16 consejos de ciberseguridad para empresas

EL Oficina Federal de Investigaciones (FBI) emitió un aviso conjunto de ciberseguridad advirtiendo a las organizaciones contra Jugar al grupo de ransomwareen colaboración con el Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA)y el Centro Australiano de Seguridad Cibernética (ACSC) dependiente de la Dirección de Señales de Australia (ASD). El informe examina los detalles de los ciberataques de Play Ransomware, cómo se utilizan para atacar a las víctimas y describe los pasos que las organizaciones pueden tomar para mitigar esta amenaza.

Amenaza cibernética: Play Ransomware Group

Según el informe del FBI, el grupo responsable de los ataques de ransomware se conoce como Jugar O Cripta de juego. Se supone que es un «grupo cerrado» creado para «garantizar el secreto de las transacciones», de acuerdo con el aviso conjunto de ciberseguridad del FBI, CISA y ACSC.

Se sabe que los ataques de ransomware Play han afectado a una gran cantidad de empresas en América del Norte, América del Sur y Europa desde junio de 2022, según el informe. El FBI dice que, hasta octubre de 2023, ha identificado aproximadamente «300 entidades afectadas que se cree que han sido explotadas por el grupo de ransomware».

Según el informe, el primer ataque de ransomware Play se reveló en abril de 2023 y el ataque observado más recientemente tuvo lugar en noviembre de 2023.

Realizar ataques grupales de ransomware: el modus operandi

Según el FBI, CISA y ASD ACSC, los actores del ransomware Play están utilizando un patrón de doble extorsión obligar a sus víctimas a pagar. Después de extraer los datos de los sistemas de la organización, los cifran.

Las notas de rescate no incluyen una demanda de rescate típica. Los ciberdelincuentes de Play ransomware no brindan a las víctimas ninguna instrucción sobre el pago del rescate; en cambio, requieren que las víctimas se comuniquen con ellos por correo electrónico. Se ha descubierto que las direcciones de correo electrónico de los actores de amenazas de Play terminan en «»@gmx[.]de'.

El pago se requiere en criptomoneda, y los ciberdelincuentes proporcionan las direcciones de la billetera. Si la persona/empresa objetivo se niega a pagar el rescate, el grupo de ransomware Play los amenaza con filtrar los datos exfiltrados de sus sitios en el sitio web. Red Tor.

Analizando los ataques de ransomware de Play: 5 pasos para la extorsión

¿Quiere saber en detalle cómo el grupo Play Ransomware se infiltra en los sistemas, desactiva los programas antivirus, obtiene acceso de administrador de dominio y, en última instancia, puede extraer datos? Continúe leyendo atentamente para tener una mejor idea de dónde fortalecer las defensas de su red.

1) Acceder a las redes de destino

Según el informe de ciberseguridad, el primer paso del grupo de ransomware Play es penetrar las redes de las víctimas abusando de cuentas válidas y explotando aplicaciones públicas. Para ello, utilizan específicamente vulnerabilidades conocidas como FortiOS (CVE-2018-13379 y CVE-2020-12812) Y Microsoft Exchange (ProxyNotShell) [CVE2022-41040 and CVE-2022-41082]).

Para obtener acceso, el grupo de ransomware también se encontró usando Protocolo de escritorio remoto (RDP) Y Redes Privadas Virtuales (VPN).

2) Comprobación de las defensas del sistema.

Se ha descubierto que los actores de amenazas utilizan “herramientas como buscar anuncios para ejecutar consultas de Active Directory y grixbaun ladrón de información, para enumerar información de la red y buscar software antivirus”, dice el informe.

3) Deshabilitar el software antivirus

Los ciberdelincuentes utilizan herramientas como GMER, IOBit y PowerTool para deshabilitar el software antivirus instalado en el dispositivo de destino y eliminar archivos de registro. A veces también se descubrió que usaban secuencias de comandos de PowerShell objetivo Microsoft Defender.

4) Ejecutar archivos y acceder al administrador del dominio.

Según el informe, los actores de amenazas están utilizando aplicaciones de mando y control (C2) como Golpe de cobalto Y SistemaBCy herramientas como PsExecpara facilitar el movimiento lateral y la ejecución de limas.

Una vez que se apoderan de la red, el grupo de ransomware busca credenciales inseguras e implementa el Dumper de identificación Mimikatz para obtener acceso de administrador de dominio.

ellos tambien usan Impresionantes scripts de elevación de privilegios de Windows (WinPEAS) para encontrar rutas adicionales de escalada de privilegios. Luego, el grupo de ransomware distribuye los ejecutables a través de Objetos de política de grupoañade el informe.

5) Realizar exfiltración de datos y cifrado del sistema.

Según el aviso conjunto de ciberseguridad, los actores de amenazas “dividen los datos comprometidos en segmentos y utilizan herramientas como winrar para comprimir archivos en formato .RAR para su exfiltración.
Luego usan WinSCP para transferir datos desde la red comprometida a sus propias cuentas.

Después de la exfiltración, los actores maliciosos cifran los archivos con Cifrado híbrido AES-RSA utilizando cifrado intermitente, «cifrando todas las demás partes del archivo en 0x100000 bytes». A .jugar La extensión se agrega a los nombres de archivos y a nota de rescate titulada Léame[.]SMS se coloca en el directorio de archivos C:”.

Play Ataques de ransomware: 16 consejos de ciberseguridad para empresas

Para protegerse a usted y a su organización de ataques cibernéticos como Play Ransomware, aquí hay algunos consejos directamente del FBI, CISA y ACSC:

1) Tener un plan de recuperación

El informe del FBI aconseja a las empresas «mantener y conservar múltiples copias de servidores y datos confidenciales o propietarios en una ubicación físicamente separada, segmentada y segura».
(es decir, disco duro, dispositivo de almacenamiento, nube).

Las empresas deben acostumbrarse a realizar copias de seguridad de datos fuera de línea con regularidad y asegurarse de que los datos respaldados estén cifrados y sean inmutables (inalterables y no se puedan eliminar).

2) Deshabilite los hipervínculos en los correos electrónicos recibidos

Deshabilitar los hipervínculos también protegería contra ataques de phishing y debería poder bloquear los ciberataques comunes que engañan a un usuario para que haga clic en un enlace.

3) Habilite la autenticación multifactor (MFA)

Las organizaciones deben desplegar Autenticación multifactor (MFA) en todos sus servicios si es posible. De lo contrario, servicios como VPN, correo web y cuentas importantes que pueden acceder a datos confidenciales deben estar especialmente protegidos por MFA.

4) Actualice el software periódicamente y publique parches

Las empresas deben implementar parches y actualizaciones oportunas para el sistema operativo, el firmware, el software y las aplicaciones en uso. También deberían realizar evaluaciones periódicas de vulnerabilidad para detectar posibles violaciones de seguridad.

5) Parchar inmediatamente las vulnerabilidades explotadas conocidas

Si todavía existen vulnerabilidades explotadas conocidas al acecho en su red, es como una invitación abierta a los ciberdelincuentes. Repárelos lo antes posible.

Según el informe, las empresas deberían implementar lo último Actualizaciones de seguridad de Microsoft Exchange. Si hay algún problema al aplicar el parche, entonces deberían deshabilitar Outlook Web Access (OWA) hasta que se puedan implementar las actualizaciones.

6) Fortifica tus contraseñas

Asegúrese de que cada cuenta con una contraseña de inicio de sesión cumpla con los estándares del Instituto Nacional de Estándares y Tecnología (NIST). Las contraseñas deben ser lo suficientemente largas (de 8 a 64 caracteres). Se recomienda encarecidamente a las organizaciones que almacenen las contraseñas en formato hash «utilizando administradores de contraseñas reconocidos en la industria».

Además de esto, las empresas también deben agregar «sales» de contraseñas a las credenciales de inicio de sesión compartidas, reemplazar las contraseñas antiguas por otras nuevas, pero no con demasiada frecuencia (una vez al año es suficiente), implementar múltiples bloqueos de cuentas durante intentos fallidos de inicio de sesión y deshabilitar la contraseña. consejos». Además, la instalación de cualquier software nuevo debería requerir credenciales de administrador.

7) Segmentación de la red

Al segmentar las redes, las empresas pueden controlar los flujos de tráfico entre subredes, así como el acceso a ellas. Esto ayuda a bloquear la propagación del ransomware.

8) Utilice la herramienta de monitoreo de red

Una herramienta de monitoreo de red registrará e informará todo el tráfico de la red; esto también incluye la actividad de movimiento lateral. Las herramientas de detección y respuesta de puntos finales (EDR) son particularmente útiles para detectar movimientos laterales.

9) Filtrado del tráfico de red

Esta medida evitaría que cuentas desconocidas accedan a servicios remotos en sistemas internos, según el informe.

10) Habilite el monitoreo en tiempo real del software antivirus

Esto debería ser una obviedad. Con la detección en tiempo real, se puede responder rápidamente a las amenazas en línea.

11) Comprobación de cuentas no reconocidas

El FBI y otras agencias de seguridad involucradas aconsejan a las empresas que «revisen los controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas nuevas y/o no reconocidas».

12) Auditoría de cuentas de usuario

El informe aconseja a las organizaciones «verificar las cuentas de usuario con privilegios administrativos y configurar controles de acceso basados ​​en el principio de privilegio mínimo».

13) Deshabilitar los puertos no utilizados

Como medida preventiva contra los ciberataques, se deben desactivar todos los puertos no utilizados.

14) Utilice pancartas de correo electrónico

El informe recomienda a las empresas que agreguen un banner de correo electrónico a los correos electrónicos recibidos desde fuera de su
organización.

15) Implementación de acceso basado en tiempo para ciertas cuentas

Las empresas deberían considerar habilitar el acceso basado en tiempo para cuentas configuradas en el nivel de administrador y superior.

16) Deshabilitar las actividades y permisos de la línea de comando y del script

Según el Asesor Conjunto de Ciberseguridad, “la escalada de privilegios y el movimiento lateral a menudo dependen de utilidades de software ejecutadas desde la línea de comando. Si los malos actores no pueden ejecutar estas herramientas, tendrán dificultades para escalar privilegios y/o moverse lateralmente.