Tecnología

FBI, CISA y NSA comparten consejos de defensa para ataques de ransomware BlackMatter

FBI, CISA y NSA comparten consejos para prevenir ataques de ransomware BlackMatter

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) publicaron hoy un aviso con detalles sobre cómo opera la banda de ransomware BlackMatter.

Las tres agencias también brindan información que puede ayudar a las organizaciones a defender la actividad de este adversario en la red y defenderse de ella.

La actividad de ransomware como servicio de BlackMatter comenzó en julio con el objetivo claro de violar las redes corporativas pertenecientes a empresas en los EE. UU., Canadá, Australia y el Reino Unido con un ingreso de al menos $ 100 millones.

Un anuncio de la pandilla mostró que estaban buscando comprar acceso a dichas redes por hasta $ 100,000 siempre que no fuera para hospitales, infraestructura crítica, organizaciones sin fines de lucro, industria de defensa y organizaciones gubernamentales.

Credenciales comprometidas

BlackMatter es responsable de encriptar sistemas en múltiples organizaciones en los EE. UU. Y pedir rescates que llegan a los $ 15 millones en criptomonedas.

El aviso conjunto de ciberseguridad de CISA, el FBI y la NSA comparte las tácticas, técnicas y procedimientos asociados con la actividad de BlackMatter que podrían ayudar a las organizaciones a protegerse contra la banda de ransomware BlackMatter.

Una variante del malware analizada en un entorno aislado muestra que el actor de la amenaza utilizó credenciales de administrador comprometidas para descubrir todos los hosts en el Active Directory de la víctima.

También utiliza la función de llamada a procedimiento remoto de Microsoft (MSRPC) (srvsvc.NetShareEnumAll) que permitió enumerar todos los recursos compartidos de red accesibles para cada host.

«En particular, esta variante de BlackMatter aprovecha las credenciales integradas y el protocolo SMB para cifrar de forma remota, desde el host comprometido original» – asesoramiento conjunto de CISA, FBI y NSA

El malware de cifrado de archivos BlackMatter también tiene una versión para sistemas basados ​​en Linux que pueden cifrar servidores virtuales VMware ESXi, que son comunes en entornos empresariales con fines de gestión de recursos.

El aviso de hoy advierte que, a diferencia de otros actores de ransomware que encriptan los dispositivos y almacenes de datos de respaldo, la banda BlackMatter los borra o reformatea.

Detectando y defendiendo

Sobre la base de los TTP identificados asociados con el ransomware BlackMatter, las tres agencias crearon firmas para el sistema de prevención y detección de intrusiones en la red Snort de código abierto que puede alertar cuando se inicia un proceso de cifrado remoto.

Regla del sistema de detección de intrusiones:

alert tcp any any -> any 445 ( msg:"BlackMatter remote encryption attempt";
content:"|01 00 00 00 00 00 05 00 01 00|"; content:"|2e 00 52 00 45 00 41 00 44
00 4d 00 45 00 2e 00 74 00|"; distance:100; detection_filter: track by_src, count
4, seconds 1; priority:1; sid:11111111111; )

Regla del sistema de prevención de intrusiones online:

alert tcp any any -> any 445 ( msg:"BlackMatter remote encryption attempt";
content:"|01 00 00 00 00 00 05 00 01 00|"; content:"|2e 00 52 00 45 00 41 00 44
00 4d 00 45 00 2e 00 74 00|"; distance:100; priority:1; sid:10000001; )
rate_filter gen_id 1, sig_id 10000001, track by_src, count 4, seconds 1,
new_action reject, timeout 86400

Para contrarrestar los ataques de ransomware BlackMatter, CISA, el FBI y la NSA comparten un conjunto de medidas de ciberseguridad que comienzan con la higiene básica de contraseñas y van a mitigaciones diseñadas para minimizar la superficie de ataque de Active Directory.

Mitigaciones de CISA, FBI, NSA para ataques de ransomware BlackMatter

Además de usar las firmas de Snort anteriores, las agencias recomiendan usar contraseñas sólidas y únicas para varias cuentas, como administradores, servicios y administradores de dominio.

La autenticación multifactor debe estar activa para todos los servicios que admiten la función. Este requisito es particularmente importante para el correo web, las redes privadas virtuales y las cuentas que acceden a sistemas críticos.

La instalación de parches de seguridad a tiempo sigue siendo «uno de los pasos más eficientes y rentables que puede tomar una organización para minimizar su exposición a las amenazas de ciberseguridad».

Los consejos de mitigación adicionales en el aviso se refieren a lo siguiente:

  • Limite el acceso a los recursos a través de la red a los servicios necesarios y las cuentas de usuario.
  • segmentación de la red y monitoreo transversal para dificultar la visibilidad y el mapeo de la red, y para conocer la actividad inusual indicativa de movimiento lateral
  • acceso basado en el tiempo para cuentas con privilegios de administrador y superiores durante un período de tiempo limitado necesario para completar una tarea
  • deshabilite las actividades y los permisos de la línea de comandos y de secuencias de comandos para evitar la escalada de privilegios y el movimiento lateral
  • mantener copias de seguridad fuera de línea mantenidas regularmente que están encriptadas e inmutables; no se puede alterar, el llamado dispositivo de almacenamiento escribir una vez, leer muchas (WORM)

Para las organizaciones de infraestructura crítica, CISA, el FBI y la NSA lanzaron un conjunto especial de mitigaciones complementarias que deben priorizarse:

  • Deshabilite el almacenamiento de contraseñas de texto sin cifrar en la memoria LSASS.
  • Considere deshabilitar o limitar el Administrador de red de área local de nueva tecnología (NTLM) y la autenticación WDigest
  • Implemente Credential Guard para Windows 10 y Server 2016. Para Windows Server 2012R2, habilite la luz de proceso protegida para la autoridad de seguridad local (LSA)
  • Minimice la superficie de ataque de AD para reducir la actividad maliciosa de concesión de tickets. La actividad maliciosa como «Kerberoasting» aprovecha el servicio de concesión de tickets de Kerberos y se puede utilizar para obtener credenciales hash que los atacantes intentan descifrar.

BlackMatter se encuentra entre las principales amenazas de ransomware en la actualidad. Surgió de la banda de ransomware DarkSide, que cerró después del infame ataque a Colonial Pipeline en mayo.

El actor de amenazas roba datos de sus víctimas antes de la etapa de cifrado y publica los archivos en su sitio de filtración a menos que obtengan el rescate.

Por el momento, su sitio enumera víctimas de varios sectores de la industria (ropa, bebidas, software, inversión, tecnología) que no pagaron el rescate, muchas de ellas con sede en los EE. UU.

Recientemente, la pandilla violó al proveedor de soluciones de software empresarial Marketron, la cooperativa de agricultores de EE. UU. NEW Cooperative y el gigante tecnológico Olympus.

Leave a Comment

You may also like

Más