miércoles, 29 de junio de 2022

Técnicas y procedimientos grupos ransomware

 Kaspersky ha publicado un informe que brinda un análisis sobre distintas familias de ransomware específicas, describen las actividades de los grupos delictivos y brinda consejos generales sobre cómo evitar que funcione el ransomware, etc.


 


 

 El objetivo del informe es familiarizar al lector con las diferentes etapas de la implementación del ransomware, cómo los ciberdelincuentes usan RAT y otras herramientas en las distintas etapas y qué pretenden lograr. El informe también proporciona una guía visual para defenderse contra ataques de ransomware dirigidos, utilizando los grupos más prolíficos como ejemplos, y presenta al lector las reglas de detección SIGMA.

¿Cuáles son los grupos actuales de ransomware?

Para el informe, seleccionaron los ocho grupos de ransomware más comunes:

  1. Conti/Ryuk
  2. Pysa
  3. Clop (TA505)
  4. Hive
  5. Lockbit2.0
  6. RagnarLocker
  7. BlackByte
  8. BlackCat

El informe detalla los ataques perpetrados por estos grupos y describe las técnicas y tácticas descritas en MITRE ATT&CK para identificar una gran cantidad de TTP compartidos. Al rastrear a todos los grupos y detectar sus ataques, se puede ver que las técnicas centrales siguen siendo las mismas a lo largo de Cyber Kill Chain.

Los patrones de ataque revelados no son accidentales porque esta clase de ataque requiere que los delincuentes informáticos pasen por ciertas etapas, como penetrar en la red corporativa o en la computadora de la víctima, entregar malware, descubrimiento adicional, secuestro de cuentas, eliminación de instantáneas, eliminación de copias de seguridad para, finalmente, lograr sus objetivos.

 

Para resaltar los componentes comunes y los TTP compartidos por los grupos de ransomware en diferentes patrones de ataque, han creado un diagrama que proporciona una representación visual de las técnicas y tácticas utilizadas por diferentes operadores de ransomware.

Una vez que se han recopilado los datos de incidentes relacionados con los grupos de ransomware, podemos identificar los TTP característicos de cada uno de ellos y luego superponerlos en Cyber Kill Chain. Las flechas indican la secuencia de técnicas específicas y los colores marcan los grupos individuales que se sabe que implementan estas técnicas.


 

Se puede utilizar el informe "The hateful eight: Kaspersky’s guide to modern ransomware groups’ TTPs" [PDF] como un libro de conocimiento sobre las principales técnicas utilizadas por los grupos de ransomware, para escribir reglas de cacería y para auditar las soluciones de seguridad.

El informe contiene...

  • Tácticas, Técnicas y Procedimientos (TTP) de ocho grupos de ransomware modernos: Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat
  • Una descripción de cómo los diferentes grupos comparten más de la mitad de los componentes y TTP comunes, con las etapas principales del ataque ejecutándose de manera idéntica en todos los grupos.
  • Un diagrama de Cyber Kill Chain que combina las intersecciones visibles y los elementos comunes de los grupos de ransomware seleccionados y permite predecir los próximos pasos de los actores de amenazas.
  • Un análisis detallado de cada técnica con ejemplos de cómo los utilizan varios grupos y una lista completa de mitigaciones.
  • Reglas SIGMA basadas en TTP descritos que se pueden aplicar a soluciones SIEM

Fuentes:

 Kaspersky

https://blog.segu-info.com.ar/2022/06/kill-chain-para-8-familias-de.html 

No hay comentarios:

Publicar un comentario