Investigaciones recientes realizadas por expertos en ciberseguridad han revelado información valiosa para detectar ataques de ransomware operados por humanos a través de registros de eventos de Windows.
Este avance tiene el potencial de mejorar significativamente la capacidad de una organización para identificar y responder a amenazas cada vez más sofisticadas.
JPCERT/CC, un destacado centro de coordinación de ciberseguridad, ha confirmado que ciertas variantes de ransomware dejan rastros distintos en los registros de eventos de Windows que potencialmente pueden identificarse.
Este descubrimiento es importante ya que los métodos tradicionales para identificar grupos de ataque basados en extensiones de archivos cifradas o notas de rescate se están volviendo menos confiables.
JPCERT/CC utilizó registros de aplicaciones, registros de seguridad, registros del sistema y registros de configuración para identificar ransomware en función de estas características.
Fortalezca la seguridad con IA => Seminario web gratuito
Firmas de ransomware específicas
Nuestra investigación identificó varias familias de ransomware con firmas de registro de eventos únicas.
Conti y variantes relacionadas
El ransomware Conti, visto por primera vez en 2020, explota el Administrador de reinicio de Windows mientras cifra archivos. Esta actividad genera una gran cantidad de registros de eventos con los ID 10000 y 10001 durante un corto período de tiempo. Se observaron patrones similares con variantes como Akira, Lockbit3.0 y HelloKitty.
Fobos
Phobos, que ha estado activo desde 2019, deja rastros cuando elimina instantáneas de volumen y catálogos de copias de seguridad del sistema. Los ID de eventos clave incluyen 612, 524 y 753.
Midas
Este ransomware, descubierto en 2021, se caracteriza por cambios en la configuración de red registrados en el evento ID 7040. Estos cambios afectan a servicios como Function Discovery Resource Publication y SSDP Discovery.
conejo malo
BadRabbit instala un componente llamado cscc.dat, que se observó por primera vez en 2017 y se registra en el evento ID 7045.
bisomware
Las ejecuciones de Bisamware identificadas en 2022 están marcadas por los registros de transacciones de Windows Installer (ID de evento 1040 y 1042).
Aunque el registro de eventos por sí solo no puede prevenir ataques, puede ayudar a investigar e identificar daños.
En escenarios en los que se eliminan o cifran grandes cantidades de datos, estos registros pueden proporcionar información valiosa sobre los vectores y técnicas de ataque.
El experto en seguridad Kyosuke Nakamura afirmó: “Investigar los registros de eventos cuando se trata de ataques de ransomware generados por humanos puede proporcionar una buena visión, especialmente en situaciones en las que se elimina o cifra mucha información”.
Recomendamos que las organizaciones centralicen los registros de ID de evento 7045 y creen una detección automatizada para instalaciones de servicios maliciosos. Windows Event Forwarding de Microsoft proporciona una solución rentable para administrar estos registros de forma centralizada.
X-Force IR recomienda implementar un script de PowerShell que monitorea los registros del sistema y genera alertas cuando se detectan instalaciones de servicios sospechosas. Estos scripts se pueden personalizar para que coincidan con las características observadas en operaciones de ransomware conocidas.
Para mejorar las capacidades de detección de ransomware, las organizaciones deberían:
Implementar un sistema integral de recopilación y análisis de registros Desarrollar un catálogo de consultas de búsqueda avanzadas para técnicas comunes de ataque de ransomware Crear reglas de detección personalizadas basadas en el comportamiento conocido del ransomware A medida que surgen nuevas amenazas Actualizar y perfeccionar su estrategia de detección periódicamente
A medida que el ransomware operado por humanos continúa evolucionando, aprovechar los registros de eventos de Windows para la detección se ha convertido en un componente crítico de una estrategia sólida de ciberseguridad.
Al implementar estas técnicas, las organizaciones pueden mejorar significativamente su capacidad para identificar y responder a las amenazas de ransomware antes de que causen daños generalizados.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
New Research Reveals Windows Event Logs Key to Identifying Ransomware Attacks
