Seguimiento de DarkSide y ransomware: La vista de la red
Desde que ocupó los titulares a principios de Mayo de 2021, el incidente de ransomware que afectó a Colonial Pipeline atrajo la atención significativa tanto de los medios como de los espacios de seguridad informática por el alcance y el impacto del suceso. Si bien ya se ha escrito mucho y así seguirá surgiendo a medida que se disponga de más evidencia, lo que ha faltado hasta ahora en el debate es una visión centrada en la red sobre el comportamiento general y las posibilidades de detección asociadas con la implementación de ransomware. En este artículo, Gigamon brinda un resumen del suceso en cuestión, el comportamiento asociado con operaciones de ransomware similares, la importancia de la visibilidad de la red y las posibilidades de monitoreo y detección de la red para encontrar a estos adversarios y las actividades maliciosas relacionadas.
Contexto
El 7 de mayo de 2021, Colonial Pipeline sufrió un incidente de ransomware. Mientras que toda la información disponible apuntaba que ransomware impactó solo los sistemas de TI de Colonial, la empresa cerró preventivamente los sistemas de control industrial vinculados (industrial control systems, ICS) como medida de precaución. La intromisión y la posterior interrupción de las operaciones fueron posteriormente asociadas con una variante de ransomware conocida como DarkSide. Activo al menos desde agosto de 2020, DarkSide opera bajo un modelo de “Ransomware como servicio” o “asociado”, donde el grupo proporciona servicios de ransomware de “doble extorsión” a otras entidades, que son las que realmente se infiltran en la red e implementan las distintas funcionalidades. Después DarkSide se encarga de las negociaciones y el pago tanto para descifrar la información de la víctima como de detener la filtración selectiva de los datos extraídos de la red destino.
Si bien las actividades vinculadas con DarkSide se han mantenido de manera relativamente estable desde su descubrimiento inicial en 2020, el incidente de Colonial Pipeline tomó notoriedad por su capacidad para interrumpir las operaciones de una empresa. A pesar de no haber sido la primera intrusión cibernética de gran notoriedad en los sistemas de tuberías ni el primer evento de ransomware apuntado contra una infraestructura de tuberías, el cierre preventivo de los sistemas críticos de Colonial provocó la interrupción de sus operaciones. Por ser una de las principales arterias de entrega de productos refinados de petróleo hacia este y sudeste de los Estados Unidos, la interrupción no pasó desapercibida, provocando reacciones que pasaron desde las compras de pánico de combustible a las declaraciones de la Casa Blanca. A pesar de que Colonial fue capaz de restaurar operaciones el 12 de mayo de 2021, la conmoción e impacto a corto plazo del incidente se hicieron sentir entre los sectores de seguridad informática y los encargados de establecer las políticas.
Técnicas de ransomware para la intrusión de empresas
El ransomware DarkSide ha afectado a varias víctimas desde su descubrimiento en 2020 Si bien esta última carga provocó la interrupción de la red (y el robo de datos con fines de extorsión) es preocupante, los defensores debieron enfocarse en los pasos preliminares que hicieron posible la ejecución de ransomware en lugar de la familia de ransomware en sí. En este sentido, dado el “modelo de afiliación” a través del cual los adversarios implementan DarkSide, esta variante de ransomware podría estar ligada a diversos perfiles de comportamiento.
Diferentes proveedores proporcionan información sobre acceso inicial, consolidación y el posterior movimiento lateral asociado con la implementación de DarkSide. Entre los ejemplos más notables se encuentran los siguientes:
- El informe inicial de Digital Shadows en septiembre de 2020
- El resumen de actividad de Cybereason Nocturnus en abril de 2021
- El informe de Varonis, con su posterior actualización luego del incidente de Colonial
- La descripción general de FireEye del comportamiento de DarkSide luego también del incidente de Colonial
- Las observaciones de los compromisos de respuesta a incidentes de Sophos
- Mas allá del análisis de la Unidad 42 de Palo Alto
Estas han sido las valiosas aportaciones al debate relativo a la implementación de DarkSide y Gigamon recomienda enérgicamente a los defensores, revisar estos puntos para poder reconocer y familiarizarse con esta amenaza. Sin embargo, todos estos puntos se enfocan principalmente en acciones y observaciones basadas en host, lo cual no nos sorprende, ya que la mayoría de las entidades en cuestión están involucradas en soluciones de seguridad basadas en host. Además de estas observaciones, los defensores cuentan con muchas opciones para hacer el seguimiento del comportamiento en la red relativo a la implementación de DarkSide, además de otras operaciones de ransomware.
Mecanismos de acceso inicial
La implementación del ransomware de DarkSide de parte de los adversarios está asociada con una variedad de mecanismos de acceso inicial como era de esperarse, dado que varias entidades se relacionan con su uso. Según el análisis y la revisión de la literatura disponible, Gigamon identifica los siguientes mecanismos básicos de afiliación de Darkside para vulnerar inicialmente las redes víctimas de los ataques:
- La actividad de suplantación de identidad (phishing) que se aprovecha los archivos adjuntos maliciosos
- Los ataques de reproducción de credenciales contra servicios externos, como (Remote Desktop Protocol, RDP)
- El uso de vulnerabilidades divulgadas públicamente contra servicios externos, como vulnerabilidades en los dispositivos VPN a los que se accede de forma externa (incluido CVE-2021-20016)
Si bien los anteriores representan vectores conocidos asociados a operaciones de afiliación de DarkSide, por el momento se desconoce el mecanismo específico que este ransomware utilizó para infiltrarse en Colonial Pipeline. No obstante, estos mecanismos de intrusión inicial se aliean perfectamente con otras técnicas de espionaje comunes afines, no solo con fines delictivos (como ransomware), sino también con amenazas avanzadas persistentes (advanced persistent threat, APT) o con intrusiones contra el Estado.
Si bien las investigaciones conducidas por FireEye mencionan una vulnerabilidad de VPN específica, Gigamon considera que es probable que se hayan utilizado otras vulnerabilidades divulgadas públicamente como parte de las intrusiones que permitieron implementar el ransomware más en general. Dado el aumento significativo de la información divulgada y el posterior uso de vulnerabilidades que tienen como objetivo dispositivos externos, como los concentradores de VPN, los defensores de la red deben anticiparse a los rápidos movimientos de los adversarios, sea que estén relacionados con DarkSide o no, para aprovecharse de dichos puntos de acceso potenciales.
Movimiento laterial y actividad de mando y control
Una vez dentro de las redes de las víctimas, las intrusiones relacionadas con DarkSide aprovechan una combinación de herramientas integradas del sistema (como “LoLBins”) y herramientas disponibles pública o comercialmente para diversos niveles de funcionalidad y comunicación en la red. Dichos elementos son implementados para propagarse por toda la red destino y para mantener el comando y el control (C2) sobre cualquier herramienta o implantación. Los ejemplos incluyen:
- La utilidad para la ejecución remota de comandos de Sysinternals, PSExec
- Herramientas de acceso remoto disponibles comercialmente, como TeamViewer
- La aplicación relacionada con PuTTY, Plink
- La herramienta comercialmente disponible (pero con frecuencia pirateada o crakeada), Cobalt Strike
- El marco públicamente disponible, de Control y comando personalizado (C3)
- Herramientas de enumeración de la red, como ADRecon y BloodHound para asignar instancias del directorio activo de la víctima
- Tunelización del tráfico de C2, incluido RDP, a través del navegador TOR (The Onion Router) para enmascarar actividades
Además, los adversarios aprovechan las herramientas integradas, como las conexiones de Bloque de mensajes del servidor (Server Message Block, SMB) y RDP para permitir la implementación de la capacidad o herramienta y el movimiento lateral, en combinación con la recopilación continua de credenciales a través de herramientas como Mimikatz.
En esta etapa la visibilidad del punto de conexión se vuelve valiosa para evaluar una instrusión en muchos casos. Sin embargo, hasta la mejor visibilidad del punto de conexión no es suficiente por sí misma para rastrear, detectar y monitorear a los adversarios escurridizos. Este es el caso especialmente de los movimientos internos de red. Al combinar la visibilidad y el monitoreo de la red con un control robusto de su seguridad, los defensores se aseguran de tomar en cuenta todas las vías de operación que podrían utilizar los invasores.
Al igual que sucede con los vectores de acceso inicial que fueron descritos en la sección anterior, el movimiento lateral y los mecanismos de C2 definidos aquí difícilmente podrían considerarse exclusivos de la implementación de DarkSide. Por el contrario, estas técnicas incluyen comportamientos también usados por entidades como APT y otros actores criminales. Mediante el monitoreo de las comunicaciones externas relacionadas con las herramientas o técnicas ya mencionadas o la inspección de los flujos de comunicación interna vinculados con los movimientos laterales, los defensores pueden identificar comportamientos maliciosos, incluso cuando sea posible evadir la visibilidad del punto de conexión u otra similar.
Filtración de datos
Otro componente de las operaciones relacionadas con DarkSide, junto con otras familias de ransomware, es el uso de la “doble extorsión” para inducir un pago. Además de cifrar los datos, se roba la información de la víctima bajo la amenaza de publicarla a menos que se dé un pago a cambio. Identificar un filtrado de datos a gran escala en el momento en que está ocurriendo puede ser un indicador de acciones perjudiciales inminentes. Su detección a tiempo les permite a los defensores implementar una respuesta rápida y evitar un daño mayor. El informe de investigadores de Red Canary sobre las tendencias generales en este sentido, además de las observaciones específicas sobre DarkSide, señala las siguientes herramientas y técnicas asociadas con operaciones de “doble extorsión”:
- El uso de herramientas gratuitas para diversas plataformas, como Rclone o WinSCP
- Herramientas relacionadas con Mega.io como MEGAcmd o MEGAsync
Aunque no se ha demostrado de manera concluyente, los informes de los medios indican que al menos en el incidente de Colonial, los delincuentes aprovecharon la infraestructura de hospedaje en la nube, específicamente de DigitalOcean, como un intermediario para la filtración de datos como parte de este proceso.
Los comportamientos anteriores ofrecen una variedad de posibilidades de detección. Los ejemplos incluyen desde un simple seguimiento de grandes flujos de tráfico anormales que indican la filtración de datos a gran escala hasta el uso de combinaciones de destinos y servicios específicos (como WinSCP a un número de sistema autónomo [ASN] asociado con un proveedor de la nube).
Monitoreo y visibilidad de la red
Los mecanismos indentificados anteriormente no son distintos a la implementación de DarkSide, esto les otorga una ventaja substancial a los defensores, ya que la identificación de técnicas generales asociadas con dichas intrusiones les permitirá protegerse de una amplia gama de posibles adversarios. Además, dadas las iniciativas de las entidades relacionadas con DarkSide (además de muchas otras amenazas) para evadir las soluciones de respuesta y detección de los puntos de conexión (endpoint detection and response, EDR) como parte fundamental de las técnicas de espionaje básicas, fomentar la visibilidad centrada en el hosts con un monitoreo robusto de la red permite que las organizaciones detecten dichas operaciones en varias fases de la Cyber Kill Chain (Cadena de cibererradicación).
El establecimiento de la visibilidad y el monitoreo de la red no solo en el perímetro, sino también del tráfico interno, posibilita respuestas de defensa poderosas capaces de contrarrestar distintas amenazas. Si observamos los comportamientos identificados en las secciones anteriores, surgen varios mecanismos de defensa y alertamientamieto, que van desde el acceso inicial hasta el movimiento lateral y la ejecución de códigos.
Monitoreo externo
El monitoreo de la actividad de autenticación por fuerza bruta o de exploración externa puede ser difícil dado el gran volumen de actividad de los distintos servicios, actores maliciosos y demás entidades. No obstante, el poder diferenciar entre las “señales” importantes para la seguridad de los “ruidos” de fondo es fundamental para articular una defensa sostenible y significativa de la red.
Por ejemplo, identificar la actividad de exploración de vulnerabilidades, como las vulnerabilidades de VPN asociadas con la implementación de DarkSide, puede resultar rápidamente en numerosas alarmas para varios escaneos académicos o comerciales que intentan identificar instancias de vulnerabilidades. En lugar de intentar perseguir cada posible exploración de vulnerabilidades, los defensores deberían concentrarse en hacer detecciones de mayor calidad y menor volumen para garantizar operaciones focalizadas y eficientes.
Al visualizar los eventos de seguridad de la red no como objetos discretos y atómicos, sino como elementos interrelacionados vinculados en tiempo y ejecución, surgen grandes posibilidades para la detección y análisis de vulnerabilidades. Por ejemplo, la identificación de actividades vinculadas con la exploración de vulnerabilidades de un servicio externo (o un intento explícito de explotar ese servicio), seguido de una actividad de autenticación o exploración desde el host víctima hacia otro, los hosts internos de la red pueden señalar posibles acciones de intrusión inicial y los intentos de los adversarios de expandir el acceso. Vinculando las observaciones discretas a partir de un análisis complejo y muy confiable de los comportamientos maliciosos, los defensores no solo pueden garantizar la respuesta ante eventos muy confiables y serios, sino también alertar sobre las técnicas de espionaje vinculadas a diversas amenazas.
Metodologías similares se aplican a las actividades de relleno de credenciales, fuerza bruta o de suposición. Nuevamente es posible que estas actividades conlleven a diario distintas exploraciones y otros elementos. Pero identificar instancias de exploración dedicada o fuerza bruta provenientes de una fuente única, o dicha actividad seguida de un tráfico de red anormal del destinatario de tal actividad, puede servir para delimitar las observaciones a escenarios de posibles amenazas. Como resultado, los defensores pueden destinar sus recursos y esfuerzos según corresponda hacia esos eventos, a fin de iniciar operaciones de respuesta ante incidentes minimizando el tiempo de detección y de recuperación.
Existen otras posibilidades relacionadas con los servicios y protocolos específicos. Por ejemplo, en lo que respecta a operaciones de DarkSide, implementar un túnel en los extremos de RDP a través de TOR para enmascarar operaciones. Si bien mediante este método es posible evadir los intentos de identificar conexiones de RDP externas, aún es necesario establecer la comunicación con los nodos de TOR. Rastrear e identificar los nodos de TOR y el tráfico relacionado puede servir como una manera potencialmente poderosa de permitir un monitoreo más robusto o si éste estuviera bloqueado, reducir la superficie de ataque de la red. De modo similar, y como se mencionó anteriormente, al identificar combinaciones de actividades como los flujos de tráfico de red que indican movimientos o filtraciones de datos a gran escala hacia infraestructuras de red desconocidas o que no son de confianza o números de sistemas autónomos, es posible señalar elementos clave del modelo de “doble extorsión” antes de que se lleven a cabo.
Comunicación interna en la red
El monitoreo y la protección de la red no terminan en el perímetro; para lidiar con las amenazas actuales (ya sea por parte de los delincuentes o los APT), la visibilidad y la respuesta se deben extender hasta las comunicaciones internas de la red. Aprovechamiento la plataforma de visibilidad o la implementación de sensores dedicados dentro del perímetro para hacer un seguimiento del tráfico de host a host y de los flujos similares, los defensores pueden obtener una visibilidad valiosa del comportamiento del adversario y así identificar las intrusiones en progreso que los monitoreos periféricos o las soluciones de EDR no llegan a detectar.
Por ejemplo, la implementación de DarkSide, junto con muchos otros comportamientos delictivos, con frecuencia utilizan el robo de credenciales seguido de la asignación de un recurso compartido por SMB para transferir un archivo y luego la ejecución a través de una herramienta como PSExec. Identificar los comportamientos concretos detrás de esta actividad y establecer alertas cuando estos eventos son identificados en secuencia (autenticación en el host, recurso compartido de SMB asignado a otro host, seguido de la transferencia de un archivo de un objeto ejecutable o de scripting al host recientemente asignado) puede revelar instancias de movimiento lateral. Si bien es posible que dichas acciones pueden identificar una actividad legítima del administrador del sistema, en entornos bien orquestados dichas instancias pueden caracterizarse rápidamente, la existencia de un análisis que identifique estos eventos vinculados específicos de la red puede señalar acciones relacionadas con una variedad de actores responsables de amenazas.
Las oportunidades adicionales incluyen el monitoreo de los flujos de tráfico y la actividad de autenticación, como cuando un adversario implementa herramientas legítimas, como, por ejemplo, RDP. En estos casos, identificar una cantidad de intentos o de autenticación exitosos de uno a varios hosts dentro de la red puede indicar el intento de un adversario por salir de un punto de acceso inicial en la red. Una mayor visibilidad, incluye el poder hacer un seguimiento preciso de qué credenciales o cuentas de usuarios son utilizadas, puede revelar las cuentas que están en peligro y otra información de respuesta valiosa.
En resumen, el objetivo es establecer una combinación de visibilidad de los flujos de tráfico de la red interna con una comprensión de las operaciones y las técnicas de espionaje del adversario, a fin de lograr alertas muy confiables sobre las actividades observadas. En conjunción con un monitoreo externo de la red y una protección del punto de conexión, los defensores de la red pueden impedir en gran medida las operaciones del adversario, lo que garantiza múltiples puntos de detección posibles en todo el ciclo de vida del atacante.
¿Qué rol juega Gigamon Play en la defensa contra el ransomware?
Visibilidad del tráfico de red y detección y respuesta en la red
Si bien la Gestión de información y eventos de seguridad (Security Information and Event Management, SIEM) y las herramientas de EDR aumentaron la eficacia del SOC y del equipo de respuesta ante incidentes para la identificación de infecciones activas, la brecha de visibilidad en dispositivos, redes y tráfico continúa vigente. El resultado es que los analistas se quedan sin elementos cuando intentan identificar toda la actividad del adversario descrita en el marco MITRE ATT&CK.
Gigamon Hawk, el tejido de visibilidad y analítica
Como parte central de una postura de seguridad efectiva se encuentra la visibilidad, que en este caso significa el acceso a todo el tráfico de la red. El tejido de visibilidad de Gigamon recopila y agrega todos los datos en movimiento y elimina los puntos ciegos:
- Punto de acceso único en cualquier infraestructura: física, virtual y de la nube, incluido el tráfico del contenedor
- La agregación de tráfico recopilado a través de puntos de acceso de prueba (Test Access Point – TAP) virtuales y físicos en toda la red
- Distribución de tráfico con Flow Mapping®, GigaStream® y eliminación de base y tunelización para enviar el tráfico a cualquier destino
- Derivación en línea y derivación física para un acceso a prueba de fallos del tráfico, reenvío del tráfico y operaciones de las herramientas de seguridad en línea
- La transformación y la optimización del tráfico, como la deduplicación de paquetes, la generación de NetFlow, el recorte del paquete y de flujos, etc.
Descifrado de tráfico TLS de Gigamon
Los adversarios aprovechan cada vez más los canales cifrados de la capa de canales seguros/seguridad de la capa de transporte (Secure Sockets Layer/Transport Layer Security, SSL/TLS) para C2 y actividades similares, y muchas de las técnicas de detección mencionadas anteriormente requieren del acceso a tráfico descifrado. La mayoría de las empresas que figuran en Fortune 1000 y las agencias del gobierno confían en Gigamon para la inspección de TLS:
- Descifra una vez y comparte con todas las herramientas de monitoreo y seguridad, con respaldo
- Detección automática de SSL y TLS en cualquier puerto TCP, soportando interfaces de 10 Mb a 100 Gb
- Fuerte soporte criptográfico, que incluye Diffie-Hellman Ephemeral, curvas elípticas, Poly1305/ChaCha20
- Todos los cifrados avanzados, incluyendo TLS 1.3 con confidencialidad directa total
- Diffie-Hellman Ephemeral, curvas elípticas, criptografía Poly1305/ChaCha20
- Descifrado en línea de la forma hombre en el medio y pasiva o fuera de banda
- Privacidad de descifrado selectivo basado en políticas y soporte para la categorización de URL y certificación FIPS 140-2 de nivel 2
Gigamon ThreatINSIGHT
La sinergia entre la detección en la red y la inspección de SSL/TLS y las técnicas de respuesta es un recurso eficaz para combatir este vector de amenaza y volver a ganar visibilidad de las operaciones del adversario. El NDR de SaaS guiado de Gigamon ThreatINSIGHT™ es una tecnología desarrollada por los encargados de responder ante incidentes para los encargados de responder ante incidentes, que:
- Ofrece visibilidad a nivel de paquetes y registro de:
- Cualquier dispositivo: Administrado/no administrado/IOT
- Cualquier red: Central/en la nube/remota WFH
- Cualquier tráfico: De Norte a Sur, de Este a Oeste y cifrado
- Entrega técnicas y metodologías de detección de alta fidelidad de adversarios, y es
- Eficiente: Alta fidelidad e inteligencia de amenazas de propiedad exclusiva con control de calidad
- Eficaz: Análisis con ML (Machine Learning) y comportamental de actividades maliciosas particulares
- De colaboración abierta: Para descubrir amenazas ocultas y emergentes
- Incluye contexto de amenaza:
- Metadatos enriquecidos con contexto a nivel de paquete
- Indexado para una investigación y búsqueda eficiente
- Opciones de retención flexible de 7, 30 o ilimitada de días
- Incluye recomendaciones para analistas y encargados de respuestas:
- Guía: Pasos a seguir para responder ante una amenaza específica
- Guía: Los flujos de trabajo de gestión de incidentes/investigación completa y la potente búsqueda de amenazas intentan ampliar la visibilidad más allá de los registros y las alertas de seguridad de primera línea en la Gestión SIEM y más allá de las soluciones de EDR
Featured Webinars
Hear from our experts on the latest trends and best practices to optimize your network visibility and analysis.
CONTINUE THE DISCUSSION
People are talking about this in the Gigamon Community’s Security group.
Share your thoughts today