Cyber Horizons

Ransomware: la intervención de nuestro CERT en detalle

Publicado el 09 enero 2023
Entre bastidores en nuestro CERT para revivir una respuesta completa a un ataque de ransomware. David Quesada, Director del CERT de Advens, explica las fases de respuesta a incidentes de nuestro Equipo de Respuesta a Emergencias Informáticas. ¡Entrevista exclusiva!

¿Qué es un ataque de ransomware?

Un ataque de ransomware consiste en enviar un malware a un objetivo que, una vez activado, cifra los archivos y todos los datos en el sistema de información donde se despliega. Luego se exige un rescate a cambio de una clave de descifrado.

¿Cuáles son las señales de advertencia de un ataque de ransomware?

Hay señales débiles, pero detectarlas puede ser difícil.

El objetivo del atacante es pasar desapercibido el mayor tiempo posible. Una vez infiltrado en un sistema informático, puede esperar meses antes de lanzar su ataque o hacerlo en unas pocas horas… Lo que puede hacer que te des cuenta de su presencia son comportamientos anómalos, como acciones durante la noche (conexiones, modificaciones, etc.) o transferencias de red inusuales.

¿Qué sucede tan pronto se revela el ataque?

Las herramientas informáticas ya no responden o funcionan de manera anormal. El usuario observa un comportamiento inesperado en su estación de trabajo, como un software que ya no funciona, un fondo de pantalla que cambia de apariencia… Luego aparece un archivo de texto, a menudo titulado «Léeme.txt» que contiene un mensaje fatídico «Hemos cifrado sus datos, llame a dicho número para recuperarlos por la suma de XXX € o XXX Bitcoin».

1 a 3 días

Este es el momento habitual para enviar una nota de rescate (LegiFrance).

¿Debo ponerme en contacto con el atacante?

Aconsejo no contactar directamente al atacante y entablar negociaciones para pagar el rescate. No le permitirá necesariamente ahorrar tiempo y tampoco tendrá garantía de que el atacante le devuelva el acceso a sus datos.

Pero cada minuto cuenta, y si un usuario descubre el ataque, debe lanzar inmediatamente la alerta al equipo de ciberseguridad o en su defecto al soporte de TI y sobre todo no hacer frente al incidente usted mismo.

¿Cuáles son los primeros pasos en el modus operandi de Advens CERT en caso de un ataque de ransomware?

La primera fase del incidente tiene lugar en varias etapas: estos son, en cierto modo, los «gestos de primeros auxilios».

Nuestro CERT comienza realizando una primera calificación telefónica para identificar el alcance del daño, comprender las acciones realizadas o en curso, luego transmitir, a través de una dirección de correo electrónico de emergencia, las acciones prioritarias que se llevarán a cabo a la espera de la llegada del equipo al sitio.

Nuestro equipo acude lo más rápido posible al patrocinador, idealmente en 24 horas en territorio francés. Durante este tiempo, este último debe llevar a cabo todas las acciones priorizadas por su parte:

  • Sus equipos técnicos llevarán a cabo las primeras acciones para contener el ataque y limitar al máximo los daños: aislamiento de Internet, aislamiento de Active Directory, seguridad de copias de seguridad y datos aún no cifrados…
  • Los equipos técnicos tomarán los elementos técnicos de interés con las herramientas y procedimientos proporcionados para guardar los registros y tener un estado lo más cercano posible al incidente.
  • Al mismo tiempo, la administración estará en funcionamiento para implementar el plan de gestión de crisis (si existe), que puede llegar hasta la aplicación de un plan de continuidad del negocio: ¿qué se ve afectado, cómo, por qué, qué impactos de los datos cifrados? ¿Qué servicios deben permanecer absolutamente activos?

Una vez allí, mapearemos los daños e identificaremos las acciones a tomar en los primeros dos o tres días.

CERT llevará a cabo una investigación en profundidad: consiste en el análisis de muestras para identificar el punto de partida del ataque (si es posible) y el nivel de penetración del ataque. Para aumentar la eficiencia y la velocidad, es posible que CERT necesite implementar un EDR. El objetivo de este despliegue es doble, proteger con los indicadores descubiertos y poder detectar nuevos elementos específicos del compromiso.

Paralelamente, podemos apoyar a los equipos del cliente en la comunicación interna y externa a adoptar.

Dentro de Advens, un equipo de «bomberos voluntarios» puede hacerse cargo de proporcionar habilidades adicionales o complementarias. Por ejemplo, algunos ya han hablado con los medios de comunicación.

¿Cuáles son las acciones de la fase de “contener y remediar”?

Después de una semana de investigación, comenzamos a crear lo que se llama un núcleo de confianza.

¿Qué es un núcleo de confianza?

Una zona de TI 100% segura que le permite construir una infraestructura de TI saludable. Todo dentro ha sido comprobado, el atacante no está en este lugar y no puede entrar en él, gracias al aislamiento de todas las demás posiciones antes de que se reintegren en este núcleo de confianza.

¿El desafío de este núcleo de confianza? Que sólo traiga partes del IS que sean totalmente seguras y filtradas. Durante la crisis, el ataque puede continuar, el atacante puede evolucionar sus técnicas o se pueden descubrir nuevas vulnerabilidades. La prudencia y la agilidad deben combinarse para tener éxito en la contención la reconstrucción.

Paralelamente, CERT Advens continúa presentado su soporte. Activamos o participamos en la unidad de crisis de la organización víctima del ataque. Esto nos permite mantener un vínculo con el cliente y compartir el progreso de nuestros análisis. Una vez que la reconstrucción está lo suficientemente avanzada, es posible reiniciar los servicios afectados. En contacto muy cercano con la administración, determinamos qué función comercial necesita ser rehabilitada como prioridad.

En esta etapa, son posibles dos escenarios:

  • Ya se ha planificado un BIA (Business Impact Analysis), lo que puede ahorrar tiempo porque le permite saber qué servicio / aplicación debe reiniciarse primero y luego los demás en orden de prioridad.
  • No se ha anticipado nada: por lo que ayudamos a la empresa víctima a identificar las prioridades para reiniciar el negocio, una tarea que le puede hacer perder mucho tiempo.

¿Cómo se actúa para restaurar el EI y hacer que el patrocinador sea autónomo?

Comenzamos la fase de reconstrucción del EI. Esto puede llevar de 4 a 6 semanas o incluso varios meses, dependiendo de la extensión del daño y los problemas encontrados.

Una vez restaurados los primeros elementos críticos del SI, el equipo del CERT se retirará gradualmente, pero otros servicios de Advens podrán entrar en juego dependiendo del plan de acción previsto, como la implementación de un SOC supervisado, el mantenimiento en condiciones seguras, la definición de nuevos procedimientos o la formación y sensibilización.

Al final de la intervención del CERT, se redacta un informe de intervención que contiene las investigaciones numéricas realizadas por el CERT, un cronógrafo de lo sucedido durante la respuesta al incidente, un diagrama de ataque y conclusiones generales y técnicas de las que se deriva un plan de acción.

El patrocinador toma entonces el control de la finalización de la remediación, acompañado o no por ciertos equipos de Advens fuera de CERT, así como la restauración de su actividad. CERT sigue estando disponible para responder preguntas sobre el plan de acción y el informe.

Muchas gracias a David Quesada por compartir el modus operandi del Advens CERT en caso de un ataque de ransomware. Para estar al día de las novedades, siga los boletines publicados por CERT en el sitio web de Advens.