Ahora parte de

MITIGACIÓN
DE RIESGOS,
PREVENCIÓN Y
NEUTRALIZACIÓN DE
LAS INTRUSIONES
DETENGA EL IMPACTO
DEL RANSOMWARE CON
GUARDICORE CENTRA

Stopping the Impact of Ransomware WHITE PAPER 1

 DESCRIPCIÓN GENERAL
El ransomware, que en su día simplemente era una molesta cepa de malware
que utilizaban los ciberdelincuentes para restringir el acceso a archivos y datos
a través del cifrado, se ha convertido en un método de ataque de proporciones
épicas. Aunque la amenaza de perder datos de forma permanente ya es de por
sí estremecedora, los ciberdelincuentes y los hackers de estado se han vuelto lo
suficientemente sofisticados como para utilizar el ransomware para introducirse
en grandes empresas, administraciones federales, infraestructuras globales u
organizaciones de salud pública y paralizarlas.

En 2020, el ataque de ransomware Snake paralizó las operaciones globales de

Honda. Esa misma semana, Snake, una forma de malware de cifrado de archivos,
también golpeó a Enel Argentina, una empresa de distribución de energía de
Sudamérica. En 2019, unos hackers congelaron las redes informáticas de
Pemex, la empresa estatal de petróleo y gas de México, y exigieron un rescate
de 5 millones de dólares para restaurar el servicio. Y en 2017, el criptogusano
WannaCry infectó 230 000 ordenadores de todo el mundo aprovechándose de
una vulnerabilidad de Microsoft Windows.
Cierre las puertas al
movimiento lateral En la actualidad, la combinación de tecnología obsoleta, estrategias de defensa
"suficientemente buenas" centradas solo en los perímetros y los terminales, la
"Los gusanos como falta de formación (y los protocolos de seguridad deficientes) y la ausencia de
WannaCry y NotPetya una solución mágica e infalible pone en riesgo a organizaciones de todos los
dependen del tamaños. Además, los ciberdelincuentes han visto una oportunidad de oro en
movimiento lateral estos ataques y tratan de cifrar el mayor número de sistemas de la red corporativa
para convertir una posible para luego pedir rescates que pueden costar desde miles hasta millones
de dólares. De hecho, se estima que, en 2011, hubo un ataque de ransomware
molestia tolerable en cada once segundos en el mundo, con un coste global de 20 000 millones de
un ataque catastrófico. dólares.
La microsegmentación
y los controles internos
precisos mitigan este TODO COMIENZA CON UN
problema, por eso se
deben implementar MOVIMIENTO LATERAL
como parte de una Un ataque de ransomware comienza con una filtración inicial. A menudo, esta
estrategia Zero Trust". se produce a través de un correo electrónico de phishing, una vulnerabilidad
en el perímetro de la red o ataques de fuerza bruta que abren fisuras en las
– Forrester, Mitigating Ransomware defensas y distraen de la intención real del atacante. Una vez que el ataque ha
With Zero Trust, 8 de junio de 2020 hecho mella en un dispositivo o aplicación, avanza mediante la derivación de
privilegios y movimientos laterales a través de la red y por diferentes terminales
para extender la infección y multiplicar los puntos de cifrado. Por lo general,
los ciberdelincuentes se hacen con el control de un controlador de dominio,
obtienen las credenciales y, a continuación, buscan y cifran la copia de seguridad
para evitar que el operador pueda restaurar los servicios congelados.

El movimiento lateral es fundamental para el éxito de un ataque. Si el malware no

se puede propagar más allá del punto de entrada inicial, no es útil. Por lo tanto,
evitar el movimiento lateral es clave. Las funciones de visibilidad y segmentación
de Guardicore Centra le permiten configurar políticas para prevenir y contener una
filtración inicial. También recibirá una alerta sobre movimientos laterales y otros
comportamientos sospechosos, que sirve de ayuda para detectar rápidamente el
malware y así poder reaccionar de inmediato.

Detener el impacto del ransomware 2

 PARTE 1: CÓMO NEUTRALIZAR LAS
INTRUSIONES DE RANSOMWARE:
PREVENCIÓN Y MITIGACIÓN DE
RIESGOS
El ransomware no se propaga con el ataque a un solo equipo o dispositivo. Los
ciberdelincuentes utilizan esta cepa de malware para cifrar el mayor número
posible de sistemas de una red y asegurarse el pago de un rescate.
Dado que el ransomware es un ataque polifacético, la implementación de varias
capas de defensa puede servir para evitar daños generalizados, la pérdida de
datos y el tiempo de inactividad. La primera capa de defensa sirve para prevenir
la infección inicial de ransomware.

La cadena de exterminio del ransomware

1 Acceso inicial 5 Extorsión

(Spear) Phishing o 3 Exfiltración Fondo de pantalla, correo
servicios vulnerables electrónico, archivo txt de
Búsqueda y robo
de datos valiosos rescate, etc.

2 Movimiento lateral 6 Impacto

Difusión por la red para Datos, financiero,
lograr el mayor impacto
4 Cifrado reputación, etc.
posible PKI con cifrado para
evitar grietas

Detener el impacto del ransomware 3

 Prevenir la infección inicial
Los primeros puntos vulnerables de cualquier red son los puntos de contacto
con Internet. Aunque muchos ataques de ransomware se apoyan en el spear-
phishing, no hay nada que les impida infiltrarse en los servicios expuestos a
Internet.

Gracias a Guardicore Reveal, puede supervisar los servicios expuestos a Internet

y limitar su exposición mediante políticas para:

 Servicios de acceso remoto (RDP, SSH, TeamViewer, AnyDesk, VPN).

 Servicios potencialmente vulnerables (Apache, IIS, Nginx).
 Equipos potencialmente vulnerables (detecta equipos con un sistema
operativo sin parches gracias a Guardicore Insight).
 Servicios expuestos no deseados (bases de datos, controladores de
dominio, servidores de web interna o de archivos).

Neutralización de las intrusiones gracias a la

segmentación
Es inevitable que una red sufra una filtración en algún momento. Podría deberse al
spear-phishing, un error humano o un servidor que ejecuta servicios vulnerables
y cuyos riesgos no se han mitigado correctamente. Por eso es fundamental
contar con estrategias de mitigación de riesgos adecuadas.

Cuando un equipo sufre una filtración, es necesario evitar que se propague por
la red. Se puede hacer de tres formas:

1. Segmentación y delimitación de aplicaciones

Para dividir la red en segmentos operativos (por aplicación, uso o entorno) y no
permitir conexiones innecesarias entre segmentos ni dentro de estos.

Estas son cuatro pautas de segmentación que se deben tener en cuenta:

 Bloquear la comunicación entre portátiles o estaciones de trabajo.
 Bloquear la comunicación de los procesos que se ejecutan con privilegios
de usuario de dominio "potentes", como, por ejemplo, administradores de
dominio.
 Limitar el número de usuarios que pueden ejecutar procesos en los
servidores.
 Limitar el acceso desde portátiles y estaciones de trabajo a servidores de
centros de datos e instancias en la nube.

Detener el impacto del ransomware 4

 Guardicore facilita la protección de la red contra el ransomware. Con las plantillas
disponibles en Guardicore Centra, puede mitigar los ataques mediante la
configuración de políticas en tres sencillos pasos:

1. Seleccione su objetivo, como delimitar una aplicación crítica, crear

políticas de mitigación del ransomware o proteger un directorio activo.

2. Identifique los activos relevantes que desea proteger de la

propagación del ransomware, como los activos de una aplicación de
e-commerce que quiera delimitar, todas las cargas de trabajo de Active
Directory en el centro de datos o los terminales. Normalmente, este
paso se completa automáticamente gracias al etiquetado con IA de
Guardicore.

3. Proteja los activos mediante la creación de políticas. La IA de

Guardicore sugiere y recomienda automáticamente políticas basadas en
el tráfico real del entorno y asimila los patrones de comunicación de las
aplicaciones de cientos de redes.

Ejemplo: Plantillas de Guardicore Centra

Detener el impacto del ransomware 5

 2. Prevención del movimiento lateral mediante reglas de
restricción de protocolos
Existen normas generales para los protocolos y comportamientos específicos.
Hay que tener cuidado a la hora de restringir algunos protocolos, ya que se utilizan
de forma habitual en las operaciones cotidianas. Guardicore Reveal permite
visualizar todo el tráfico y crear las reglas más apropiadas para su entorno según
protocolos de alto riesgo, como WinRM, SMB, RPC, RDP o SSH, entre otros.

Por ejemplo, aunque SSH es útil para la administración remota y sirve para
proteger otros protocolos (como SFTP), es una herramienta que utilizan los
atacantes para penetrar en los equipos y propagarse por la red. Deberá restringir
todo lo posible SSH en la red mediante la creación de soluciones de salto para
usuarios autorizados.

Allow internal assets to access your jumpboxes over SSH

Reglas creadas en Guardicore Centra

3. Protección de copias de seguridad y servicios de datos críticos

Para maximizar los daños, los ataques de ransomware suelen dirigirse a los
servidores de copia de seguridad de las organizaciones para cifrar los datos
almacenados. De manera similar, los servicios de datos y los servidores de
archivos también son objetivos del ransomware.

Utilice Guardicore Centra para limitar el acceso a sus servidores de copia de

seguridad, bases de datos y servidores de archivos, y para limitar el acceso desde
fuera de la red y desde las regiones de su propia red que no necesitan acceso.
Para minimizar la comunicación con los servidores de copia de seguridad críticos,
puede utilizar Guardicore Centra y delimitar aplicaciones del sistema, además
de bloquear la comunicación con una aplicación hasta los niveles de proceso
y de usuario. Limitar la exposición de los servicios de datos al mínimo operativo
reducirá el factor de riesgo y mitigará la exposición al ransomware y a las rutas
de propagación.

Detener el impacto del ransomware 6

 PARTE 2: DETECCIÓN DE
RANSOMWARE Y RESPUESTA
A la hora de lidiar con ciberamenazas, como el ransomware, la previsión y la
vigilancia son fundamentales. Reaccionar a tiempo ante una filtración puede
minimizar el daño a la red. Las funcionalidades de Guardicore Centra pueden
ayudarle tanto en la detección de amenazas como en la respuesta ante estas.

Detección de amenazas con Guardicore Centra

Incidencias
Guardicore Centra crea alertas en forma de incidencias, que pueden indicar que
se está produciendo un ataque o que existe una amenaza para la red.

Entre las incidencias encontramos:

 Engaño: detecta e intercepta intentos de movimientos laterales

sospechosos y los redirige a señuelos dinámicos para que se puedan
supervisar y analizar sus acciones. Las incidencias de engaño son muy
fiables, ya que proporcionan información detallada sobre las actividades
malintencionadas y la siguiente fase de ataque de los ciberdelincuentes.
 Análisis de red: los ciberdelincuentes recopilan información una vez
que están dentro de una red. Utilizan análisis de red como método de
reconocimiento para detectar puertos o servicios abiertos por los que otros
servidores están esperando. Guardicore Centra detecta automáticamente
los análisis de red y alerta a los usuarios de inmediato.
 Detección basada en políticas: las políticas de seguridad en niveles de red
y de procesos permiten reconocer de forma instantánea comunicaciones no
autorizadas y tráfico que incumple los estándares.

Guardicore Insight
Guardicore permite ver los activos individuales utilizando OSquery. Centra utiliza
este marco de consulta para detectar rápidamente actividades anómalas, como
la detección de instantáneas de volumen, la acción previa al cifrado más común
del ransomware. Centra también detecta troyanos utilizados para distribuir el
ransomware al reconocer una técnica de camuflaje común que oculta malware
en el archivo svchost.exe, un proceso legítimo de Windows.

Búsqueda de amenazas
El servicio de búsqueda de amenazas de Guardicore alerta a los usuarios de
cualquier comportamiento anómalo en la red. Se utilizan técnicas como el
análisis de conexiones entrantes y salientes de Internet y sus GeoIP asociadas, la
búsqueda de nuevos ejecutables que tengan una presencia creciente en la red
(lo que puede indicar que se está produciendo una propagación) y el análisis de
conexiones de activos para encontrar indicios de movimientos laterales a través
de anomalías en el recuento de los pares.

Detener el impacto del ransomware 7

 Respuesta inmediata
Una vez que se haya detectado una amenaza en la red, como el ransomware,
utilice Guardicore Centra para implementar cuanto antes medidas de mitigación.
Para ello, deberá aplicar políticas en los niveles de proceso y de usuario a fin de
aislar las actividades malintencionadas e impedir que se produzcan.

Visibilidad incremental de las infecciones

Con su pista o indicador de riesgo inicial, puede empezar a buscar indicadores
adicionales, como patrones de comunicación, procesos, puertos utilizados o
activos infectados, entre otros. Utilice Guardicore Reveal para encontrar todos los
activos con este indicador (todos los activos que se comunican con C2, que se
comunican con un puerto único o que ejecutan un proceso malicioso). Además,
en el mapa visual de su entorno en Guardicore Reveal, puede buscar similitudes
con otros equipos infectados o rastros de una propagación.

PARTE 3: DESINFECCIÓN Y
RECUPERACIÓN
Cuando tenga una lista de todos los equipos infectados y de todos los IoC, puede
comenzar la desinfección. Divida los equipos en tres grupos con las siguientes
etiquetas: Aislado, Monitorizado y Limpio.

Aislado Monitorizado Limpio

 Contiene activos infectados  Contiene activos que pueden  Contiene activos que se
por el malware. estar infectados o no. ha confirmado que no
están infectados y que
 Mantenga estos activos en  Supervise estos activos
pueden funcionar con
cuarentena hasta que se haya hasta que se haya asegurado
normalidad.
eliminado el malware. de que el malware se ha
eliminado.

Detener el impacto del ransomware 8

 Directrices de segmentación para la recuperación
Después de definir los tres grupos, puede empezar a agregar políticas para
segmentar la red creando cuatro niveles de comunicación:

 Bloquear todas las comunicaciones entrantes y salientes con los equipos

aislados.
 Bloquear la comunicación del protocolo de administración remota con los
equipos monitorizados.
 Alertar sobre la comunicación del protocolo de administración remota con
los equipos limpios.
 Bloquear todas las comunicaciones entre los tres grupos.

Reglas de bloqueo y alertas de Guardicore Centra

Detener el impacto del ransomware 9

 Plantilla de recuperación y respuesta ante el
ransomware
La plantilla de políticas de recuperación y respuesta ante el ransomware incluida
en Guardicore Centra proporciona una política prediseñada y fácil de usar para
restringir el acceso a los grupos con las etiquetas Aislado, Monitorizado y
Limpio.
Esta plantilla le permitirá mantener fácilmente la continuidad operativa de los
equipos limpios sin tener que preocuparse por el riesgo de reinfección de los
equipos aislados.

CONCLUSIONES
Si confía en los firewalls heredados o en la defensa exclusivamente perimetral, no
podrá evitar que el ransomware se extienda por su red y bloquee las aplicaciones e
infraestructuras fundamentales. La realidad es que las filtraciones son inevitables
y debe estar preparado. Guardicore Centra puede ayudarle a detectar amenazas
en el tráfico este-oeste del centro de datos y bloquear el movimiento lateral.

Detener el impacto del ransomware 10

 CINCO PASOS PARA MITIGAR EL IMPACTO
DE UN ATAQUE DE RANSOMWARE CON
GUARDICORE CENTRA

Preparación
mediante la
identificación de todas
las aplicaciones y activos que se
ejecutan en su entorno de TI.

Prevención
mediante la creación
de reglas para bloquear las
técnicas más comunes de
propagación de ransomware.

Detección
mediante la
recepción de alertas
sobre cualquier intento
de obtener acceso a las
aplicaciones segmentadas y
las copias de seguridad. Solución
mediante la
activación de medidas
de cuarentena y contención
de amenazas cuando se
detecta un ataque.
Recuperación
mediante capacidades
de visualización compatibles
con estrategias de recuperación por
fases.

Detener el impacto del ransomware 11

 DETENGA EL MOVIMIENTO LATERAL
DEL RANSOMWARE EN SU RED
¿No nos cree? Compruébelo personalmente.
www.guardicore.com

Acerca de Guardicore

Guardicore es la empresa de segmentación que está revolucionando el mercado de los firewalls tradicionales.
Nuestro enfoque basado exclusivamente en software no depende de la red física y ofrece una alternativa más rápida
que los firewalls. Las soluciones de Guardicore están especialmente diseñadas para empresas dinámicas y ofrecen
una mayor seguridad y visibilidad en la nube, el centro de datos y los terminales. Para obtener más información, visite
www.guardicore.com o síganos en Twitter o LinkedIn.

© 2021, Guardicore Incorporated. Todos los derechos reservados. CV0024-USv2 Ahora parte de