Simulación de Ataque de Ransomware

El ransomware es un tipo de software malicioso que impide a los usuarios acceder al sistema infectado o a partes de este o de sus archivos, y que exige el pago de un rescate para poder facilitar nuevamente el acceso eliminando las restricciones impuestas.

Con estos ejercicios de auditoría se evalúa el nivel de impacto en la organización ante un ataque potencial de ransomware de la forma real en la que este podría producirse contra la empresa. Para ello, se despliegan distintas muestras que identificarán los sistemas susceptibles al ataque y evaluarán la eficacia de los mecanismos de defensa que existen en la organización.
 

Las formas de infección de un sistema con ransomware pueden ser muy diversas. Uno de los métodos más habituales actualmente es a través de phishing. Así, los mensajes de correo electrónico son abusados para incluir ficheros anexos trampa, como PDF u otros documentos ofimáticos, que contienen el malware o, directamente, enlazan con sitios web maliciosos.

Por lo general, los actores maliciosos que distribuyen ransomware tampoco tienen la dificultad añadida de obtener un objetivo de alto valor. Cualquier equipo corporativo conectado a la red interna (por ejemplo, un usuario accediendo a su correo) es suficiente ya que el impacto del ataque no depende tanto del equipo comprometido, sino del acceso de ese equipo o de ese usuario a otros recursos en la red.

La detección de esos ataques no es trivial, ya que si bien cuando son campañas extremadamente conocidas los productos de seguridad pueden tener firmas para dichos ejecutables o sus variantes, para cualquier forma nueva de despliegue de ransomware la única protección posible en los equipos de usuario es mediante heurística, es decir, los patrones de comportamiento de ese software, y que precisamente podría dar lugar a falsos positivos ya que una acción de crear o cifrar un archivo puede ser un uso legítimo de una aplicación de usuario o del propio usuario.

Esquema de Fases

El ejercicio para evaluar los sistemas de protección ante ataques de ransomware, se plantea en las siguientes fases:

Esquema Fases Ejercicios Red Team

Preparación del entorno

Todas las pruebas realizadas se llevan a cabo en un entorno controlado. En esta fase, se identifican los sistemas a analizar, se recopilan las características de los usuarios, se definen las métricas a utilizar, los objetivos perseguidos y se define el protocolo de actuación.

Generalmente, requerirá disponer de acceso con varios perfiles de usuario a los sistemas, con el fin de facilitar la identificación de la causa que haya podido generar resultados distintos debidos a configuraciones de políticas de seguridad, por ejemplo, GPO del directorio activo.

Diseño de Muestras

En esta fase, se preparan las muestras de ransomware que se haya determinado previamente. Dichas muestras permitirán analizar las siguientes características y el nivel de defensa ofrecido por la plataforma:

  • Persistencia
  • Ofuscación
  • Inyección de procesos
  • Carga de CPU
  • Escalado de Privilegios
  • Cifrado
Ejecución de Muestras

El objetivo será identificar vulnerabilidades y/o limitaciones de los dispositivos de protección (como antivirus o EDR, Endpoint Detection and Response) que pudieran haber implementados en la organización. Para ello, se ejecutan las muestras en el entorno preparado de forma escalonada.

Como parte del servicio, el cliente puede solicitar la evaluación de su personal y recursos ante un ataque con éxito de ransomware. En dicho caso, se realizarán actuaciones específicas con ese objetivo (solicitando la restauración de unos ficheros determinados, analizando tiempos de respuesta, disponibilidad de backup, tiempos de restauración, etc.)

Resultados

Tras la ejecución de las pruebas, se analizan los resultados obtenidos y se genera la documentación asociada.

  • Resumen ejecutivo de alto nivel
  • Detalle de las pruebas realizadas, especificando su objetivo
  • Resultados obtenidos en las distintas pruebas realizadas
  • Métricas utilizadas y valores obtenidos en cada una de ellas
  • Recomendaciones que permitan incrementar el nivel de protección de la organización frente a los ataques de ransomware