Medidas para mitigar
Después de identificar y aislar los equipos comprometidos se pueden tomar las siguientes medidas para mitigar este tipo de ataque:
Determinar qué sistemas se vieron afectados y aislarlos inmediatamente.
Detectar cuál fue la causa inicial del ataque para que al momento de realizar la recuperación no se vuelva a comprometer los sistemas.
Con su equipo puede desarrollar y documentar una comprensión inicial de lo ocurrido basado en el análisis inicial.
Si varios sistemas o subredes aparecen afectados, desconectar de la red a nivel de switch. Puede que no sea factible desconectar sistemas individuales durante un incidente.
Priorizar el aislamiento de sistemas críticos que son esenciales para las operaciones diarias.
Si no es posible desconectar la red temporalmente, se debe localizar el cable de red (por ejemplo, ethernet) y desconectar los dispositivos afectados de la red.
Para los recursos en la nube, deberá tomar una instantánea de los volúmenes para obtener una copia puntual que podrá revisar más tarde para la investigación forense.
Aislar las copias de seguridad o respaldos que estén en línea para que no sean cifrados.
Aislar los sistemas de Active Directory o LDAP para evitar una elevación de privilegios o que otras cuentas sean comprometidas.
Modificar las contraseñas de los usuarios de los equipos comprometidos y de administradores de sistemas.
Después de un compromiso inicial, los actores pueden monitorear la actividad o las comunicaciones de su organización para comprender si se detectaron sus acciones.
Aislar los sistemas de manera coordinada y utilice métodos de comunicación como llamadas telefónicas para evitar avisar a los actores de que han sido descubiertos y que se están llevando a cabo acciones de mitigación. No hacerlo podría hacer que los actores se muevan lateralmente para preservar su acceso o implementar ransomware antes de que las redes se desconecten.
Apagar los dispositivos si no pueden descontectarse de la red para evitar una mayor propagación de la infección. Este paso evitará que su organización mantenga artefactos de infección y evidencia potencial almacenado en la memoria volátil. Debe llevarse a cabo solo si no es posible apagar temporalmente la red o desconectar los hosts afectados de la red utilizando otros medios.
Durante los casos de respuesta a incidentes se pueden encontrar eventos donde los medios de almacenamiento son extremadamente grandes y su recolección completa se hace ineficiente. El Triage se refiere a la recolección específica de elementos del sistema, este proceso ahorra tiempo en el procedimiento de recolección, traslado y análisis, obteniendo resultados más eficientes enfocados en el análisis forense. Por esto es necesario realizar un triage de los sistemas afectados para la restauración y recuperación.
Esta actividad puede resaltar la evidencia de sistemas adicionales o malware involucrados en etapas anteriores del ataque.
Buscar evidencia de malware precursor, un evento de ransomware puede ser evidencia de un compromiso de red anterior no resuelto.
Estas variantes avanzadas de malware a menudo venden acceso a una red. Con este acceso se busca filtrar datos y amenazar con divulgarlos públicamente antes de rescatar la red para extorsionar aún más a la víctima y presionarla para que pague.
Realizar una copia de los equipos infectados, a pesar de estar encriptados es posible que dentro de un tiempo se desarrolle una herramienta que lo pueda desencriptar. Luego formatear los equipos infectados y reinstalar los sistemas operativos.
Implementar una recuperación por etapas, dando prioridad a los sistemas críticos necesarios para mantener la operativa que puedan afectar a la organización para luego continuar con otros sistemas de menor criticidad.
Luego de restaurar los respaldos realizar un escaneo con antivirus en los equipos, para realizar un chequeo de que los respaldos no estén infectados.
Revisar la actividad de antivirus en equipos que no fueron comprometidos y si es posible el escaneo con otro software de antivirus para mitigar un posible movimiento lateral.