Consulta técnica sobre FortiEDR
Descripción
El ransomware es un tipo específico de malware que retiene datos como rehenes a cambio de un rescate. Amenaza con publicar, bloquear o corromper datos, o impedir que un usuario acceda a su computadora a menos que cumpla con las demandas del atacante.
La operación Revil Ransomware-as-a-Service (RaaS), también conocida como Sodinokibi, surgió poco antes de que los autores de GandCrab supuestamente se retiraran y rápidamente se convirtió en una de las mayores amenazas de ransomware.
Modo de protección
Cuando la política de seguridad está configurada en modo de protección, FortiEDR evita que el ransomware Revil se ejecute tan pronto como se accede a él. FortiEDR detecta esta variante como W32/Kryptik.HCJV!tr.ransom.
Modo de simulación (solo registro)
En el modo de simulación, FortiEDR no bloquea la actividad maliciosa, solo registra y alerta las violaciones de las políticas de seguridad de FortiEDR. Echemos un vistazo a todos los eventos que FortiEDR ha desencadenado para el ransomware Revil.
- Acceso de escritura de archivos:
El ransomware Revil intenta encriptar el Administrador de arranque de Windows ( bootmgr) que evita que la víctima arranque el sistema comprometido. La regla File Encryptor de la política de prevención de ransomware de FortiEDR detecta y bloquea la operación de escritura de archivos.
- Descubrimiento de recursos compartidos de red:
El ransomware se dirige a los recursos compartidos de SMB en red , intentando enumerar todos los recursos compartidos de bloque de mensajes del servidor (SMB) de la red abierta y cifrar los que se encuentran. FortiEDR detecta y bloquea la actividad de la red.
- Deteccion de redes:
El ransomware intenta habilitar el descubrimiento de redes usando netsh.exe. Network Discovery permite ver otras computadoras y dispositivos conectados a la misma red. También permite transferir archivos entre los dispositivos conectados en la red. Con Network Discovery habilitado, los datos transmitidos entre las computadoras o dispositivos conectados podrían interceptarse a través de la detección de redes. La regla de ejecución de secuencias de comandos sospechosas de la política de prevención de ejecución de FortiEDR detecta y bloquea esta actividad.
El ransomware ejecuta el comando » netsh.exe advfirewall firewall set rule group=Network Discovery new enable=Yes » para permitir el descubrimiento de la red, que es capturado por el análisis automatizado de FortiEDR.
- Modificar la configuración del sistema operativo:
FortiEDR ha detectado el ransomware que intenta modificar el registro del sistema. Después de cifrar con éxito todos los archivos de usuario, el ransomware Revil modifica la clave de registro para cambiar el fondo de escritorio.
- Acceso WMI:
El ransomware ejecuta el proceso Unsecapp.exe a través de COM. Unsecapp.exe es un proceso firmado por Microsoft, parte de WMI (Instrumentación de administración de Windows) . WMI se utiliza para comunicarse con sistemas locales y remotos y para realizar tácticas como la recopilación de datos para el descubrimiento y la ejecución remota de archivos como parte del movimiento lateral. La siguiente creación de procesos se captura con la función de búsqueda de amenazas de FortiEDR v5.
- Creación de archivos
Después de cifrar los archivos de usuario, se elimina la nota de ransomware “ 6rgzi0fbw-readme.tx t ” . La política de exfiltración de FortiEDR detecta y bloquea la creación de nuevos archivos.
- Nota de ransomware
Caza de amenazas
El valor del registro modificado por el ransomware se puede ubicar mediante la función de búsqueda de amenazas v5 de FortiEDR.
Después de cifrar los datos del usuario, el ransomware suele cambiar el nombre de los archivos. La cantidad de archivos renombrados es bastante grande, y cambiar el nombre de tantos archivos es inusual para cualquier proceso legítimo. Una tasa inusualmente alta de cambio de nombre de archivo podría ser un signo de actividad de ransomware. El tipo «Renombrar archivo» se puede utilizar para controlar este comportamiento.
MITRE ATT&CK
Descubrimiento de configuración de red del sistema T1016
Descubrimiento de recursos compartidos de red T1135
T1486 Datos cifrados para impacto
T1112 Modificar registro
T1047 Instrumentación de administración de Windows
Ejecución de scripts y comandos T1059
COI
04419b76566142902680b2c44b216905b44a5743502530066e408bac72d20864
d74f04f0b948d9586629e06e2a2a21bdf20d678e47058afb637414eb3701c1f6
El Servicio de Detección y Respuesta Administrada (MDR) de FortiGuard está diseñado para clientes de la plataforma avanzada de seguridad de punto final FortiEDR. Este equipo de expertos en amenazas monitorea, revisa y analiza cada alerta, busca amenazas de manera proactiva y toma medidas en nombre de los clientes para garantizar que estén protegidos de acuerdo con su perfil de riesgo.
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!