Enfoque de ransomware del equipo de Respuesta a incidentes de Microsoft y procedimientos recomendados

Ransomware operado por humanos no es un problema de software malintencionado, es un problema criminal humano. Las soluciones que se usan para abordar problemas de productos básicos no son suficientes para evitar una amenaza que se parezca más a un actor de amenazas de estado nacional que:

• Deshabilita o desinstala el software antivirus antes de cifrar archivos
• Deshabilita los servicios de seguridad y el registro para evitar la detección
• Busca y daña o elimina copias de seguridad antes de enviar una demanda de rescate

Estas acciones a menudo se realizan mediante programas legítimos, como Quick Assist en mayo de 2024, que es posible que ya tenga en su entorno para fines administrativos. En manos criminales, estas herramientas se usan para llevar a cabo ataques.

Responder a la creciente amenaza de ransomware requiere una combinación de la configuración empresarial moderna, up-to-date productos de seguridad, y personal de seguridad entrenado para detectar y responder a las amenazas antes de que se pierdan los datos.

El equipo de Respuesta a incidentes de Microsoft (anteriormente DART/CRSP) responde a los problemas de seguridad para ayudar a los clientes a volverse resistentes a la ciberseguridad. Microsoft Incident Response proporciona respuesta reactiva a incidentes locales e investigaciones proactivas remotas. Respuesta a incidentes de Microsoft usa las asociaciones estratégicas de Microsoft con organizaciones de seguridad de todo el mundo y grupos de productos internos de Microsoft para proporcionar la investigación más completa y exhaustiva posible. Nuestros expertos en respuesta a incidentes priorizan la proactividad, usando señales diarias e inteligencia sobre amenazas para identificar amenazas en cada entorno de cliente. Microsoft anima a los clientes a establecer también su propio equipo de respuesta a incidentes para la máxima supervisión interna del perímetro.

En este artículo se describe cómo la respuesta a incidentes de Microsoft controla los ataques de ransomware para ayudar a guiar a los clientes de Microsoft en los procedimientos recomendados para su propio cuaderno de estrategias de operaciones de seguridad. Para obtener información sobre cómo Microsoft usa la inteligencia artificial más reciente para la mitigación de ransomware, lea nuestro artículo sobre la defensa de Microsoft Security Copilot contra ataques de ransomware.

Cómo Respuesta a incidentes de Microsoft usa los servicios de seguridad de Microsoft

La respuesta a incidentes de Microsoft se basa en gran medida en los datos de todas las investigaciones y usa servicios de seguridad de Microsoft, como Microsoft Defender para Office 365, Microsoft Defender para punto de conexión, Microsoft Defender for Identityy Microsoft Defender for Cloud Apps.

Para las actualizaciones de las medidas de seguridad más recientes del equipo de respuesta a incidentes de Microsoft, consulte el Ninja Hub.

Microsoft Defender para punto de conexión

Defender para punto de conexión es la plataforma de seguridad para punto de conexión empresarial de Microsoft diseñada para ayudar a los analistas de seguridad de redes empresariales a prevenir, detectar, investigar y responder a las amenazas avanzadas. Defender para punto de conexión puede detectar ataques mediante análisis de comportamiento avanzado y aprendizaje automático. Tus analistas pueden usar Defender para Endpoint para evaluar el comportamiento de los actores de amenazas.

Los analistas también pueden realizar consultas avanzadas de búsqueda para identificar indicadores de riesgo (IOC) o buscar un comportamiento conocido del actor de amenazas.

Defender para punto de conexión proporciona acceso en tiempo real a la supervisión y el análisis expertos de Expertos de Microsoft Defender para la actividad de actor sospechosa en curso. También puede colaborar con expertos a petición para obtener más información sobre alertas e incidentes.

Microsoft Defender for Identity

Defender for Identity investiga las cuentas en peligro conocidas para identificar otras cuentas potencialmente comprometidas en su organización. Defender for Identity envía alertas para actividades malintencionadas conocidas, como ataques DCSync, intentos de ejecución de código remoto y ataques pass-the-hash.

Microsoft Defender para aplicaciones en la nube

Defender for Cloud Apps (anteriormente conocido como Microsoft Cloud App Security) permite a su analista detectar un comportamiento inusual en las aplicaciones en la nube para identificar ransomware, usuarios en peligro o aplicaciones no autorizadas. Defender for Cloud Apps es la solución de agente de seguridad de acceso a la nube (CASB) de Microsoft que permite supervisar los servicios en la nube y los datos a los que acceden los usuarios en servicios en la nube.

Puntuación de seguridad de Microsoft

Los servicios XDR de Microsoft Defender proporcionan recomendaciones de corrección dinámicas para reducir la superficie expuesta a ataques. Puntuación segura de Microsoft es una medida de la posición de seguridad de una organización, con un número mayor que indica que se han realizado más acciones de mejora. Lea la documentación de puntuación de seguridad para obtener más información sobre cómo su organización puede usar esta característica para priorizar las acciones de corrección para su entorno.

El enfoque de Respuesta a incidentes de Microsoft para realizar investigaciones de incidentes de ransomware

Determinar cómo un actor de amenazas obtuvo acceso a su entorno es fundamental para identificar vulnerabilidades, llevar a cabo la mitigación de ataques y evitar ataques futuros. En algunos casos, el actor de amenazas toma medidas para cubrir sus pistas y destruir pruebas, por lo que es posible que toda la cadena de eventos no sea evidente.

Los siguientes son tres pasos clave en las investigaciones de ransomware de Respuesta a incidentes de Microsoft:

Paso	Objetivo	Preguntas iniciales
1. Evaluar la situación actual	Descripción del ámbito	¿Qué te hizo inicialmente consciente de un ataque de ransomware? ¿Qué hora y fecha ha aprendido por primera vez el incidente? ¿Qué registros están disponibles y hay alguna indicación de que el actor accede actualmente a los sistemas?
2. Identificar las aplicaciones de línea de negocio (LOB) afectadas	Volver a conectar los sistemas	¿La aplicación requiere una identidad? ¿Están disponibles las copias de seguridad de la aplicación, la configuración y los datos? ¿El contenido y la integridad de las copias de seguridad se comprueban periódicamente mediante un ejercicio de restauración?
3. Determinación del proceso de recuperación en peligro (CR)	Eliminación del actor de amenazas del entorno	N/D

Paso 1: Evaluar la situación actual

Una evaluación de la situación actual es fundamental para comprender el ámbito del incidente y para determinar las mejores personas para ayudar y planear y definir el ámbito de las tareas de investigación y corrección. Formular las siguientes preguntas iniciales es fundamental para ayudar a determinar el origen y la extensión de la situación.

¿Cómo identificaste el ataque ransomware?

Si el personal de TI identificó la amenaza inicial, como copias de seguridad eliminadas, alertas antivirus, alertas de detección de puntos de conexión y respuesta (EDR) o cambios sospechosos del sistema, a menudo es posible tomar medidas decisivas rápidas para frustrar el ataque. Estas medidas suelen implicar deshabilitar todas las comunicaciones entrantes y salientes de Internet. Aunque esta medida podría afectar temporalmente a las operaciones empresariales que normalmente serían mucho menos impactantes que la implementación correcta de ransomware.

Si un usuario llama al departamento de soporte técnico de TI identificó la amenaza, podría haber suficiente advertencia anticipada para tomar medidas defensivas para evitar o minimizar los efectos del ataque. Si una entidad externa como la aplicación de la ley o una institución financiera identificó la amenaza, es probable que el daño ya se haya realizado. En este momento, el actor de amenazas podría tener el control administrativo de la red. Esta evidencia puede oscilar entre las notas ransomware y las pantallas bloqueadas a las demandas de rescate.

¿Qué fecha y hora ha aprendido por primera vez el incidente?

Es importante establecer la fecha y hora iniciales de la actividad para ayudar a restringir el ámbito de la evaluación de prioridades inicial para la actividad del actor de amenazas. Las preguntas adicionales pueden incluir:

• ¿Qué actualizaciones faltaron en esa fecha? Es importante identificar las vulnerabilidades explotadas.
• ¿Qué cuentas se usaron en esa fecha?
• ¿Qué cuentas nuevas se han creado desde esa fecha?

¿Qué registros están disponibles y hay alguna indicación de que el actor accede actualmente a los sistemas?

Registros, como antivirus, EDR y red privada virtual (VPN), pueden mostrar evidencias de riesgo sospechoso. Las preguntas de seguimiento pueden incluir:

• ¿Se agregan registros en una solución de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel, Splunk, ArcSight y otros? ¿Cuál es el período de retención de estos datos?
• ¿Hay algún sistema sospechoso en peligro que experimente actividad inusual?
• ¿Hay cuentas sospechosas en peligro que parezcan estar bajo control activo de actor de amenazas?
• ¿Hay alguna evidencia de controles y comandos activos (C2) en EDR, firewall, VPN, proxy web y otros registros?

Para evaluar la situación, es posible que necesite un controlador de dominio de Active Directory Domain Services (AD DS) que no estaba en peligro, una copia de seguridad reciente de un controlador de dominio o un controlador de dominio reciente sin conexión para mantenimiento o actualizaciones. Determine también si se requería la autenticación multifactor (MFA) para todos los usuarios de la empresa y si se usó Microsoft Entra ID.

Paso 2: Identificar las aplicaciones loB que no están disponibles debido al incidente

Este paso es fundamental para averiguar la forma más rápida de volver a poner en línea los sistemas al obtener la evidencia necesaria.

¿La aplicación requiere una identidad?

• ¿Cómo se realiza la autenticación?
• ¿Cómo se almacenan y administran las credenciales, como certificados o secretos?

¿Están disponibles copias de seguridad probadas de la aplicación, la configuración y los datos?

• ¿Se comprueba periódicamente el contenido y la integridad de las copias de seguridad mediante un ejercicio de restauración? Esta comprobación es importante después de que se produzcan cambios en la administración de la configuración o actualizaciones de versiones.

Paso 3: Determinar el proceso de recuperación en peligro

Este paso puede ser necesario si el plano de control, que normalmente es AD DS, se ha puesto en peligro.

La investigación siempre debe proporcionar resultados que alimenten directamente el proceso de CR. CR es el proceso que elimina el control de los actores de amenazas de un entorno y aumenta tácticamente la postura de seguridad dentro de un período establecido. LA CR tiene lugar después de la infracción de seguridad. Para obtener más información sobre CR, lea el artículo del blog CRSP: Expertos en recuperación de seguridad vulnerada. El equipo de emergencia que lucha contra los ciberataques de los clientes

Después de recopilar respuestas a las preguntas de los pasos 1 y 2, puede crear una lista de tareas y asignar propietarios. La participación correcta en la respuesta a incidentes requiere documentación exhaustiva y detallada de cada elemento de trabajo (como el propietario, el estado, los resultados, la fecha y la hora) para compilar los resultados.

Recomendaciones y procedimientos recomendados de Respuesta a incidentes de Microsoft

Estas son las recomendaciones y procedimientos recomendados de Respuesta a incidentes de Microsoft para las actividades de contención y posteriores a los incidentes.

Contención

La contención solo se puede producir una vez que se determina lo que debe contenerse. En el caso de ransomware, el actor de amenazas tiene como objetivo obtener credenciales para el control administrativo sobre un servidor de alta disponibilidad y luego implementar el ransomware. En algunos casos, el actor de amenazas identifica datos confidenciales y los filtra a una ubicación que controlan.

La recuperación táctica es única para el entorno, el sector y el nivel de experiencia y experiencia de TI de su organización. Los pasos que se describen a continuación se recomiendan para la contención táctica y a corto plazo. Para obtener más información sobre las instrucciones a largo plazo, consulte Protección del acceso con privilegios. Para una visión completa de cómo defenderse de ransomware y extorsión, consulte Ransomware operado por humanos.

Los siguientes pasos de contención se pueden realizar a medida que se detectan nuevos vectores de amenaza.

Paso 1: Evaluar el ámbito de la situación

• ¿Qué cuentas de usuario se han visto comprometidas?
• ¿Qué dispositivos se ven afectados?
• ¿Qué aplicaciones se ven afectadas?

Paso 2: Conservar los sistemas existentes

• Deshabilite todas las cuentas de usuario con privilegios, excepto un pequeño número de cuentas usadas por los administradores para ayudar a restablecer la integridad de la infraestructura de AD DS. Si cree que una cuenta de usuario está en peligro, deshabilite inmediatamente.
• Aísle los sistemas en peligro de la red, pero no los desactive.
• Aísle al menos un controlador de dominio conocido (e idealmente dos) correcto en cada dominio. Desconéctalos de la red o desconectalos para evitar la propagación de ransomware a sistemas críticos, priorizando la identidad como el vector de ataque más vulnerable. Si todos los controladores de dominio son virtuales, asegúrese de que las unidades de sistema y datos de la plataforma de virtualización estén respaldadas en medios externos sin conexión que no estén conectados a la red.
• Aísle los servidores de aplicaciones críticas conocidas, como SAP, la base de datos de gestión de configuraciones (CMDB), la facturación y los sistemas de contabilidad.

Estos dos pasos se pueden realizar simultáneamente a medida que se detectan nuevos vectores de amenazas. Para aislar la amenaza de la red, deshabilite los vectores de amenaza y luego busque un sistema conocido que no haya sido comprometido.

Otras acciones de contención táctica incluyen:

• Restablecer la contraseña krbtgt dos veces en sucesión rápida. Considere la posibilidad de usar un proceso con scripts y repetible. Este script le permite restablecer la contraseña de la cuenta krbtgt y las claves relacionadas, a la vez que minimiza la probabilidad de problemas de autenticación Kerberos. Para minimizar los problemas, la duración de krbtgt se puede reducir una o varias veces antes de que el primer restablecimiento de contraseña complete rápidamente estos pasos. Todos los controladores de dominio que planea mantener en su entorno deben estar en línea.

• Implemente una directiva de grupo en todos los dominios que impida el inicio de sesión con privilegios (administradores de dominio) en cualquier cosa, excepto controladores de dominio y estaciones de trabajo solo administrativas con privilegios (si los hubiera).

• Instale todas las actualizaciones de seguridad que faltan para los sistemas operativos y las aplicaciones. Cada actualización que falta es un posible vector de amenaza que los actores ransomware pueden identificar y usar rápidamente. La Administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión proporciona una manera sencilla de ver exactamente lo que falta, así como el impacto de las actualizaciones que faltan.

  • En el caso de los dispositivos Windows 10 (o posteriores), confirme que la versión actual (o n-1) se ejecuta en todos los dispositivos.

  • Implemente reglas de reducción de la superficie expuesta a ataques (ASR) para prevenir la infección por malware.

  • Habilite todas las características de seguridad de Windows 10.

• Compruebe que todas las aplicaciones externas, incluido el acceso VPN, están protegidas por la autenticación multifactor (MFA), preferiblemente mediante una aplicación de autenticación que se ejecuta en un dispositivo protegido.

• Para los dispositivos que no usan Defender para punto de conexión como software antivirus principal, realice un examen completo con Microsoft Safety Scanner en sistemas seguros conocidos aislados antes de volver a conectarlos a la red.

• Para cualquier sistema operativo heredado, actualice a un sistema operativo (SO) compatible o retire estos dispositivos. Si estas opciones no están disponibles, tome todas las medidas posibles para aislar estos dispositivos, como el aislamiento de red/VLAN, las reglas de seguridad del protocolo de Internet (IPsec) y las restricciones de inicio de sesión. Estos pasos ayudan a garantizar que estos sistemas solo son accesibles por los usuarios o dispositivos para proporcionar continuidad empresarial.

Las configuraciones más arriesgadas constan de ejecutar sistemas críticos en sistemas operativos heredados antiguos como Windows NT 4.0 y aplicaciones, todos en hardware heredado. No solo son estos sistemas operativos y aplicaciones inseguros y vulnerables, pero si se produce un error en ese hardware, las copias de seguridad normalmente no se pueden restaurar en hardware moderno. Estas aplicaciones no pueden funcionar sin hardware heredado. Considere encarecidamente la posibilidad de convertir estas aplicaciones para que se ejecuten en sistemas operativos y hardware actuales.

Actividad posterior al incidente

Respuesta a incidentes de Microsoft recomienda implementar las siguientes recomendaciones de seguridad y procedimientos recomendados después de cada incidente.

• Asegúrese de que se han implementado procedimientos recomendados para soluciones de correo electrónico y colaboración para ayudar a evitar que los actores de amenazas los usen, a la vez que permiten a los usuarios internos acceder a contenido externo de forma sencilla y segura.

• Siga los procedimientos recomendados de seguridad de Confianza Cero para las soluciones de acceso remoto a los recursos internos de la organización.

• Comenzando con los administradores que tienen un impacto crítico, siga los procedimientos recomendados para la seguridad de las cuentas, incluido el uso de autenticación sin contraseña o autenticación multifactor.

• Implemente una estrategia completa para reducir el riesgo de comprometer el acceso con privilegios.

  • Para el acceso administrativo de nube y bosque o dominio, use el modelo de acceso con privilegios (PAM) de Microsoft.

  • Para la administración administrativa del punto de conexión, use la solución de contraseñas administrativas locales (LAPS).

• Implemente la protección de datos para bloquear técnicas de ransomware y confirmar una recuperación rápida y confiable de un ataque.

• Revise los sistemas críticos. Compruebe la protección y las copias de seguridad contra la eliminación o el cifrado del actor de amenazas. Revise y pruebe y valide periódicamente estas copias de seguridad.

• Asegúrese de la detección y corrección rápidas de ataques comunes contra puntos de conexión, correo electrónico e identidad.

• Descubra y mejore continuamente la posición de seguridad de su entorno.

• Actualice los procesos organizativos para administrar eventos de ransomware importantes y optimizar la subcontratación para evitar la fricción.

PAM

El uso de PAM (anteriormente conocido como modelo de administración por niveles) mejora la posición de seguridad de Microsoft Entra ID, lo que implica:

• Dividir cuentas administrativas en un entorno "planeado", lo que significa una cuenta para cada nivel (normalmente cuatro niveles):

• Plano de control (anteriormente nivel 0): administración de controladores de dominio y otros servicios de identidad cruciales, como Servicios de federación de Active Directory (ADFS) o Microsoft Entra Connect. También incluyen aplicaciones de servidor que requieren permisos administrativos para AD DS, como Exchange Server.

• Los dos aviones siguientes eran anteriormente de nivel 1:

  • Plano de administración: gestión de activos, supervisión y seguridad.

  • Plano de datos y carga de trabajo: aplicaciones y servidores de aplicaciones.

• Los dos planos siguientes eran anteriormente de nivel 2:

  • Acceso de usuario: derechos de acceso para usuarios (como cuentas).

  • Acceso a aplicaciones: derechos de acceso para aplicaciones.

• Cada uno de estos planos tiene una estación de trabajo administrativa independiente para cada plano y solo tiene acceso a los sistemas de ese plano. A las cuentas de otros planos se les deniega el acceso a estaciones de trabajo y servidores en diferentes planos a través de asignaciones de derechos de usuario establecidas en esos dispositivos.

Pam garantiza lo siguiente:

• Una cuenta de usuario en peligro solo tiene acceso a su propio plano.

• Las cuentas de usuario más confidenciales no pueden acceder a estaciones de trabajo y servidores con el nivel de seguridad de un plano inferior. Esto ayuda a evitar el movimiento lateral del actor de amenazas.

LAPS (Solución de contraseñas de administrador local)

De forma predeterminada, Microsoft Windows y AD DS no tienen administración centralizada de cuentas administrativas locales en estaciones de trabajo y servidores miembros. Esta falta de administración puede dar lugar a una contraseña común para todas estas cuentas locales o al menos para grupos de dispositivos. Esta situación permite a los actores de amenazas poner en peligro una cuenta de administrador local para acceder a otras estaciones de trabajo o servidores de la organización.

La LAPS de Microsoft mitiga esta amenaza mediante una extensión del lado cliente de directiva de grupo que cambia la contraseña administrativa local a intervalos regulares en estaciones de trabajo y servidores según la política establecida. Cada una de estas contraseñas es diferente y se almacena como un atributo en el objeto de equipo de AD DS. Este atributo se puede recuperar de una aplicación cliente simple, en función de los permisos asignados a ese atributo.

LAPS requiere que el esquema de AD DS se extienda para permitir que el atributo adicional, las plantillas de directiva de grupo de LAPS se instalen e instalen una pequeña extensión del lado cliente en cada estación de trabajo y servidor miembro para proporcionar funcionalidad del lado cliente.

Puede descargar LAPS desde el Centro de Descargas de Microsoft .

Recursos adicionales del ransomware

Los siguientes recursos de Microsoft ayudan a detectar ataques de ransomware y a proteger los recursos de la organización:

• Ransomware controlado por personas

• Protección rápida frente al ransomware y la extorsión

• Informe de 2023 sobre defensa digital de Microsoft (consulte las páginas 17 a 26)

• Ransomware: un informe de análisis de amenazas generalizado y continuo Amenazas en el portal de Microsoft Defender

• Caso práctico de ransomware de Respuesta a incidentes de Microsoft

Microsoft 365:

• Implementación de la protección contra ransomware en el inquilino de Microsoft 365
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Recuperación en caso de un ataque de ransomware
• Protección contra malware y ransomware
• Proteger el PC contra el ransomware
• Control del ransomware en SharePoint Online
• Informes de análisis de amenazas para ransomware en el portal de Microsoft Defender
• Aprovechar la inteligencia artificial para defenderse del ransomware con Microsoft Security Copilot

Microsoft Defender XDR:

• Búsqueda de ransomware con búsqueda avanzada

Microsoft Azure:

• Defensas de Azure ante ataques de ransomware
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Plan de copia de seguridad y restauración para protegerse contra el ransomware
• Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
• Recuperación de un riesgo de identidad sistemático
• Detección de un ataque avanzado de varias fases en Microsoft Sentinel
• Detección de fusión para ransomware en Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Creación de directivas de detección de anomalías en Defender for Cloud Apps