Ransomware

✔ La Cyber AI de autoaprendizaje neutraliza el ransomware emergente –sin depender de reglas ni firmas de amenazas

✔ El Enterprise Immune System identifica incluso las cepas de ransomware nuevas y muy focalizadas

✔ Antigena responde de forma autónoma en tiempo real–sin importar dónde, cuándo ni cómo se inicie el ataque

✔ El Cyber AI Analyst investiga automáticamente los incidentes de ransomware, reuniendo la información clave que necesita para solucionarlo

Principales ventajas Una nueva era de Ransomware

Debido a que las normas de los recursos y las innovaciones técnicas actuales evolucionan rápidamente, los ataques de ransomware cada vez son más sofisticados y más extendidos.

Están surgiendo nuevas cepas de ransomware para aprovechar el malware sin archivos y los métodos de filtración de datos, mientras que los atacantes oportunistas utilizan cualquier cambio en las circunstancias para lanzar campañas más eficaces. Las herramientas de seguridad convencionales, que solamente detectan las ciberamenazas conocidas mediante reglas y firmas, son incapaces de detectar las cepas de ransomware cada vez más evolucionadas para las que no existen dichas firmas.

Los equipos de seguridad no pueden mantenerse al día frente a estas amenazas utilizando únicamente los controles tradicionales, especialmente cuando no tienen suficiente personal o están fuera de la oficina. En su lugar, los negocios deben utilizar tecnología de seguridad que pueda detener el ransomware en cuanto aparece, antes de que pueda causar algún daño.

Plataforma de Cyber AI de Darktrace: identificación y respuesta al ransomware emergenteLa plataforma Cyber AI de Darktrace es claramente capaz de neutralizar el ransomware avanzado en tiempo real –sin depender de ninguna firma o información de amenazas conocidas. Basada en el machine learning no supervisado y en las técnicas de aprendizaje profundo, la Cyber AI aprende los ‘patrones de vida’ normales de cada usuario y tecnología de la

organización con el fin de reconocer las discretas desviaciones que indican que se está produciendo una amenaza.

El Enterprise Immune System utiliza el conocimiento evolutivo de la Cyber AI acerca de la ‘forma de ser’ de su negocio para señalar todas las ciberamenazas, incluyendo el ransomware nunca visto antes que elude todas las demás estrategias defensivas. Como parte clave del enfoque del sistema inmune, el Cyber AI Analyst investiga automáticamente todas las amenazas, ayudando a identificar fácilmente cada dispositivo afectado y comunicar el alcance total de un incidente de ransomware.

Al marcar un ataque grave, Darktrace Antigena –la tecnología de Respuesta Autónoma de la plataforma– detiene la actividad maliciosa en cuestión de segundos, neutralizando quirúrgicamente los ataques al mismo tiempo que permite que continúen con normalidad las operaciones del negocio. La tecnología se adapta de forma inteligente a las amenazas a medida que se desarrollan y proporciona una cobertura de 24 horas al día, durante los 7 días de la semana para todos sus recursos, cuando los equipos de seguridad están desbordados o simplemente no están cerca.

La resistencia a velocidad de máquina resulta fundamental para minimizar el impacto del ransomware, que a menudo puede cifrar la infraestructura de una empresa en cuestión de minutos. La Plataforma de Cyber AI también tiene la capacidad única de correlacionar los patrones de toda la empresa, proporcionando control y conocimientos unificados cuando los ataques de ransomware afectan a distintas partes del ecosistema digital: desde plataformas de SaaS o de correo electrónico, hasta redes corporativas o sistemas industriales.

Detección de Amenazas

Más de 4.000 ataques de ransomware ocurren cada díaFuente: FBI

Detección de Amenazas | 2

Antigena Network: Neutralización de ataques a velocidad de máquina

Cuando aparece el ransomware, Antigena Network es la única solución que puede interrumpir el ataque a velocidad de máquina con precisión quirúrgica, incluso aunque la amenaza sea muy focalizada o totalmente desconocida. Responde de forma autónoma con acciones inteligentes y proporcionadas–desde cortar una conexión hasta imponer un ‘patrón de vida’ normal a un dispositivo concreto. Cuando su equipo de seguridad está desbordado o fuera de la oficina, Antigena Network le proporciona la tranquilidad de saber que todo su negocio está siempre protegido, las 24 horas al día, durante los 7 días de la semana.

Darktrace creadora de la tecnología de Respuesta Autónoma Antigena, la cual utiliza el conocimiento evolutivo de la Cyber AI acerca de la organización para adaptarse a las amenazas en tiempo real y ejecutar la acción más adecuada basándose en su contexto específico. En lugar de aplicar un bloque binario (por ejemplo, poner en cuarentena todo el dispositivo) como lo harían las herramientas antiguas, Antigena actúa quirúrgicamente para detener el ataque, garantizando que todas las operaciones comerciales puedan continuar con normalidad. La tecnología también puede integrarse con sus inversiones de seguridad existentes para mejorar todo su portafolio de seguridad, proporcionando acciones y conocimientos mediante inteligencia artificial a firewalls, SIEM y otras herramientas.

381 millones de dólares en pérdidas combinadas por ransomware en el último año en tan solo 350 empresasFuente: Hiscox, 2020

“Confiamos en la IA de Darktrace para combatir ataques de correo electrónico con total autonomía y a una velocidad vertiginosa, antes de que se produzcan daños.”CIO, McLaren Group

Figura 1: La Cyber AI identifica un ataque de ransomware

Detección de Amenazas | 3

Cuando el ransomware Ryuk atacó a una empresa que estaba probando Darktrace, el Enterprise Immune System lo detectó al instante –y mostró cómo Antigena Network podría haberlo detenido por completo.

Primero, la Cyber AI detectó una actividad del administrador muy inusual que no se había visto anteriormente en la red. Después del incidente, la empresa rastreó el ataque inicial hasta una parte de su red de la que Darktrace no tenía visibilidad durante dicho período de prueba.

La Cyber AI se percató entonces de la descarga del terrible troyano bancario TrickBot, después de lo cual se observó tráfico de comando y control. Aunque muchos dispositivos mostraron un comportamiento anómalo, la Cyber AI identificó un dispositivo en origen.

Cuando finalmente se implementó el ransomware Ryuk, se cifraron más de 200.000 archivos en solo 12 horas. Durante este período lleno de interferencias por numerosas actividades de SMB sospechosas, la Cyber AI indicó aún más claramente el alcance del ataque.

A pesar de que el equipo no activó las alertas de Darktrace hasta después del cifrado, este ataque de ransomware podría haberse detenido en cuanto el Enterprise Immune System detectó el primer signo de que se estaba produciendo un ataque.

Interrupción del ransomware Ryuk durante una prueba de Darktrace

Figura 2: El gráfico de la interfaz de usuario muestra un ejemplo de un ataque de ransomware: cada punto representa una alerta de Darktrace.

Respuesta Autónoma en solo unos segundos

Si la empresa hubiera implementado la tecnología de Respuesta Autónoma Antigena Network, la falta de atención prestada a las alertas de Darktrace no habría importado: aunque pasaron cuatro horas desde la descarga del ejecutable hasta el primer archivo cifrado, Antigena habría neutralizado la amenaza en cuestión de segundos. Las acciones que Antigena habría realizado en respuesta a algunas de las alertas de este incidente incluyen:

� Sesión inusual en SMB del administrador: Ataques a credenciales utilizadas para iniciar sesión en el servidor

Acción de Antigena: Esta anomalía por sí sola no solicita ninguna acción, pero aumenta el nivel de alerta.

� Nuevas credenciales de administrador en el client: El atacante utilizó varias credenciales de administrador nuevas en el dispositivo

Acción de Antigena: Ahora, con pruebas muy fiables de que se está produciendo una amenaza, Antigena impondría los ‘patrones de vida’ de inicio de sesión normales del dispositivo; todos los administradores que normalmente inician sesión en este dispositivo podrían continuar haciéndolo, mientras que los nuevos inicios de sesión se bloquearían durante una hora.

� Escaneo de red: El atacante escaneó la red para identificar a más víctimas

Acción de Antigena: Este servidor nunca ha escaneado la red antes –solo los dispositivos del administrador lo hacen. Por lo tanto, Antigena evitaría que el dispositivo escaneara la red durante dos horas.

� Archivo EXE desde una ubicación externa extraña: Cargas de etapas posteriores descargadas para una mayor infección

Acción de Antigena: Antigena seguiría permitiendo que el dispositivo realizara descargas normales mientras que bloquearía las descargas de ubicaciones extrañas.

Detección de Amenazas | 4

Muchos ataques de ransomware se producen a través de plataformas de correo electrónico, lo que demuestra que los enfoques de detección antiguos y las puertas de enlace de correo electrónico tradicionales que se basan en reglas y firmas no son lo suficientemente potentes como para detectar siempre el ransomware avanzado. Además, estas soluciones tradicionales tienen un alcance limitado y no asocian la actividad del correo electrónico con las acciones maliciosas relacionadas en toda la infraestructura digital.

Con la potencia de la Cyber AI, Antigena Email crea una comprensión profunda de la persona que hay detrás de la dirección de correo electrónico. La tecnología se adapta a sus recursos dinámicos con el fin de reconocer los cambios con matices en el comportamiento que indican una campaña de ransomware.

Entonces, responde de forma autónoma y proporcional para detener la amenaza a velocidad de máquina y proteger su organización de la exposición –aunque eso signifique detener el correo electrónico por completo, bloquear un enlace o convertir los archivos adjuntos en un tipo de archivo inofensivo.

Si el ransomware pasa por la bandeja de entrada y entra en la red, Antigena Email tiene la capacidad única de trabajar con el Enterprise Immune System para rastrear el origen del ataque y evitar la propagación lateral.

Al correlacionar los patrones de actividad del resto del negocio con el entorno del correo electrónico, la Cyber AI puede realizar un análisis de la causa principal para identificar la fuente del correo electrónico y otra actividad del correo electrónico que pueda estar relacionada con el incidente. A continuación, Antigena Email recuperará cualquier correo electrónico malicioso adicional de las bandejas de entrada de otros empleados, minimizando el alcance de un ataque de ransomware.

Figura 3: Antigena Email detecta una serie de correos electrónicos asociados a una campaña de ransomware

Antigena Email: Detención del ransomware en la fuente

Detección de Amenazas | 5

Enlaces maliciosos neutralizados en un gobierno municipal

Recientemente, el gobierno de un conocido municipio de los Estados Unidos fue víctima de un ataque dirigido por correo electrónico que pudo haber sido un intento de introducir un ransomware en la organización. Sin embargo, Antigena Email detectó la amenaza en cuanto se produjo y se aseguró de que no se pudieran descargar cargas maliciosas, ransomware o de otro tipo.

El ciberdelincuente parecía tener acceso a la libreta de direcciones del gobierno, ya que cada correo electrónico estaba bien diseñado y personalizado para el destinatario al que iba dirigido y fue enviado por orden alfabético, de la A a la Z.

Aunque cada correo electrónico parecía inofensivo, todos los mensajes contenían una carga maliciosa oculta tras un botón camuflado de distintas formas como un enlace de Netflix, Amazon y otros servicios de confianza.

Antigena Email fue capaz de analizar estos enlaces ocultos en relación con los ‘patrones de vida’ normales de los destinatarios a los que iban dirigidos. Cuando llegó el primer correo electrónico, Antigena reconoció inmediatamente que ni el destinatario ni nadie de su grupo de mismo nivel ni el resto de los empleados de la ciudad habían visitado antes el dominio del remitente.

La tecnología lanzó inmediatamente una alerta de alta confianza y sugirió bloquear de forma autónoma cada enlace en cuanto entró en la red.

Debido a que Antigena se había implementado en ‘Modo pasivo’, no pudo actuar por su cuenta para detener la amenaza a velocidad de máquina –pero sí demostró la eficacia de la Cyber AI y la Respuesta Autónoma. Mientras que Antigena detectó y trató de neutralizar la campaña en la letra ‘A’, las herramientas de seguridad antiguas del equipo se dieron cuenta de la amenaza en la letra ‘R’.

En el ‘Modo activo’, Antigena habría neutralizado el ataque antes de que pudiera llegar a un solo usuario, defendiendo a la importante organización de un posible ataque de ransomware muy extendido.

Figura 4: Antigena Email marcó cada correo electrónico como muy anómalo.

“El ransomware se puede propagar por toda la red rápidamente, por lo que necesitamos herramientas que puedan evitar que eso ocurra. La IA puede asumir el control de forma autónoma y reaccionar en una fracción de segundo, lo que resulta muy útil para evitar daños.”CIO, Ciudad de Las Vegas

Detección de Amenazas | 6

Ransomware rastreado hasta una cuenta de correo electrónico personal

Cuando un ransomware llegó a la bandeja de entrada de una gran empresa de telecomunicaciones, la plataforma Cyber AI de Darktrace pudo detectar y contener de forma autónoma el ataque antes de que pudiera cifrar un solo archivo.

El ataque inicial se produjo cuando un empleado accedió a su correo electrónico personal desde un smartphone corporativo y fue engañado para que descargara un archivo malicioso que contenía un ransomware. Segundos más tarde, el dispositivo empezó a conectarse a un servidor externo en la red Tor y comenzaron las actividades de cifrado de SMB.

En solo nueve segundos, la Cyber AI generó una alerta priorizada que significaba que era necesario investigar inmediatamente el comportamiento extraño.

Como el comportamiento continuó durante los siguientes segundos, la Cyber AI revisó su valoración y Antigena respondió de forma autónoma.

A pesar de que el equipo de seguridad estuvo fuera de la oficina durante el fin de semana, Antigena Network pudo detener el ataque por su cuenta, interrumpiendo todos los intentos de escribir archivos cifrados en recursos compartidos de red.

Si la empresa hubiera implementado Antigena Email, probablemente el ransomware nunca se habría descargado. Ninguna herramienta es una solución milagrosa –pero incluso si el ransomware llegara a la red a través de la bandeja de entrada, Antigena Email correlacionaría la actividad maliciosa detectada en la red con el correo electrónico original que había sido atacado. Después, la tecnología recuperaría otros correos electrónicos igualmente peligrosos de todos los recursos.

Solo con una comprensión evolutiva y profunda del ADN de su organización, Antigena Email y toda la plataforma Cyber AI de Darktrace pueden proporcionar dicha detección y respuesta en tiempo real ante sofisticados ataques de ransomware.

Figura 5: Ejemplo de la interfaz de usuario mostrando cómo la Cyber AI informa de actividades de SMB anómalas similares.

“Darktrace ha reducido significativamente el tiempo que le lleva a nuestra empresa identificar amenazas”Director Sénior de TI, Pacific Dental Services

Detección de Amenazas | 7

El Enterprise Immune System con el Cyber AI Analyst: compren-sión del alcance total de un incidente de ransomware

La Cyber AI de autoaprendizaje permite que el Enterprise Immune System detecte los cambios con matices en la actividad que indican un ransomware emergente –sin depender de la información de amenazas conocidas. Con su comprensión evolutiva y personalizada de los ‘patrones de vida’ normales de toda su infraestructura, el Enterprise Immune System destaca incluso las desviaciones más discretas, asegurándose de que su equipo de seguridad lo sepa en cuanto se produzca un ataque a velocidad de máquina.

El Cyber AI Analyst, un elemento clave del enfoque del sistema inmune, investiga automáticamente cada evento anómalo detectado. Para las campañas de ransomware, puede señalar cada dispositivo afectado, la fuente de infección y toda la información contextual que necesita para iniciar la respuesta.

Se sabe que el Cyber AI Analyst reduce el tiempo de clasificación en un 92% y puede destacar competentemente el ransomware emergente como una amenaza crítica que requiere la valoración humana. Un ‘Informe de Incidentes’ generado por la inteligencia artificial ofrecerá una línea de tiempo interactiva y un resumen narrativo conciso de la campaña, así como los datos detallados del comportamiento del usuario o del dispositivo relacionado.

Dichos informes se actualizan de forma autónoma a medida que evoluciona la amenaza y resultan cruciales para ayudar a los expertos en seguridad a obtener un conocimiento de la situación, así como para compartir información clave incluso con partes interesadas no técnicas.

Figura 6: Ejemplo de la interfaz de usuario mostrando cómo el Cyber AI Analyst informa sobre un ataque de ransomware.

Cyber AI Analyst reduce el tiempo de clasificación de una amenaza en un 92%.

Detección de Amenazas | 8

Análisis experto de un ataque de Dharma

Cuando se lanzó una campaña de ransomware focalizado Dharma en una empresa del Reino Unido, el Enterprise Immune System resultó vital para detectar dicha amenaza –y demostró la potente capacidad del Cyber AI Analyst para reconocer e informar acerca de un ataque emergente.

La Cyber AI detectó al instante el riesgo cuando un servidor RDP recibió una gran cantidad de conexiones desde direcciones IP extrañas. Una investigación posterior reveló que la credencial RDP probablemente había sido atacada en algún momento antes de dicho ataque.

Al día siguiente, la Cyber AI observó que el ciberdelincuente estaba abusando del protocolo SMB versión 1. Entonces, se observó una conexión externa inusual a una IP marroquí extraña y una sesión de SMB que no se pudo iniciar con la IP a través de un puerto muy inusual. Dos horas después, el ciberdelincuente estableció unos canales de comando y control más potentes, conectándose a destinos extraños en la India, China e Italia.

La Cyber AI detectó además un reconocimiento interno cuando las conexiones RDP entrantes empezaron a escanear la red y se transfirió una gran cantidad de datos a una IP inusual de Panamá.

Por último, se ejecutó la carga de Dharma. De forma paralela a la actividad de cifrado, el ransomware intentó infectar a otros equipos utilizando una credencial de administrador observada durante el reconocimiento interno. Cuando comenzó el cifrado, el personal de IT desconectó de la corriente el servidor RDP.

A pesar de que el equipo olvidó activar antes las alertas de Darktrace, la Cyber AI aun así pudo reconocer cada paso de este ataque avanzado, lo que permitió al equipo responder eficazmente y evitar más daños.

Figura 7: El ejemplo de la UI muestra a Cyber AI Analyst reportando sobre un ataque de ransomware.

El Enterprise Immune System detectó cada paso de esta campaña basándose en un comportamiento anormal en el contexto de esta empresa –sin depender de firmas de amenazas que coincidieran.

Cuando se trata de un ataque como este, realizado durante un largo período de tiempo con distintos indicadores de actividad maliciosa, el Cyber AI Analyst resulta vital para mostrar claramente la naturaleza y el alcance de la amenaza.

Con un Informe de incidentes del Cyber AI Analyst, el equipo pudo analizar fácilmente tanto un resumen de alto nivel acerca del ataque de ransomware como información detallada de cada etapa del incidente.

Detección de Amenazas | 9

Cuando se trata de defenderse contra ransomware, el Industrial Immune System es la solución más poderosa para la seguridad del entorno operativo moderno. Especialmente frente a amenazas como el ransomware EKANS, que es el primer ransomware conocido que apunta a maquinaria específica de ICS, es vital aprovechar las herramientas de seguridad que pueden adaptarse continuamente a los entornos de OT y defender estos sistemas incluso contra ataques de día cero.

Muchas campañas de ransomware también apuntan a entornos industriales a través de vulnerabilidades en la infraestructura de TI. El riesgo indirecto representa una amenaza adicional, ya que los sistemas OT pueden convertirse en daños colaterales durante los ataques centrados en TI. Dado el daño potencial a la infraestructura crítica, la necesidad de una tecnología de seguridad que pueda correlacionar patrones en distintas infraestructuras es cada vez más urgente.

La IA de autoaprendizaje permite que el Industrial Immune System identifique claramente las amenazas, incluso cuando son tan avanzadas como el ransomware más novedoso. La tecnología puede aprender "patrones de vida" "normales" para tecnologías y tipos de implementación radicalmente diferentes, desde PLC de décadas de antigüedad hasta sensores distribuidos e Internet Industrial de las Cosas.

Además, con su visión unificada, la Cyber AI comprende la conexión entre la actividad maliciosa en los sistemas de TI y el comportamiento en los sistemas OT, lo que la hace claramente capaz de detener las amenazas que se mueven entre lo que tradicionalmente han sido silos de seguridad.

El Industrial Immune System: defensa de los sistemas operativos frente al ransomware

Figura 8: El panel de OT Engineer que muestra una transferencia de archivo sospechosa

“Darktrace nos ayuda a estar un paso adelante de las amenazas emergentes y a defender mejor nuestros sistemas principales.”Director de seguridad del grupo, Drax

Detección de Amenazas | 10

Darktrace © Copyright 2021 Darktrace Limited. Todos los derechos reservados. Darktrace es una marca registrada de Darktrace Limited. Enterprise Immune System y Threat Visualizer son marcas comerciales no registradas de Darktrace Limited. Otras marcas comerciales incluidas en este documento son propiedad de sus respectivos dueños.

Acerca de DarktraceDarktrace es una empresa líder en IA de ciberseguridad autónoma y creadora de la tecnología Autonomous Response. La IA de autoaprendizaje es modelada en el sistema inmunológico humano y es utilizada por más de 4.700 organizaciones para protegerse contra las amenazas dirigidas hacia la nube, correo electrónico, SaaS, redes traditionales, IoT (Internet de las cosas), endpoints, y sistemas industriales.

La empresa tiene más de 1.500 empleados y tiene su sede central en Cambridge, Reino Unido. Cada segundo, la IA de Darktrace defiende contra una amenaza cibernética, evitando que causen daños.

Para más información

Visite darktrace.com Agende una demo YOUTUBE Visite nuestro canal YouTube TWITTER Síganos en Twitter Linkedin-In Síganos en LinkedIn

En una refinería y proveedor de petróleo integrado, el Industrial Immune System de Darktrace fue crucial para detener un ataque de ransomware que se originó en la red corporativa.

La Cyber AI identificó los primeros signos de una infección de ransomware en un dispositivo de escritorio en la red. Además de escribir sus propios archivos de notas de ransom, se descubrió que el dispositivo realizaba una serie de conexiones a destinos externos raros a través de un servidor proxy interno y luego descargaba archivos potencialmente maliciosos, actividades que Darktrace podría detectar y correlacionar según su conocimiento granular de la “forma de ser” para la empresa.

El dispositivo procedió a realizar una serie de consultas de directorio SMB, más actividad que la Cyber AI reconoció como desviada en función de su comprensión del dispositivo en particular.

El Industrial Immune System marcó esta actividad y la destacó como probable ransomware, alertando al equipo de seguridad del cliente antes de que la infección pudiera propagarse a los entornos OT.

Gracias a la capacidad de la Cyber AI para conectar patrones de diversas infraestructuras, el sistema industrial se defendió de este ataque a toda velocidad.

Encuentro de ransomware en una refinería de petróleo

Figure 9: Un dispositivo infectado con ransomware identificado por Cyber AI