Tecnología
Productos
Industrias
Noticias
Recursos
Empresa
Español
Tecnología
Productos
Industrias
Noticias
Blog
Recursos
Empresa

Cómo la IA defiende la infraestructura crítica del ransomware

David Masson, Director of Enterprise Security | jueves 13 de mayo de 2021

En la conferencia ciberseguridad RSA 2021, el secretario de Seguridad Nacional de EE. UU., Alejandro Mayorkas, hizo una declaración que definió la era con respecto al ambiente de la ciberseguridad: “Permítanme ser claro: el ransomware ahora representa una amenaza para la seguridad nacional”.

El fin de semana pasado, las palabras de Mayorkas sonaron verdaderas. Un ataque de ransomware en Colonial Pipeline, responsable de casi la mitad del diésel, la gasolina y el combustible para aviones de la costa este de EE. UU., provocó el cierre de una red de combustible crítica que abastecía a varios estados del este.

Las consecuencias del ataque demostraron lo generalizadas y dañinas que pueden ser las consecuencias del ransomware. Los ciberataques contra la infraestructura crítica y los servicios públicos tienen el potencial de interrumpir los suministros, dañar el medio ambiente e incluso amenazar vidas humanas.

Aunque aún no se han confirmado todos los detalles, se informa que el ataque fue realizado por un afiliado del grupo de ciberdelincuentes llamado DarkSide, y probablemente aprovechó herramientas comunes de escritorio remoto. El acceso remoto se ha habilitado como una vulnerabilidad utilizable dentro de la infraestructura crítica por el cambio al trabajo remoto que muchas organizaciones hicieron el año pasado, incluyendo aquellas con Sistemas de Control Industrial (ICS) y Tecnología Operativa (OT).

El crecimiento del ransomware industrial

El ransomware contra entornos industriales está en crecimiento, con un aumento informado del 500% desde 2018. A menudo, estas amenazas aprovechan la convergencia de los sistemas de IT y OT, primero apuntando a IT antes de pasar a OT. Esto se vio con el Ransomware EKANS que incluía procesos ICS en su “lista de eliminación”, así como el ransomware Cring que ICS atacaba después de implementar por primera vez una vulnerabilidad en una red privada virtual (VPN).

Queda por ver si el vector de ataque inicial en el ataque de Colonial Pipeline aprovechó una vulnerabilidad técnica, credenciales comprometidas o una campaña de ataques dirigidos de phishing. Se ha informado que el ataque afectó primero a los sistemas de IT y que Colonial luego cerró las operaciones de OT como medida de seguridad. Colonial confirma que el ransomware “detuvo temporalmente todas las operaciones de Pipeline y afectó algunos de nuestros sistemas de IT”, lo que demuestra que, en última instancia, tanto OT como IT se vieron afectados. Este es un gran ejemplo de cuántos sistemas de OT dependen de IT, de modo que un ciberataque de IT tiene la capacidad de acabar con los procesos de OT e ICS.

Además de bloquear los sistemas, los ciberdelincuentes también robaron 100 GB de datos confidenciales de Colonial. Este tipo de ataque de doble extorsión, en el que los datos se exfiltran antes de cifrar los archivos, desafortunadamente se ha convertido en la norma más que en la excepción, con más del 70% de los ataques de ransomware que involucran exfiltración. Algunas bandas de ransomware incluso han anunciado que están eliminando el cifrado por completo a favor de los métodos de robo y extorsión de datos.

A principios de este año, Darktrace se defendió de un ataque de ransomware de doble extorsión contra una organización de infraestructura crítica, que también aprovechó herramientas comunes de acceso remoto. Este blog describirá el hallazgo de amenazas en profundidad, mostrando cómo la IA de autoaprendizaje de Darktrace respondió de manera autónoma a un ataque sorprendentemente similar al incidente del Colonial Pipeline.

Darktrace hallazjo de amenaza

Ransomware contra proveedor de equipos de servicios públicos

En un ataque contra un proveedor norteamericano de equipos para empresas eléctricas a principios de este año, el Industrial Immune System de Darktrace demostró su capacidad para proteger la infraestructura crítica contra ransomware de doble extorsión que apuntaba a organizaciones con ICS y OT.

El ataque de ransomware inicialmente apuntó a los sistemas de IT y, gracias al autoaprendizaje Cyber AI, se detuvo antes de que pudiera extenderse a OT e interrumpir las operaciones.

El atacante primero apunto a un servidor interno para exfiltrar datos e implementar ransomware en el transcurso de 12 horas. El corto período de tiempo entre el ataque inicial y la implementación es inusual, ya que los ciberdelincuentes de ransomware a menudo esperan varios días para propagarse cautelosamente lo más lejos posible del ecosistema cibernético antes de atacar.

Figura 1: cronología del ataque

¿Cómo evitó el ataque el resto del portafolio de seguridad?

El atacante aprovechó las técnicas de “living off the land” para integrarse en los patrones de vida “normales” de la empresa, utilizando una credencial de administrador comprometida y una herramienta de gestión remota aprobada por la organización, en sus intentos de pasar desapercibido.

Darktrace comúnmente ve el abuso de software legítimo de administración remota en el arsenal de técnicas, tácticas y procedimientos (TTP) de los atacantes. El acceso remoto también se está convirtiendo en un vector de ataque cada vez más común en los ataques ICS en particular. Por ejemplo, en el ciberincidente en la Planta de tratamiento de agua de la Florida en febrero pasado, los atacantes implementaron una herramienta de administración remota en un intento de manipular el proceso de tratamiento.

La cepa específica de ransomware implementada por este atacante también evadió con éxito la detección por parte del antivirus mediante el uso de una extensión de archivo única al cifrar archivos. Estas formas de ransomware “sin firma” se escapan fácilmente de los enfoques tradicionales de seguridad que se basan en reglas, firmas, fuentes de amenazas y listas de vulnerabilidades y exposiciones comunes (CVE) documentadas, ya que estos son métodos que solo pueden detectar amenazas documentadas previamente.

La única forma de detectar amenazas nunca antes vistas, como el ransomware sin firma, es que una tecnología encuentre comportamientos anómalos, en lugar de depender de listas de “malos conocidos”. Esto se puede lograr con la tecnología de autoaprendizaje, que detecta incluso las desviaciones más sutiles de los “patrones de vida” normales para todos los dispositivos, usuarios y todas las conexiones entre ellos.

Perspectivas de Darktrace

Ataque inicial y establecimiento de un punto de apoyo

A pesar del abuso de una herramienta legítima y la ausencia de firmas conocidas, el Industrial Immune System de Darktrace pudo utilizar una comprensión integral de la actividad normal para detectar la actividad maliciosa en múltiples puntos del ciclo de vida del ataque.

El primer signo claro de una amenaza emergente que fue alertado por Darktrace fue el uso inusual de una credencial privilegiada. El dispositivo también sirvió una conexión inusual de protocolo de escritorio remoto (RDP) desde un servidor de Veeam poco antes del incidente, lo que indica que el atacante puede haberse movido lateralmente desde otra parte de la red.

Tres minutos después, el dispositivo inició una sesión de gestión remota que duró 21 horas. Esto permitió al atacante moverse a través del ecosistema cibernético más general sin ser detectado por las defensas tradicionales. Darktrace, sin embargo, pudo detectar un uso inusual de administración remota como otra advertencia temprana indicativa de un ataque.

Doble amenaza, parte uno: exfiltración de datos

Una hora después del ataque inicial, Darktrace detectó volúmenes inusuales de datos enviados a una solución de almacenamiento en la nube 100% poco común, pCloud. Los datos salientes se cifraron mediante SSL, pero Darktrace creó varias alertas relacionadas con grandes descargas internas y cargas externas que representaban una desviación significativa del “patrón de vida” normal del dispositivo.

El dispositivo continuó exfiltrando datos durante nueve horas. El análisis de los archivos descargados por el dispositivo, que se transfirieron utilizando el protocolo SMB sin cifrar, sugiere que eran de naturaleza confidencial. Afortunadamente, Darktrace pudo identificar los archivos específicos que se extrajeron para que el cliente pudiera evaluar de inmediato las posibles implicancias del ataque.

Doble amenaza, parte dos: cifrado de archivos

Poco tiempo después, a la 1:49 hora local, el dispositivo atacado comenzó a cifrar archivos en una unidad compartida de respaldo de SharePoint. Durante las siguientes tres horas y media, el dispositivo cifró más de 13.000 archivos en al menos 20 recursos compartidos de SMB. En total, Darktrace produjo 23 alertas para el dispositivo en cuestión, lo que representó el 48% de todas las alertas producidas en el período correspondiente de 24 horas.

El Darktrace Cyber AI Analyst inició automáticamente una investigación, identificando las transferencias de datos internas y el cifrado de archivos a través de SMB. A partir de esto, pudo presentar informes de incidentes que conectaron los puntos entre estas anomalías dispares, uniéndolas en una narrativa de seguridad consistente. Esto puso al equipo de seguridad en condiciones de tomar medidas correctivas de inmediato.

Si el cliente hubiera estado usando Antigena Network (la tecnología de Respuesta Autónoma de Darktrace), no hay duda de que la actividad se habría detenido antes de que se hubieran exfiltrado volúmenes significativos de datos o se hubieran cifrado los archivos. Afortunadamente, después de ver las alertas y los informes de Cyber AI Analyst, el cliente pudo utilizar el servicio “Ask the Expert” (ATE) de Darktrace para responder a incidentes para mitigar el impacto del ataque y ayudar con la recuperación ante desastres.

Figura 2: un ejemplo de Cyber AI Analyst de Darktrace que detecta cifrado anómalo y una cadena sospechosa de conexiones administrativas ICS

Detectando la amenaza antes de la interrumpción de la infraestructura crítica

El proveedor objetivo supervisaba OT y tenía estrechos vínculos con la infraestructura crítica. Al facilitar la respuesta en la etapa inicial, Darktrace evitó que el ransomware se extendiera más a la fábrica. De manera crucial, Darktrace también minimizó la interrupción operativa, ayudando a evitar el efecto dominó que podría haber tenido el ataque, afectando no solo al propio proveedor, sino también a las empresas eléctricas que apoya este proveedor.

Como revelan tanto el reciente incidente de Colonial Pipeline como el hallazgo de amenazas anterior, el ransomware es una preocupación crītica para las organizaciones que supervisan las operaciones industriales en todas las formas de infraestructura crítica, desde las tuberías hasta la red eléctrica y sus proveedores. Con la IA de autoaprendizaje, estos vectores de ataque se pueden abordar antes de que el daño se haga mediante la detección de amenazas en tiempo real, investigaciones autónomas y, si se activa, una respuesta dirigida a la velocidad de máquina.

Mirando hacia adelante: uso de IA de autoaprendizaje para proteger la infraestructura crítica en todos los ámbitos

A fines de abril, la administración de Biden anunció un ambicioso esfuerzo para “salvaguardar la infraestructura crítica de EE. UU. de amenazas persistentes y sofisticadas”. El plan de 100 días delDepartamento de Energía (DOE) busca específicamente tecnologías “que proporcionarán visibilidad cibernética, detección y capacidades de respuesta para los sistemas de control industrial de las empresas eléctricas”.

El cyber sprint de la administración Biden claramente exige una tecnología que proteja la infraestructura energética crítica, en lugar de meras medidas y regulaciones de mejores prácticas. Como se ve en el hallazgo de amenazas anterior, Darktrace AI es una tecnología poderosa que aprovecha el aprendizaje automático no supervisado para salvaguardar de manera autónoma la infraestructura crítica y sus proveedores con velocidad y precisión de máquina.

Objetivo del cyber sprint del DOECapacidades de Darktrace
Mejora las capacidades de detección, mitigación y pericial.Detección de ataques sofisticados y novedosos, junto con amenazas internas e infecciones preexistentes, utilizando Cyber AI de autoaprendizaje, sin reglas, firmas o listas de CVE.

Investigaciones de incidentes proporcionadas en tiempo real por Cyber AI Analyst para impulsar la corrección con información procesable.

Contiene ataques emergentes en sus primeras etapas, antes de que se conviertan en crisis.
Implementación de tecnologías y sistemas que permitan el conocimiento de la situación y las capacidades de respuesta casi en tiempo real en el sistema de control industrial crítico (ICS) y la tecnología operativa (OT).La IA de autoaprendizaje comprende, identifica e investiga inmediatamente toda la actividad anómala en las redes ICS/OT, ya sea impulsada por humanos o máquinas.

Acciones dirigidas a la respuesta cuando sea apropiado para neutralizar amenazas, ya sea de forma activa o en modo de confirmación humana.

La IA de autoaprendizaje se adapta junto con las evoluciones en el ecosistema, lo que permite tener un conocimiento en tiempo real sin necesidad de ajustes o aportes humanos.
Mejorar el posicionamiento en materia de ciberseguridad de las redes de IT de infraestructura crítica.Contextualiza los eventos de seguridad, se adapta a técnicas novedosas y traduce los hallazgos en una narrativa de seguridad que los humanos pueden actuar en minutos.

Vista unificada de los sistemas de IT y OT.

Detecta, investiga y responde a las amenazas en los niveles más altos de Purdue y en los sistemas de IT antes de que “se extiendan” a OT.
Implementación de tecnologías para aumentar la visibilidad de las amenazas en los sistemas ICS y OT.La implementación “plug and play” se integra a la perfección con la arquitectura tecnológica.

Presenta topología de red 3D con visibilidad granular de todos los usuarios, dispositivos y subredes.

La identificación de activos con autoaprendizaje cataloga continuamente todos los dispositivos ICS/OT.

Identifica e investiga todas las actividades amenazantes que indican ataques emergentes, ya sean ransomware ICS, APT, vulnerabilidades de día cero, amenazas internas, infecciones preexistentes, DDoS, criptominería, configuraciones incorrectas o ataques nunca antes vistos.

Gracias al analista de Darktrace Oakley Cox por sus conocimientos sobre el hallazgo de amenazs anterior.

Detecciones del modelo de Darktrace:

  • Ataque inicial:
    • User / New Admin Credential on Client
  • Exfiltración de datos:
    • Anomalous Connection / Uncommon 1 GiB Outbound
    • Anomalous Connection / Low and Slow Exfiltration
    • Device / Anomalous SMB Followed by Multiple Model Breaches
    • Anomalous Connection / Download and Upload
  • Cifrado de archivos:
    • Compromise / Ransomware / Suspicious SMB Activity
    • Anomalous Connection / SMB Enumeration
    • Device / Anomalous RDP Followed by Multiple Model Breaches
    • Anomalous File / Internal / Additional Extension Appended to SMB File
    • Anomalous Connection / Sustained MIME Type Conversion
    • Anomalous Connection / Suspicious Read Write Ratio
    • Device / Multiple Lateral Movement Model Breaches

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.