizaciones adopten un enfoque de defensa en profundidad centrado en la identidad para la protección contra el ransomware.