Un detalle muy importante sobre los ataques de #ransomware es que el foco se pone en la erradicación y en la recuperación (lógico pq tienes la casa patas arriba), pero se suele dejar aparcada una tarea fundamental: encontrar el vector de entrada (1/n)
El #ransomware no ha llegado solito a tu red, alguien lo ha puesto ahí. Los atacantes han pululado alegremente por tu red hasta encontrar privilegios suficientes como para poder desplegar Ryuk, Egregor, DoppelPaymer o cualquier otra hijoputez de moda en el momento (2/n)
Eso implica que, además del #ransomware, tienes al menos un par de agentes de CobaltStrike/Empire en tu infraestructura... que aunque cambies las credenciales de las cuentas privilegiadas, les siguen dando acceso a los atacantes (3/n)
(Pq si han conseguido esas credenciales antes, aunque las cambies los atacantes las volverán a conseguir haciendo justo lo mismo, chombatta) (4/n)
Y no olvides que ese beacon de CobaltStrike tampoco ha llegado solito: alguien lo ha puesto ahí, principalmente un malware de primera línea como Emotet, Dridex o Qakbot... que es tb otra vía de acceso para que te la líen de nuevo (5/n)
En resumen: si solo erradicas el #ransomware y tiras de backup para recuperar los datos, te estás dejando a los malos dentro. Que te la van a volver a liar. Y si te descuidas, cabreados. Y nadie quiere atacantes encabronados en su infra ... ¿verdad? (6/n)
Solución: "Nuke'm from orbit!" (Ripley siempre tiene la razón). Pero si no puedes reinstalar toda tu infra (los jefes "a lo mejor se quejan"), lo que hay que hacer es una investigación a fondo para encontrar el vector de entrada y todos los "regalitos" que nos han dejado (7/n)
Y, lógicamente... + bastionado y mejor. LAPS, segregación, muerte a las macros, admin de dominio solo en estaciones separadas (PaW)... Sube de nivel y pónselo bien jodido a esta panda joputas !! :D
• • •
Missing some Tweet in this thread? You can try to
force a refresh
