BlackCat, la última amenaza de ransomware que va en busca del Directorio Activo se está propagando globalmente, atacando a empresas de sectores como banca, construcción e ingeniería, ventas minoristas, transporte, servicios comerciales, telecomunicaciones y algunas otras, en localidades como Norteamérica, Europa, etc.
ALPHV, como también se le conoce a esta cepa de ransomware, ha demostrado ser altamente efectivo desde su surgimiento, en noviembre de 2021, pues se calcula que ha exigido rescates por más de $10 millones de dólares y ha comprometido un número considerable de entidades a nivel mundial, incluyendo desafortunadamente México. No solamente roba o cifra datos, los cuales amenaza con exponer en la dark web de no pagarse el monto exigido, sino que también aplica el método de la “triple extorsión” al amenazar a las entidades afectadas con lanzar ataques de denegación de servicio. BlackCat es un ransomware operado por humanos y se basa en líneas de comando, lo que dificulta que las herramientas de detección tradicionales alerten sobre su presencia en un sistema. De hecho, se sabe que utiliza una amplia gama de métodos de cifrado, lo que le permite moverse desde diversos frentes y tener privilegios administrativos para propagarse a otras computadoras, cifrar otros dispositivos y borrar totalmente información que no podrá volverse a recuperar, incluyendo copias de respaldo y máquinas virtuales.
Al final, el atacante toma control completo del domino e incluso implementa el “pago final” a través de una política de grupo a los equipos de las organizaciones. Es importante considerar que el AD es la plataforma de identidad que más utilizan las empresas y, si se compromete, le da a los atacantes el control que buscan para obtener privilegios, inhabilitar las herramientas de seguridad y moverse lateralmente dentro de la organización.
Los profesionales de la ciberseguridad están optando por un modelo integral que incluya la detección y prevención de las actividades de reconocimiento que realizan los atacantes, así como otros parámetros que puedan indicar que los dominios se están comprometiendo. Una opción que está llamando su atención es el enfoque denominado recientemente por Gartner como “Identity Detection and Response”, que brinda visibilidad sobre las soluciones de seguridad existentes, como el punto final, y la capacidad de detectar y defender ante eventos críticos como el robo y mal uso de credenciales, además de los intentos de afectar al Active Directory. Debido a la velocidad con que este método se está propagando, las herramientas de IDR se están convirtiendo en componentes críticos del portafolio de seguridad de las empresas. Y es por una buena razón: pueden proteger las credenciales de los usuarios y los objetos del AD, mientras reducen la superficie de ataque con el uso de herramientas de visibilidad de las exposiciones locales y en la nube. Estas soluciones pueden ayudar a los encargados de la ciberseguridad a resolver las exposiciones que un cibercriminal podría aprovechar e identificar ataques como cambios en las cuentas, ataques de fuerza bruta, delegación peligrosa o actividades de replicación de dominios.
Por medio del aseguramiento correcto de identidades es posible evitar que los atacantes se muevan por la red sin ser detectados, sin importar qué código o técnicas estén utilizando. Respecto a las medidas que planean implementar para fortalecer sus sistemas a fin de evitar futuros ataques, grande porcentaje de ellos mencionó la educación de los empleados para proteger los endpoints, el más del 60 % dijo que cambiar contraseñas; y menos de la mitad dijo que añadiría AD a su programa de monitoreo. Si bien destinar más recursos a combatir el ransomware es una excelente noticia, es crítico que se preste más atención a AD.
Ante los ataques de ransomware, la recomendación es implementar soluciones de seguridad que sean capaces de detectar el movimiento lateral y otros ataques potenciales dentro de la red para identificar las señales tempranas de una intrusión.
Comentarios