Los ataques de ransomware han dominado los titulares en los últimos años, ya que los atacantes apuntan a una variedad cada vez mayor de objetivos, desde distritos escolares hasta redes de infraestructuras críticas. El ransomware representó el 25% de todas las brechas en 2022, según el Informe de Investigaciones de Brechas de Datos de Verizon, y a principios de 2022, CISA informó de que había observado incidentes de ransomware en 14 de los 16 sectores de infraestructuras críticas.
La capacidad de las organizaciones comerciales y federales para detectar este tipo de actividad nefasta en los hosts antes de que los malos actúen se ha convertido en algo primordial. Pero ser capaz de detectar de forma proactiva pruebas de ransomware o cualquier otra actividad delictiva potencial es algo más que encontrar algo que parezca sospechoso: es ser capaz de determinar con una confianza razonable que lo que se ha encontrado es realmente nefasto. Y ahí es donde entra en juego la elaboración de perfiles de amenazas. La elaboración eficaz de perfiles de amenazas requiere llegar a respuestas que sean comprensibles y procesables. Porque aunque una actividad parezca inusual, no significa necesariamente que se vaya a cometer un delito.
Por eso, el perfil de las amenazas potenciales debe basarse en observaciones concretas respaldadas por datos precisos.
Nuestra expedición de perfiles de amenazas sobre el ransomware ruso
En Censys nos hemos embarcado recientemente en una expedición de perfiles de amenazas utilizando la herramienta de búsquedaCensys , basada en nuestro conjunto de datos de Internet. El acceso a estos datos, que ofrecen una visión completa de Internet y se actualizan continuamente, nos permitió no sólo identificar actividades sospechosas, sino concluir con razonable seguridad que eran realmente nefastas.
Como resultado de nuestro perfil de amenazas, pudimos determinar que varios hosts de Estados Unidos no sólo mostraban indicios de ransomware ruso, sino que estaban destinados a actividades delictivas. En un periodo de tiempo relativamente corto, llegamos a conclusiones significativas que pudimos respaldar con datos observables.
A partir de esta expedición de creación de perfiles y de otras similares, hemos identificado patrones -o jugadas, por así decirlo- que los creadores de perfiles de amenazas que buscan cualquier tipo de actividad nefasta pueden ejecutar en una herramienta como Censys Search. Hemos recopilado estas jugadas en nuestro nuevo Threat Profiler's Playbook: 6 Steps to Uncovering Ransomware (and Other Nefarious Activity), que puedes descargar gratuitamente aquí.
Hablemos de las tres primeras jugadas.
1. Elegir el filtro de búsqueda adecuado
¿Por dónde quiere empezar a buscar proactivamente amenazas para crear perfiles? Esa es la primera pregunta que hay que plantearse cuando se entra en un conjunto de datos de Internet. En nuestra expedición al ransomware, sabíamos que queríamos empezar por la ubicación, en concreto, Rusia. Sin embargo, es posible que desee limitar su búsqueda por otros atributos como el sistema operativo, el DNS del host o el software. La herramienta de búsqueda Censys le permite filtrar por una variedad de atributos, como se muestra a continuación.
INFORMACIÓN DEL ANFITRIÓN
INFORMACIÓN DE SERVICIO
HOST DNS
UBICACIÓN DEL ANFITRIÓN
SISTEMA OPERATIVO ANFITRIÓN
SISTEMA AUTÓNOMO ANFITRIÓN
TLS
SOFTWARE
PROTOCOLOS
MISC
Buscando [location.country=`russia`] en search.censys.io, vimos que había más de 4,7 millones de hosts ubicados en el país.
2. Siguiendo atributos inusuales del anfitrión
Buscar entre 4,7 millones de hosts para identificar indicios de actividad sospechosa sería como tratar de encontrar una aguja en un pajar. Por eso, a continuación utilizamos la función "Informes" de Censys Search para examinar una segunda capa de atributos de host. En nuestro caso, pensamos que ejecutar un informe basado en tipos de software específicos que sabíamos que podían utilizarse con fines nefastos cuando estaban en las manos equivocadas -en concreto, la herramienta de pentest Metasploit- nos ayudaría a acercarnos a la presencia de amenazas potenciales. Descubrimos que 10 de los 4,7 millones de hosts contenían Metasploit.
Metasploit en sí mismo no es un arma infalible. Es esencialmente la versión de software de un kit de apertura de cerraduras y su presencia no significa necesariamente que una cerradura haya sido forzada. Pero al identificar la presencia de Metasploit en estos 10 hosts, el equipo de investigación fue capaz de pivotar, y con un grupo aparentemente más grande de actores de amenazas que utilizan herramientas de pruebas de penetración de código abierto como Metasploit, investigar hosts con esta herramienta.
Continuamos mirando los datos de estos hosts, específicamente sus datos TLS y Protocolos, y descubrimos que dos de los hosts también contenían una herramienta Deimos C2. Deimos C2 es una herramienta de comando y control, que los pen testers utilizan para hacer su trabajo más fácil, ya que les permite automatizar los comandos a los hosts que han comprometido. La presencia de herramientas C2 podría indicar que un host puede controlar o está controlando a otros hosts, o que el propio host está controlado por un host de "comando".
Lo tomamos como una señal para seguir cavando.
3. Retroceder en el tiempo con perspectivas históricas
Conocer los atributos actuales de un host es una cosa, pero ser capaz de echar la vista atrás para ver cómo ha evolucionado ese host a lo largo del tiempo puede desvelar nuevas perspectivas que cambien la dirección de una investigación. Las vistas de datos históricos pueden permitir a los creadores de perfiles de amenazas establecer conexiones que antes habrían pasado desapercibidas.
Usando nuestros datos, pudimos identificar la herramienta Deimos C2 con JARM y pivotar a un host en Ohio ("Host D") con Deimos C2. Aprovechando la función de historial de Censys, retrocedimos en el tiempo para descubrir pss.exe en el host, que está asociado con el grupo Karma Ransomware.
Después de aprovechar los datos históricos de Censyspara localizar ejecutables de ransomware en el "Host D" de Ohio, Censys volvió a visitar el "Host A" ruso original en busca de otros indicadores de actividad nefasta. Como los datos accesibles en Censys Search se remontan a hace unos dos años, pudimos echar un vistazo atrás en el tiempo a nuestro principal sospechoso: "Host A".
Una vista histórica puede ser útil para tener en cuenta al realizar su propia búsqueda, en particular si ha descubierto un host sospechoso y se ha topado con un muro sobre el estado actual de los datos, desea observar el host en el momento de un incidente o quiere ver los cambios en su postura para descubrir anomalías o intentos de ocultar indicadores de actividad nefasta.
En nuestro caso, sin extraer la vista histórica del "Host A" nunca habríamos llegado a nuestro descubrimiento final del ransomware.
Para conocer los seis pasos y cómo recopilamos aún más pruebas del ransomware ruso, consulte The Threat Profiler's Playbook.
Obtener Ebook
