Recomendaciones en 2025: Antes, durante y después de un incidente de ransomware

Panorama actual de ransomware en LATAM

El propósito de esta publicación es presentar una serie de recomendaciones de carácter general y específico, en respuesta a la continua y creciente ola de ataques de ransomware en Latinoamérica.

Tomando como base la telemetría de SCILabs y la información recopilada de fuentes públicas y privadas, se observó que durante el año 2024 se realizaron ataques en al menos 19 países en Latinoamérica, los cuales fueron llevados a cabo por al menos 51 variantes de ransomware.

El top 5 de las variantes con más actividad durante 2024 representan el 55.01 % del total de amenazas que afectaron a la región y estos son listados a continuación:

• RansomHub: 17.69%
• LockBit 3.0: 17.31%
• Akira: 8.08%
• Arcus Media: 7.31%
• FunkSec: 4.62%

Figura 1. Gráfica de variantes de ransomware presentes en LATAM durante 2024

Es importante mencionar que en 2024 RansomHub se posicionó como la variante  más prominente en la región, con una gran cantidad de ataques y con una alta tasa de éxito. Mientras que LockBit 3.0 (actualmente LockBit 4.0) continúa activo en Latinoamérica como una de las amenazas más importantes; no obstante, durante este periodo de estudio, fue desplazado al segundo lugar luego de mantenerse como la variante que más afectó a organizaciones de Latinoamérica durante dos años consecutivos. Finalmente, otra variante que se mantuvo activa fue Akira la cuál aumentó su número de ataques en el segundo semestre del año.

Por otro lado, se observó un crecimiento significativo en la aparición de nuevas variantes como Arcus Media y FunkSec, los cuales han incrementado la frecuencia de sus ataques en la región.

El siguiente gráfico muestra los sectores e industrias más afectados por estas amenazas, de acuerdo con la telemetría de SCILabs.

Figura 2. Gráfica de sectores más afectados por ransomware en LATAM durante 2024

¿Cómo podría un ataque de ransomware afectar a las organizaciones?

Si un ataque de ransomware tiene éxito los actores de amenazas podrían robar, cifrar y filtrar información de todo tipo de las organizaciones afectadas, lo que podría provocar interrupción en las operaciones, pérdidas económicas, compromiso de información confidencial, así como la pérdida de reputación y confianza en la organización, dejando un impacto profundo en las finanzas, consecuencias legales o regulatorias, esto generaría una pérdida de confianza de los clientes y socios.

Por lo anterior, es importante que las organizaciones estén al tanto de los TTP (Tácticas, Técnicas y Procedimientos) de este tipo de amenazas, así como de las medidas recomendadas para minimizar la probabilidad de ser infectados y saber cómo actuar en caso de compromiso por alguna variante de ransomware. Es importante recordar que un ataque de ransomware no solo es el compromiso de la información, sino que parte de sus repercusiones podría ser una afectación al futuro mismo de una organización.

¿Cómo prevenir o reducir el impacto de un ataque de ransomware?

Es vital que las organizaciones cuenten con estrategias de seguridad proactivas que les permitan prevenir ataques de malware o en determinados casos, ejecutar una respuesta correcta y posterior recuperación a un incidente de ciberseguridad; SCILabs propone las siguientes recomendaciones para prevenir o disminuir las posibilidades de sufrir un ataque de ransomware:

Preparación enfocada en metodología para la respuesta

• Contar con un marco normativo que dicte las políticas a seguir por los empleados regulares al detectar un correo de posible phishing, así como los lineamientos a los que se deben apegar los administradores de sistemas y terceros para darle un seguimiento al evento, reduciendo así la posibilidad de un ataque por este medio, ya que múltiples amenazas utilizan el phishing como principal método de distribución.

• Establecer un plan de continuidad de negocio que considere entre sus escenarios un “ciberataque basado en ransomware”.

• Contar con un proceso de respuesta a incidentes que contenga un plan de comunicación para todos los niveles de la organización, enfocado en manejar la crisis durante un incidente y que indique cómo se puede manejar con los clientes, empleados, así como la opinión pública en caso de ser requerido. Se debe informar a los clientes y socios directamente, destacando las medidas que se están tomando para resolver la situación y proteger sus datos, además de proporcionar orientación sobre pasos que ellos puedan tomar, si es necesario. Es fundamental evitar el alarmismo, ofrecer actualizaciones regulares y garantizar que toda la información comunicada sea precisa para preservar la credibilidad de la organización.

• Realizar simulacros de ataques relacionados con ransomware para determinar la capacidad que tiene el equipo de respuesta a incidentes de la organización con la finalidad de hacerle frente a la amenaza. En caso de no contar con un equipo de respuesta a incidentes interno, es importante contar con alguno externo precontratado que apoye a la organización de acuerdo con sus necesidades y que asegure que su proceso esté basado en inteligencia, de tal forma que ataque a la amenaza conociendo a los actores detrás de la misma.

Mejoras en la estrategia general o en procesos

• Impartir constantemente cursos de sensibilización a los colaboradores de la organización sobre ataques de ingeniería social y prevención de infecciones de malware para concientizarlos sobre las amenazas a las que pueden estar expuestos y minimizar el riesgo de verse afectado por un ataque exitoso.

• Realizar campañas permanentes de concientización enfocadas en educar a los usuarios acerca del ransomware, con el empleo de pruebas de phishing dirigidas que les permitan a aquellos con menos conocimiento en amenazas tener una capacitación particular. De acuerdo con la telemetría de SCILabs, se sugiere realizar lo siguiente:

• Verificar la legitimidad del remitente del correo recibido.
  • Verificar que el asunto, el remitente y el contenido del correo sean consistentes.
  • Evitar abrir enlaces o archivos adjuntos sospechosos.
  • Evitar enviar información sensible o confidencial a remitentes desconocidos.

• Establecer un protocolo de alertamiento bien definido para que los miembros de la organización reporten actividad informática inusual o un posible ciberataque, y sepan cómo actuar ante la emergencia.

• Evitar abrir enlaces o descargar archivos adjuntos desde correos, páginas web desconocidas o sospechosas debido a que pueden contener malware.

• Si es posible, establecer una política estricta por medio de listas de acceso controlado para evitar que algún actor de amenaza utilice herramientas legítimas con potencial uso malicioso (PUA).

• Mantener todos los sistemas y software que se usan en la organización actualizados con los últimos parches de seguridad. Es importante hacer las pruebas necesarias antes de aplicar los cambios en los ambientes de producción y que no afecten a la operación.

• Evitar usar software no autorizado o pirata, ya que estos pueden contener artefactos maliciosos que pueden ser un vector de ataque inicial hacia la organización.

• Si en la organización existen servidores, equipos legados o sin soporte es altamente recomendable mantenerlos en una red aislada, monitoreada y protegida para evitar que sean comprometidos fácilmente.

• Planificar y realizar pruebas de seguridad en la infraestructura y aplicaciones de manera periódica para identificar si existen vulnerabilidades y que estas sean mitigadas antes de que un actor de amenaza las aproveche.

• Establecer un proceso de creación de copias de seguridad, considerando la información esencial y un calendario de fechas, esto para mantenerlas protegidas en dispositivos que no estén dentro de la misma infraestructura de la organización para garantizar la continuidad del negocio.

• Limitar el acceso de usuarios y aplicaciones solo a lo estrictamente necesario (principio de mínimo privilegio).

• Evitar habilitar el contenido de documentos sospechosos o que no han sido emitidos por fuentes confiables, ya que al ser un método válido para las aplicaciones puede ser ejecutado con facilidad para efectuar actividades maliciosas en el sistema operativo. Uno de estos ejemplos son los archivos de Microsoft Office que contengan macros de ejecución automática.

• Deshabilitar las macros de Microsoft Office o permitir mediante una política de Group Policy Object (GPO) que se ejecuten únicamente aquellas que fueron firmadas digitalmente.

• Mantener una red de gestión fuera de banda (OOB) para la administración de los servicios críticos, de manera que únicamente usuarios puntuales puedan acceder a ellos.

• Separar las redes IT y OT para evitar la propagación de malware debido al acceso que pueda haber entre las infraestructuras. Así como deshabilitar puertos o funciones no necesarios.

Preparación enfocada en prevención

• Contar con un plan para la gestión de vulnerabilidades, a nivel de toda la organización, que incluya a los proveedores directamente conectados a la misma, para que se detecten de manera oportuna huecos que puedan ser usados por los atacantes y se realicen las medidas de remediación necesarias, minimizando la posibilidad de afectaciones por estos fallos.

• Contar con la capacidad de detección de amenazas avanzadas en la red mediante el uso de Machine Learning o algoritmos que puedan detectar comportamientos maliciosos, ya que la visibilidad en la red es clave para saber en qué momento un malware está moviéndose lateralmente, ya sea por medio del intento de explotación de una vulnerabilidad o de la reutilización de contraseñas débiles en cuentas de administración.

• Tener la capacidad de manejar un proceso integral que asegure que cualquier servidor que se expone a Internet esté apropiadamente protegido.

• Limitar el acceso a las interfaces de administración de dispositivos como los firewalls a solo en una red segura y de preferencia en una red de uso interno y privada, esto para evitar su exposición a Internet.

• Establecer dentro de las políticas de la organización el uso de un segundo factor de autenticación para acceder a servicios e infraestructura crítica, con la finalidad de minimizar la posibilidad de un acceso no autorizado.

• Mapear continuamente los equipos que están siendo expuestos de manera insegura a Internet, para tomar las medidas necesarias —ya sea de protección o de inhabilitación de los servicios— poniendo especial atención en servidores Web, servidores de correo, servicios VPN o SSH.

Mejoras en las herramientas operativas críticas

• Mantener un monitoreo avanzado en los equipos con más accesos para identificar con oportunidad cuándo está sucediendo un evento sospechoso. Se deben considerar los servidores expuestos a internet, por ejemplo:
  • Web Servers
  • Mail Servers
  • VPN Servers

• Si la organización cuenta con servidores Citrix, es recomendable validar que estos solo sean accesibles a través de VPN o de la red local, debido a que son un punto de acceso usado por los operadores de ransomware.

• Resguardar las bitácoras en un servidor central para tenerlas a la mano para su análisis durante una investigación o proceso de respuesta a incidentes y que contengan la dirección IP de origen de la petición.

• Si es requerido el acceso remoto a RDP o servicios de terminal, solo deben ser accesibles a través de una VPN segura (con múltiple factor de autenticación) a la red corporativa o mediante una puerta de enlace de acceso remoto de confianza cero o Zero Trust.

• Servidores críticos para la operación general:
  • Controladores de dominios
  • Servidores de autenticación
  • Hipervisores
  • Servidores de respaldos

• Servidores con acceso privilegiado a la mayor parte de la infraestructura:
  • Jump Servers
  • Servidores de antivirus
  • Servidores de monitoreo
  • Equipos para la gestión de servidores
  • Servidores de compartición de archivos

Actividades para realizar en las herramientas operativas

• Actualizar periódicamente los parches de seguridad del software utilizado en la organización, para mitigar las vulnerabilidades y disminuir la posibilidad de una explotación.

• Mantener un monitoreo del cambio o adición de GPOs no programadas o generadas por usuarios no autorizados, para prevenir que se usen en la distribución del malware o habiliten servicios vulnerables.

• Llevar a cabo el hardening complementario de equipos y servicios expuestos a Internet:
  • Implementar elementos como autenticación de factor múltiple (MFA): de esta manera, si una contraseña es robada, no sería suficiente para ganar acceso al servicio.
  • Implementar un firewall de aplicaciones Web (WAF), que son filtros especializados para disminuir el riesgo de sufrir un ataque en las aplicaciones Web de la organización.
  • Utilizar herramientas de auditoría, como auditd o sysmon, y enviar los logs a un sistema SIEM (Security Information and Event Management) para reconocer comportamiento anormal en los equipos.
  • Asegurar que los datos almacenados en las herramientas operativas estén protegidos ante accesos no autorizados.

Mejoras para la detección y bloqueo

• Mantenerse informado de las amenazas que afectan a la región. Si es posible, es recomendable la adquisición de un servicio de inteligencia de amenazas especializado en Latinoamérica que genere indicadores de compromiso, contramedidas y recomendaciones para la toma de decisiones a nivel estratégico, táctico y operativo.

• Habilitar las características de inspección de tráfico cifrado de los dispositivos de seguridad en el perímetro para mejorar el nivel de detección y visibilidad.

• Restringir el acceso a páginas de Internet catalogadas como maliciosas, mediante herramientas de filtrado Web, para reducir la posibilidad de que un usuario ingrese.

• Controlar y supervisar cuidadosamente el tráfico que sale de la red para detectar comportamiento sospechoso y actuar oportunamente en su análisis, comprobando lo siguiente en las bitácoras:

• Tráfico de red hacia direcciones maliciosas o sospechosas, de acuerdo con la inteligencia de amenazas o comportamiento anómalo catalogado o identificado por la organización.
  • Tráfico de red desde servidores DMZ a equipos o servicios fuera de la operación del servidor.
  • Solicitudes de resolución de nombres desde servidores DMZ a dominios fuera de la operación del servidor.
  • Verificar las solicitudes de conexión que no están relacionadas con el servicio, realizadas por servidores Web, transferencia de archivos o correo electrónico.
  • Estar atentos a comunicaciones con servicios de almacenamiento en la nube que no sean los oficiales de la empresa y, si es posible, bloquearlos.
  • Revisar y validar antes de realizar una descarga desde sitios de almacenamiento o servicios en la nube como Mega, Discord, Dropbox, Google Drive, OneDrive, Pastebin, GitHub, entre otros. Estos servicios suelen ser utilizados por operadores de malware para alojar sus artefactos. Un servicio de monitoreo podría además de una concientización permitiría a los usuarios no descargar archivos que podrían ser maliciosos.
  • Configurar alertas que se activen cuando un equipo envíe una gran cantidad de información, para detectar si existe algún tipo de filtración de información relacionada con ataques.

• Contar con una solución XDR de calidad en cada servidor o EndPoint de la organización. No todas las soluciones XDR son iguales, y muchas de las que se crearon como soluciones antivirus no tienen las características necesarias para responder a un incidente. Se sugiere verificar que la solución empleada en la organización haya pasado distintas pruebas anti-tampering y cuente con una consola de monitorización centralizada que esté protegida contra un posible cifrado.

• Proveer a los dispositivos de seguridad con los indicadores de compromiso (IoC) más actualizados como medida proactiva, para detectar y bloquear ataques hacia la infraestructura.

• Deshabilitar Windows Script Host, si es posible, ya que puede ser utilizado para interpretar y ejecutar JavaScript (archivos .js) y Visual Basic Script (archivos .vbs y .vbe), los cuales pueden ser peligrosos durante un ciberataque.

• Configurar un filtro antispam que bloquee los correos electrónicos, tanto en correos externos como internos con contenido malicioso, enlaces o malware.

• Verificar los permisos de acceso a las carpetas compartidas y la seguridad de las carpetas a nivel del sistema de archivos. Se sugiere utilizar “compartir solo para lectura” para evitar que se depositen archivos maliciosos.

• Utilizar el principio del mínimo privilegio (PoLP) para configurar las cuentas de la organización, especialmente en cuentas de servicios publicados en Internet.

• Segmentar las redes para evitar la propagación de ransomware. La segregación de la red puede ayudar a prevenir la propagación del ransomware al controlar los flujos de tráfico, el acceso a múltiples subredes y restringir el movimiento lateral de un adversario.

• Habilitar la auditoría del sistema para realizar un seguimiento de los eventos de inicio y cierre de sesión en el Directorio Activo; esto puede servir para efectuar una investigación profunda sobre accesos no autorizados.

• Realizar actividades de detección de credenciales comprometidas e implementar alertas en cuentas privilegiadas si se detectan intentos de acceso desde ubicaciones inusuales.

• Realizar actividades de caza de amenazas en la infraestructura de la organización para identificar procesos inusuales, tareas programadas no identificadas, archivos ejecutables sospechosos en rutas del sistema y uso anómalo de recursos en el EndPoint. Por ejemplo, se sugiere verificar en las bitácoras el uso de LOLbins, ejecución de comandos de PowerShell con comportamiento sospechoso, conexiones por el protocolo SMB para detectar movimientos laterales, tareas programadas para mantener persistencia, o programas que se ejecutan al iniciar el sistema operativo.

• Utilizar sistemas DLP para disminuir la probabilidad de fugas de información de la organización y detectar comportamiento anómalo en la transferencia o borrado de grandes volúmenes de información. Para ello, es recomendable clasificar previamente toda la información de la organización.

• Generar respaldos fuera de línea (cintas magnéticas o similares, o almacenamiento en frío en la nube) en una ubicación geográfica distinta a la del data center de la organización, pues brinda seguridad adicional. En caso de que la infraestructura se vea comprometida, el almacenamiento externo puede ayudar a restablecer la operación en un menor tiempo.

• Mantener “golden images” (plantillas o imágenes del sistema) de sistemas críticos fuera de línea. Estas pueden ayudar a restablecer rápidamente las funcionalidades de un servidor en caso de no poder reconstruir de inmediato el equipo afectado. Estas imágenes deben tener sistemas operativos preconfigurados y el software operativo asociado.

• Mantener las copias de seguridad cifradas aumenta el rigor de la confidencialidad y evita que un actor de amenaza pueda tener acceso a dicha información cuando es exfiltrada.

• Mantener un programa activo de threat hunting que permita identificar precursores de ransomware como programas de descarga, comunicación anómala que pueda indicar la comunicación con atacantes dentro de la red, entre otros, de acuerdo con los vectores de ataque más comunes detectados por el equipo de ciberinteligencia.

• Determinar qué tipos de ransomware son los que más están afectando a otras organizaciones del mismo sector y cuáles son sus fases de entrega, distribución, ejecución, persistencia, etc., para establecer medidas de prevención.

• Colaborar con otras organizaciones del mismo sector para compartir información relacionada con ransomware y otras amenazas que han enfrentado.

• Contar con una solución de tipo SOAR (Security Orchestration Automation and Response) para orquestar las actividades de detección, investigación, y respuesta a eventos de seguridad de manera automatizada basada en casos de uso, en especial aquellos casos asociados con ransomware.

• Contar con una solución de tipo NDR (Network Detection and Response) para identificar tráfico anómalo como conexiones a servidores de C2. Transferencias de datos anómalos en fechas u horarios inusuales, así como identificar escaneo de puertos desde equipos que fueran comprometidos.

Recomendaciones de administración remota

• Crear una política de GPO en el Directorio Activo para que sea deshabilitada la opción de acceso remoto a los equipos por RDP; de esta manera se evita que se use inapropiadamente en dispositivos de la red.

• Evitar el uso de software para acceso remoto a dispositivos de la organización y monitorear su intento de instalación; en caso de ser necesaria la administración remota, se recomienda implementar el uso de VPN con doble factor de autenticación y habilitar de manera puntual el RDP en los dispositivos para este servicio: con esta medida, se reduce la posibilidad de que un usuario no autorizado acceda a estos recursos.

• Realizar bloqueos definidos por geolocalización en servicios de acceso remoto como VPN para evitar accesos desde países en donde no se tiene operación.

• Crear reglas de detección mediante las cuales se alerte cuando existan accesos a VPN desde dos puntos geográficamente lejanos en un tiempo corto —conocidos como viajes imposibles— para identificar de manera oportuna si un usuario presenta este comportamiento y sea investigado. Bloquear la cuenta al detectar este comportamiento puede ayudar a reducir el impacto de un ataque.

• Auditar las actividades de acceso remoto para detectar accesos desde orígenes anormales o accesos a servicios críticos de usuarios no relacionados con dichos servicios como SSH.

• Cambiar el puerto de defecto para conexiones SSH (puerto TCP/22) por un puerto no estándar, así como restringir el acceso solo a direcciones IP autorizadas.

• En caso de utilizar conexiones a activos críticos por medio del protocolo SSH, implementar la autenticación basada en claves SSH en lugar de contraseñas, así como configurar una rotación periódica de estas.

• En caso de que por razón de la operación se requiera el uso de software de acceso remoto, es importante que se tengan en cuenta las siguientes recomendaciones:
  • Agregar el software a una lista blanca o de acceso controlado solo para los equipos que lo requieren, y deshabilitarlo para el resto de los dispositivos en la red corporativa para que solo una cantidad controlada de equipos puedan tener acceso con el aplicativo.
  • Implementar un doble factor de autenticación en el software de administración remota. Si el aplicativo que se utiliza no tiene esta opción, se sugiere usar alguno con esta funcionalidad; de esta manera, se reduce la posibilidad de que un atacante adivine la contraseña y se apropie del control del dispositivo.
  • Habilitar en las aplicaciones todos los logs para monitoreo; de ser posible, enviarlos al “correlacionador” y crear reglas de detección cuando se acceda, para auditar si los accesos son autorizados.
  • Deshabilitar o desinstalar el software mientras no se requiera, para que no sea utilizado inadvertidamente.

Recomendaciones relacionadas con PowerShell

• Crear una política de GPO en el Directorio Activo para que se deshabilite el uso de PowerShell en equipos en los que no sea necesario su uso, y que solo se permita que algunos usuarios con necesidades específicas puedan ejecutarlo.

• Implementar la tecnología Just Enough Administration (JEA) para delegar tareas administrativas específicas a usuarios sin otorgarles privilegios administrativos completos.

• Si se requiere el uso de PowerShell en algunas computadoras, se sugiere tomar en cuenta lo siguiente:
  • Actualizar a la última versión disponible, además de eliminar las versiones anteriores para evitar que los atacantes aprovechen vulnerabilidades y ejecuten su código malicioso.
  • Configurar la ejecución de scripts a menos de que estén firmados o hayan sido generados para uso interno de las funciones de la organización; con esto se reduce la posibilidad de la ejecución de comandos no autorizados.

Recomendaciones relacionadas con SMB

• Crear una política de GPO en el Directorio Activo para evitar que esté habilitado por defecto el uso de SMB, y suprimir los accesos a discos duros por este protocolo mediante las cuentas administrativas, pues configuraciones de este tipo dan pie a la posibilidad de un movimiento lateral.

• Considerar utilizar dispositivos con SMB versión 3 debido a que la versión 1 de este protocolo ha sido afectada por ataques de ransomware. Por otra parte, en caso de contar con dispositivos que usen SMB versión 2 aislarlos en una red segmentada.

• Difundir e implementar el uso de contraseñas seguras que no sean fáciles de adivinar o descifrar por técnicas como credential stuffing, fuerza bruta, ataques de diccionario, password spraying o rainbow table.

• Verificar que los dispositivos no cuenten con vulnerabilidades como EternalBlue, SMBleed o SMBGhost, también conocida como CoronaBlue, las cuales han sido utilizadas por atacantes durante incidentes de ransomware.

Recomendaciones para Directorio Activo

• Limitar o restringir el acceso de los administradores de dominio a cualquier dispositivo que no sea un controlador de dominio. Si un administrador requiere emplear sus credenciales, es recomendable dar acceso en un dispositivo de usuario final, auditar los accesos y registrar la actividad en un SIEM

• Adquirir una solución de propósito específico para protección del Directorio Activo. Las soluciones de tipo deception, trampas de malware o honeypots pueden ayudar a detectar un intento de ataque a tiempo, no solo en el Directorio Activo sino también en la red operativa.

• Realizar procesos de cacería de amenazas en los controladores de dominio, servidores, estaciones de trabajo y directorios activos, en búsqueda de cuentas nuevas o cuya generación no sea reconocida o sea sospechosa.

• Cambiar las contraseñas de todas las computadoras periódicamente y usar múltiple factor de autenticación en las cuentas de todos los usuarios del Directorio Activo.

• Nunca ejecutar servicios no oficiales con altos privilegios o con cuentas de administrador de dominio, ya que estos podrían almacenar las credenciales que podrían ser usadas con propósitos maliciosos.

• Limitar la creación de cuentas de administración de dominio y otros grupos privilegiados: entre menos cuentas y grupos existan, será más difícil para el atacante encontrar cuentas administrativas.

• Proteger la cuenta del administrador de dominio con contraseñas robustas, MFA y cambios periódicos.

• Deshabilitar la cuenta integrada de administrador y eliminar usuarios del grupo de administración local, en caso de ser posible.

• Habilitar la auditoría y reglas de correlación en tiempo real relacionadas con la modificación de GPOs, ya que algunos actores de amenaza realizan actividades maliciosas abusando de ellas.

• Restringir la instalación de software adicional o la configuración de roles del servidor en los controladores de dominio que no sean los definidos en las políticas de seguridad de la organización.

• Realizar la gestión de parches y exploración de vulnerabilidades con regularidad.

• Utilizar servicios DNS seguros para bloquear dominios maliciosos.

• Habilitar y configurar el firewall de Windows con las reglas definidas en las políticas de seguridad de la organización.

• Usar una aplicación de listas blancas en las que se establezca cuáles son las aplicaciones permitidas para ejecutarse en el Directorio Activo.

• Implementar una solución PAM (solución de manejo de acceso privilegiado).

• Utilizar una estación de trabajo de administración segura (SAW).

Recomendaciones para hipervisores

• Mantener el software de virtualización actualizado con los últimos parches liberados por el fabricante.

• Desactivar el acceso a las cuentas root, estableciendo definidas cuentas con los permisos únicos a utilizar.

• Establecer permisos únicos a la CLI a los únicos usuarios autorizados.

• Implementar una herramienta XDR (Extended Detection and Response) para identificar, detectar y prevenir ataques a las máquinas virtuales contenidas en los hipervisores.

• Aislar de la red el hipervisor junto con los recursos necesarios para su funcionamiento, como vSANs y respaldos.

• Definir reglas para VEEAM, HYPERV y VMWare (para que solo se pueda tener acceso a estas plataformas desde servidores específicos de administración) y restringir el acceso a esos servidores.

• Administrar identidad y acceso al desacoplar ESXi, vCenter y otros hipervisores del Directorio Activo para que sea protegida la infraestructura de virtualización en caso de que sea comprometida.

• Utilizar cuentas dedicadas a la administración de la infraestructura, habilitar múltiple factor de autenticación (MFA) y administrar las credenciales de forma segura.

• Restringir los servicios únicamente necesarios a usar en los hipervisores.

• Activar el firewall local para permitir accesos administrativos desde segmentos de red o hosts confiables.

• Enviar las bitácoras de los hipervisores al SIEM central de la organización para proveer visibilidad en los eventos de seguridad ocurridos.

• Mantener respaldos frecuentes y que no puedan ser eliminados por un atacante. Esto se puede lograr al contar con respaldos fuera de línea o en servicios especializados.

Recomendaciones específicas para vSphere y ESXi

• Es recomendable tomar en cuenta los hardware que incluyan TPM 2.0 para instalar el software de virtualización, el cual hará uso automático del chip de seguridad para almacenar llaves de autorización y asegurarse de que los archivos del sistema no hayan sido modificados.

• Secure Boot: con esto se asegura que el código a ejecutar al inicio del servidor esté firmado digitalmente y no haya sido modificado, lo cual dificultará la persistencia y control inicial por parte de los actores de amenaza.

• Se puede habilitar en el siguiente enlace: /usr/lib/vmware/secureboot/bin/secureBoot.py -c

• execInstalledOnly: esta es una propiedad de ESXi y vSphere para restringir la ejecución de archivos binarios en el hipervisor, lo que evita que un actor de amenaza despliegue sus herramientas y las ejecute. Para verificar si está activo y para activarlo, hay que ejecutar lo siguiente:
  • esxcli system settings kernel list -o execinstalledonly
  • esxcli system settings kernel set -s execinstalledonly -v TRUE

IMPORTANTE: Para evitar inconvenientes las configuraciones mencionadas deben llevarse a cabo en pruebas de laboratorio o ambiente de pruebas UAT previo a realizarlas en el ambiente productivo.

Si la operación de la organización lo permite, es altamente recomendable la restricción del uso de las siguientes herramientas, ya que SCILabs las identificó mediante la respuesta a incidentes. Aunque algunas pueden ser utilizadas de manera legítima, es importante estar atentos a su comportamiento y alertar en caso de alguna instalación desconocida o sospechosa.

Herramienta	Actividad	Herramienta	Actividad
ADRecon	Reconocimiento	WinSCP	Exfiltración
PsExec	Movimiento lateral	NirCmd	Ejecución de comandos/Evasión de defensas
Mimikatz	Robo de credenciales	Rclone	Exfiltración
Herramientas de contraseñas de Nirsoft	Ejecución de comandos/Evasión de defensas	PCHunter	Reconocimiento/Manipulación de procesos
ExMatter	Exfiltración	GMER	Evasión de defensas
Bloodhound tool	Reconocimiento	BazarLoader	Movimiento lateral
CrackMapExec	Movimiento lateral	GrabFF	Robo de credenciales Firefox
Inveigh/InveighZero	Captura/Robo de credenciales	GrabChrome	Robo de credenciales Chrome
MegaSync	Exfiltración	BrowserPassView	Robo de credenciales otros navegadores
Adfind	Reconocimiento/Movimiento lateral	KeeThief	Robo de clave maestra de KeePass
Rubeus	Robo de credenciales	FileGrab	Exfiltración de archivos
Stealbit	Exfiltración	CobaltStrike	Comando y control/Postexplotación
ConnectWise/ScreenConnect	Persistencia/Movimiento lateral	FileZilla	Exfiltración
Process Hacker	Reconocimiento	Advanced Port Scanner	Reconocimiento
Conexiones RDP	Persistencia/Movimiento lateral	NetScan	Reconocimiento/Movimiento lateral
ProxifierPE	Comando y control (Proxy)	Pcloud	Exfiltración de datos
OpenChromeDumps	Robo de credenciales	Advanced Port Scanner	Reconocimiento
S3 Browser	Web Browsing	WmiExecAgent	Movimiento lateral/Ejecución de comandos
Ngrok	Reconocimiento	LaZagne	Robo de credenciales
TDSSKiller	Evasión de defensas	SoftPerfect	Reconocimiento/Movimiento lateral

¿Qué hacer durante un ataque de ransomware?

Cuando una organización ya fue comprometida, enfrenta múltiples incógnitas, como: ¿existe alguna forma gratuita de recuperar la información?, ¿qué debe notificarse a la alta dirección?, ¿cómo iniciar tareas de recuperación?, ¿el ataque fue orquestado por algún empleado?, ¿es posible limpiar los equipos comprometidos?, ¿qué es necesario bloquear o aislar?, entre muchas otras; por ello se recomienda enfocarse en lo siguiente:

• Iniciar un proceso de respuesta a incidentes, el cual podrá recurrir al BCP (Business Continuity Plan), en caso de un ataque cibernético ocasionado por ransomware. Esto permitirá seguir el plan previamente definido y manejar la crisis de manera adecuada.

• En caso de no contar con un BCP, se requiere diseñar un plan de contingencia que permita mantener la operación del negocio en el que se contemple un DRP (Disaster Recovery Plan), de ser posible, incluyendo una política de respaldos robusta en la que se contemplen respaldos (fuera de línea) de la información crítica para operar, con el fin de evitar que se vean comprometidos en caso de un ataque por ransomware.

• En caso de no contar con un proceso de respuesta a incidentes, es importante considerar lo siguiente:

• Involucrar a un equipo experto en respuesta a incidentes especializado en ciberinteligencia permitirá actuar con mayor rapidez y certeza.

• Definir la postura de la organización para comunicarla interna y externamente, de tal forma que se establezca una versión unificada de la situación, evitar el pánico y reducir el impacto mediático.

• Definir un “war room” en el cual se encuentren física o virtualmente (según corresponda) todos aquellos que deben participar en la respuesta al incidente.

• Designar a un responsable de comunicar el estado del incidente a la alta dirección y otras áreas de la organización.

• Definir un líder del incidente que pueda tomar decisiones a ser ejecutadas por el resto de los equipos de la organización. A continuación, se listan algunas actividades que debería efectuar el líder del incidente durante el evento:

• Elegir las fuentes de investigación que le darán información para investigar el incidente.
  • Determinar si es necesario obtener el “triage” de equipos involucrados.
  • Generar las hipótesis que dirigirán la investigación y que serán confirmadas o descalificadas con base en la evidencia obtenida.
  • Generar recomendaciones para la contención, erradicación y recuperación del incidente.

• Designar a un líder técnico con la capacidad de coordinar al grupo de especialistas responsables de las diversas áreas de tecnología involucradas en el proceso crítico afectado, y que apoye durante las actividades de respuesta para que los especialistas puedan actuar con la celeridad necesaria.

• Mantener la calma y no sacar conclusiones inmediatamente, ya que esto puede conducir a tomar decisiones apresuradas que afecten el proceso de respuesta y entorpezcan el restablecimiento de la operación.

• Evitar buscar a los responsables internos del ataque, ya que esto puede dar lugar a situaciones de confrontamiento con el personal que obstruyan el desarrollo de la respuesta al incidente.

• Conducir un análisis profundo, en caso de contar con muestras de artefactos, para encontrar indicadores de compromiso que ayuden en la detección, contención y posible erradicación de la amenaza.

• Establecer procedimientos para bloquear accesos, notificar incidentes y realizar análisis forense tras un intento de ataque exitoso

• Evitar divulgar información en redes sociales y medios de comunicación acerca de lo sucedido para prevenir que se generen falsas expectativas de la situación, considerando que, si se trata de una empresa que cotiza en la bolsa, en caso de no manejarse adecuadamente los mensajes y transmitir tranquilidad, es factible que la incertidumbre que pueden crear los medios de comunicación provoque la caída de las acciones.

• Evitar cargar muestras a herramientas públicas de análisis, ya que otros usuarios las podrían descargar y divulgar información confidencial de la organización.

• En caso de realizar actividades de contención inmediatas, como el aislamiento de un equipo afectado, se recomienda que el equipo en el cual está sucediendo el incidente no sea apagado, solo desconectado, debido a que si se apaga se podría perder información importante en la investigación del incidente.

Prevención de movimiento lateral

• Implementar el uso de firewalls internos y listas de control de acceso (ACLs) que permitan el bloqueo de tráfico entre segmentos en los cuales no sea necesario, como la restricción de protocolos SMB y RDP.

• Configurar el firewall de Windows en todos los hosts para bloquear técnicas ampliamente utilizadas, como el uso de PowerShell.exe u otros scripts y binarios Living-Off-the-Land.

• regsvr32.exe
• mshta.exe
• bitsadmin.exe
• certutil.exe
• msbuild.exe
• hh.exe
• makecab.exe
• ieexec.exe
• expand.exe
• extrac.exe

• Poner especial atención en la ejecución de herramientas como wmic.exe, psexec, netuse, PaExec o crackmapexec, las cuales son frecuentemente utilizadas por actores de amenaza para realizar movimientos laterales.

• Restringir o evitar el uso de herramientas de administración remota, tales como AnyDesk, GoToAssist, Atera, HOST, Team Viewer, entre otras, comúnmente utilizadas por los actores de amenaza para ejecutar movimientos laterales en la red de la víctima.

• Segmentar la red y restringir el tráfico innecesario. La segmentación mediante VLANs para separar los sistemas en distintos segmentos, limitando la comunicación entre dispositivos críticos y no críticos. La implementación de microsegmentación con tecnologías como VMware NSX ayuda a definir reglas más granulares y a reducir la superficie de ataque.

• Aplicar el principio de privilegio mínimo para garantizar que los usuarios y sistemas solo tengan los permisos estrictamente necesarios para realizar sus funciones.

• Deshabilitar credenciales predeterminadas y aplicar autenticación multifactor (MFA) en accesos críticos.

• Habilitar tecnologías como Windows Defender Credential Guard para proteger las credenciales almacenadas en la memoria del sistema contra ataques de robo de hashes, como Pass-the-Hash.

• Monitorear activamente el uso de cuentas privilegiadas y detectar el uso de herramientas de ataque como Mimikatz mediante soluciones de seguridad como Sysmon y SIEMs.

• Implementar soluciones de detección y respuesta en endpoints (EDR/XDR) que permitan identificar comportamientos anómalos y bloquear ataques antes de que se propaguen. Además, un SIEM bien configurado ayuda a correlacionar eventos sospechosos y generar alertas en tiempo real.

• Monitorear accesos inusuales a través de RDP y actividades sospechosas en el uso de credenciales, lo que puede indicar intentos de desplazamiento lateral por parte de atacantes.

Dependiendo de la magnitud del incidente, el equipo de respuesta a incidentes determinará las acciones que tengan más sentido y establecerá una ruta crítica que pueda conducir a la recuperación de los sistemas afectados, de acuerdo con el entendimiento de la amenaza y la inteligencia con la que cuente.

¿Qué hacer después de un ataque de ransomware?

Una vez que las organizaciones salen de la crisis que conlleva un ataque de ransomware, es importante tomar en cuenta las siguientes recomendaciones:

• Realizar una sesión de lecciones aprendidas que permita a la organización determinar qué pudieron hacer diferente, y poner en marcha acciones que eviten una reinfección.

• Efectuar un ejercicio de hunting de amenazas avanzadas que permita identificar si existe la misma amenaza o una similar en alguna parte de la red que deba ser atendida a la brevedad.

• Mantener un monitoreo exhaustivo durante por lo menos tres meses, para asegurarse de que en la organización ya no existen rastros del atacante; esto implica entender los alertamientos generados por las diferentes soluciones de seguridad implementadas durante la respuesta a incidentes e investigar con profundidad cada uno de ellos.

• Desarrollar modelos de detección que se asemejen al modus operandi del atacante para contar con una detección oportuna de algún nuevo evento asociado con la misma amenaza.

• Implementar una campaña dirigida a los socios y usuarios resumiendo los acontecimientos por los que acaba de pasar la organización y la importancia de seguir los lineamientos de seguridad establecidos.

• Realizar un diagnóstico integral que permita determinar el estado actual de la organización desde el punto de vista de procesos, gente y tecnología, mediante el cual pueda conocerse la postura de ciberseguridad interna y externa de la organización, para que con ello se cree una estrategia de ciberseguridad.

• Diseñar la estrategia de ciberseguridad de la organización con una visión holística, en la que se tomen en cuenta por lo menos los siguientes puntos:
  • Considerar las nuevas oportunidades que deben ser soportadas por los servicios de ciberseguridad para proteger los datos críticos, tomando en cuenta los objetivos del negocio, sus necesidades y el cumplimiento regulatorio que debe soportar.
  • Contemplar un enfoque en los riesgos que enfrenta la organización de acuerdo con su sector y su modelo de amenazas.
  • Entender la importancia del factor humano, así como la personalidad de los usuarios para responder a las expectativas internas y externas, además de determinar cómo y a quién dirigir las campañas continuas de concientización.
  • Ejecutar un monitoreo continuo de ciberinteligencia, así como un mapeo del modelo de amenazas que permita visualizar la postura de ciberseguridad y cómo es percibida interna y externamente.
  • Asegurarse de que la estrategia de seguridad contemple capacidades de identificación a través de una arquitectura de visibilidad, monitoreo continuo y prevención, mediante un enfoque holístico que considere la cacería continua de amenazas, protección mediante la tecnología adecuada en los puntos necesarios, gente preparada, procesos sólidos, respuesta orquestada por personal experto, recuperación, verificación por medio de procesos y énfasis en la resiliencia.