Investigación

Los ocho odiosos : Guía de Kaspersky sobre las TTP de los grupos de ransomware modernos

Hoy en día, el análisis del ransomware recibe mucha cobertura en los informes comerciales y públicos, y cada año los proveedores publican docenas de artículos relacionados con este fenómeno. Estos informes ofrecen análisis sobre familias de malware específicas o nuevas muestras, describen las actividades de un grupo de ransomware en concreto, dan consejos generales sobre cómo impedir que el ransomware cumpla su cometido, etc. Los analistas de malware y los profesionales de la seguridad pueden aprender mucho de estos informes, pero gran parte de su contenido no tiene un uso inmediato o práctico. Los expertos de Kaspersky hemos adoptado un enfoque diferente al publicar el informe Common TTPs of modern ransomware. Queremos que el lector se familiarice con las diferentes etapas del uso del ransomware, con cómo los ciberdelincuentes utilizan las RAT y otros instrumentos en las distintas etapas y qué pretenden conseguir. El informe también ofrece una guía visual para defenderse de los ataques selectivos de ransomware, tomando como ejemplo los grupos más prolíficos, y pone a disposición del lector las reglas de detección SIGMA que hemos creado.

¿De qué grupos de ransomware estamos hablando?

Para el informe hemos seleccionado los ocho grupos de ransomware más comunes:

  1. Conti/Ryuk
  2. Pysa
  3. Clop (TA505)
  4. Hive
  5. Lockbit2.0
  6. RagnarLocker
  7. BlackByte
  8. BlackCat

Hemos analizamos en detalle los ataques perpetrados por estos grupos y usado las técnicas y tácticas descritas en MITRE ATT&CK para identificar un gran número de TTP compartidas. Al rastrear todos los grupos y detectar sus ataques, vimos que sus principales técnicas siguen siendo las mismas a lo largo de la cadena de “cyber kill”. Los patrones de ataque revelados no son casuales, porque esta clase de ataque requiere que los hackers pasen por ciertas etapas, como la penetración en la red corporativa o en la computadora de la víctima, la entrega de malware, y las etapas posteriores: descubrimiento, secuestro de cuentas, borrado de las copias de seguridad, eliminación de las instantáneas y, finalmente, la consecución de sus objetivos.
Para destacar los componentes comunes y las TTP compartidas por los grupos de ransomware en los diferentes patrones de ataque, hemos creado un diagrama de las “cyber kill chain” comunes, que proporciona una representación visual de las técnicas y tácticas utilizadas por los diferentes operadores de ransomware.

Tras recoger los datos de los incidentes relacionados con los grupos de ransomware, podemos identificar las TTP características de cada uno de ellos y superponerlas a la “cyber kill chain” compartida. Las flechas indican la secuencia de técnicas específicas y los colores marcan los grupos individuales que se sabe que usan estas técnicas.

¿A quién va dirigido el informe?

Este informe está dirigido a analistas de SOC, equipos de caza de amenazas, analistas de inteligencia de ciberamenazas, especialistas en análisis forense digital y especialistas en ciberseguridad que participan en el proceso de respuesta a incidentes o quieren proteger el entorno del que son responsables frente a ataques selectivos de ransomware. Nuestro principal objetivo es ayudar a entender cómo operan los grupos de ransomware y cómo defenderse de sus ataques.
Puede utilizar este informe como una fuente de conocimientos acerca de las principales técnicas utilizadas por los grupos de ransomware, para escribir reglas de caza y para auditar sus soluciones de seguridad.

El informe contiene

  • Las tácticas, técnicas y procedimientos (TTP) de ocho grupos modernos de ransomware: Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat
  • Una descripción de cómo los diferentes grupos comparten más de la mitad de los componentes y TTP comunes, y de cómo las etapas principales del ataque se ejecutan de forma idéntica en todos los grupos
  • Un diagrama de la “cyber kill chain” que combina las intersecciones visibles y los elementos comunes de los grupos de ransomware seleccionados y permite predecir los siguientes pasos de los actores de la amenaza
  • Un análisis detallado de cada técnica con ejemplos del uso que le dan varios grupos y una lista completa de mitigaciones
  • Reglas SIGMA basadas en las TTP descritas, que pueden aplicarse a las soluciones SIEM

Rellene el siguiente formulario para descargar Common TTPs of modern ransomware (Inglés, PDF)

Los ocho odiosos : Guía de Kaspersky sobre las TTP de los grupos de ransomware modernos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

  1. ELIZABETH

    send me the report

    1. Securelist

      Hi Elizabeth!

      To get the report you need to fill in another form. If you don’t see it, please add this page to exceptions in your adblocker or browser settings.

      Hay dos formularios debajo del artículo. Para solicitar el PDF, rellene el primer formulario, que está encima del formulario de comentarios. Si no puede verlo, añada esta página a las excepciones en la configuración de su navegador o intente abrirlo en otro navegador. Si está usando un bloqueador de anuncios, añada esta página a las excepciones.

  2. Andy

    Thanks!

  3. Alonso Macias

    send me the report

  4. Maria Herrero

    gracias por el informe!

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada