Skip to main content

PlayBook

Acciones de respuesta

Acciones a realizar en caso de haber sufrido un incidente de ransomware

Detección y análisis

  • Determinar qué sistemas fueron afectados y aislarlos inmediatamente
  • Apagar los dispositivos o desconectarlos de la red para evitar una mayor propagación de la infección de ransomware
  • Clasificar los sistemas afectados para la restauración y recuperación.
  • Examinar los registros y los sistemas existentes de detección o prevención de la entidad (p. ej., antivirus, EDR, IDS, sistema de prevención de intrusiones)
  • Consultar con su equipo para desarrollar y documentar una comprensión inicial de lo que ocurrió basándose en el análisis inicial.

Iniciar actividades de búsqueda de amenazas.

En caso de que la entidad cuente con infraestructura física, verifique:

  • Cuentas de AD recién creadas o cuentas con privilegios elevados y actividad reciente relacionada con cuentas privilegiadas, como administradores de dominio
  • Inicios de sesión anómalos en dispositivos de VPN u otros inicios de sesión sospechosos.
  • Modificaciones de puntos de conexión que puedan deteriorar las copias de seguridad, las instantáneas, el registro en diario de los discos o las configuraciones de arranque. Busque un uso anómalo de las herramientas integradas de Windows, como bcdedit.exe, fsutil.exe (deletejournal), vssadmin.exe, wbadmin.exe y wmic.exe (shadowcopy o shadowstorage). El uso indebido de estas herramientas es una técnica de ransomware común para inhibir la recuperación del sistema.
  • Indicios de la presencia de la señal/cliente de Cobalt Strike. Cobalt Strike es un paquete de software comercial de pruebas de penetración. Los agentes maliciosos suelen nombrar los procesos de Windows de Cobalt Strike con los mismos nombres que los procesos de Windows legítimos para ofuscar su presencia y complicar las investigaciones.
  • Señales de cualquier uso inesperado de software de supervisión y administración remota (RMM) (incluidos los ejecutables portátiles que no están instalados). Los agentes maliciosos suelen utilizar el software de RMM para mantener la persistencia
  • Cualquier ejecución inesperada de PowerShell o uso del conjunto PsTools.
  • Signos de enumeración de credenciales de AD o LSASS que se vuelcan (p. ej., Mimikatz, Sysinternals ProcDump o NTDSutil.exe).
  • Señales de comunicaciones inesperadas entre puntos de conexión (incluidos los servidores), por ejemplo, el envenenamiento del protocolo de resolución de direcciones (ARP, por sus siglas en inglés) de un punto de conexión o el tráfico de comando y control retransmitido entre puntos de conexión.
  • Cantidad anormal de datos salientes a través de cualquier puerto. El software de código abierto puede canalizar datos a través de varios puertos y protocolos. Por ejemplo, los agentes de ransomware han utilizado Chisel para canalizar el shell seguro (SSH, por sus siglas en inglés) a través del puerto 443 del protocolo de transferencia de hipertexto seguro (HTTPS, por sus siglas en inglés). Los agentes de ransomware también han utilizado Cloudflared para hacer mal uso de los túneles de Cloudflare a fin de canalizar las comunicaciones a través del HTTPS.
  • La presencia de Rclone, Rsync y diversos servicios de almacenamiento de archivos basados en la web, y del protocolo de transferencia de archivos (FTP, por sus siglas en inglés) y del protocolo de transferencia segura de archivos (SFTP, por sus siglas en inglés), que son herramientas comunes para la exfiltración de datos (y también las utilizan los agentes de amenazas para implantar malware o herramientas en las redes afectadas)
  • Servicios recién creados, tareas programadas inesperadas, software instalado imprevisto, archivos inusuales creados, procesos legítimos con procesos secundarios inesperados, etc.

En caso de que la entidad utilice entorno en la nube, verifique:

  • Habilite herramientas para detectar y evitar las modificaciones en recursos de IAM, seguridad de la red y protección de datos
  • Utilice la automatización para detectar problemas comunes (p. ej., deshabilitación de características, introducción de nuevas reglas del cortafuegos) y tomar medidas automatizadas apenas ocurran. Por ejemplo, si se crea una nueva regla del cortafuegos que permite el tráfico abierto (0.0.0.0/0), se puede tomar una medida automatizada para deshabilitar o eliminar esta regla y enviar notificaciones al usuario que la creó, así como al equipo de seguridad para que esté al tanto. Esto ayudará a evitar la fatiga de alertas y permitirá que el personal de seguridad se concentre en cuestiones fundamentales.

 

Administracióndeequiposindirectadedirecta.

  • La
    • NROACCIÓNENCARGADO

    DeteccióContención y análisis:erradicación

    •  Identifique los sistemas y las cuentas involucrados en la vulneración inicial. Esto puede incluir cuentas de correo electrónico.
    • Deshabilite las redes privadas virtuales, los servidores de acceso remoto, los recursos de inicio de sesión único y los activos públicos basados en la nube o de otro tipo.

    Si una estación de trabajo infectada está cifrando datos del lado del servidor, siga los pasos de
    identificación rápida del cifrado de datos del lado del servidor

    		Gestor
  • Revise RTIR
    		•
    > Sesiones y las listas de Archivos abiertos en los servidores asociados para determinar el usuario o el sistema que accede a esos archivos.
  • Revise las propiedades de los archivos cifrados o las notas de rescate para identificar usuarios específicos que puedan estar asociados a la propiedad de los archivos.
  • Revise el registro de eventos de TerminalServices-RemoteConnectionManager para verificar si hay conexiones de red del RDP satisfactorias.
  • Revise el registro de seguridad de Windows, los registros de eventos de SMB y los registros relacionados que puedan identificar eventos importantes de autenticación o acceso
  • Ejecute un software de captura de paquetes, como Wireshark, en el servidor afectado con un filtro para identificar las direcciones IP involucradas en la escritura activa o el cambio de nombre de archivos (p. ej., smb2.filename contains cryptxxx).

    • Realice un análisis extendido para identificar los mecanismos de persistencia de interacción

    		 y Gestorinteracción RTIR
    persistencia de interacción indirecta puede incluir el acceso autenticado a los sistemas
    externos a través de cuentas no autorizadas, las puertas traseras en los sistemas perimetrales, la
    explotación de las vulnerabilidades externas, etc.


    Back to top