Los ciberdelincuentes han demostrado que siguen encontrando lagunas para llevar a cabo sus ataques de ransomware. Y uno de los recursos clave de que necesitan para tener éxito es el privilegio. Eliminar el privilegio de la ecuación es parte fundamental de la estrategia para proteger a las empresas de ataques que pueden causar daños masivos.

2. Cómo la gestión de
privilegios puede blindar
su negocio contra
ransomware y otros APTs
Francisco Lugo & Josue Ariza

3. Ransomware Outbreaks

4. ©BeyondTrust 2023 | 4
1 IBM Security, 2022 IBM Security X-Force Cloud Threat Landscape Report, 2022
2. Microsoft Vulnerabilities Report. BeyondTrust.. March 2023
3. Feds Fighting Ransomware: How the FBI Investigates and How You Can Help. Retrieved from: https://www.youtube.com/watch?v=LUxOcpIRxmg Feb 25,2020 .
4. Ransomware Uncovered 2020/2021. Group-IB. March 2021
2
De las cuentas en la
nube a la venta en la
dark web son para
acceso RDP 1
MORE EXPOSURES
La superficie de ataque está aumentando
enormemente
76% 52% –
80%%
540%
Aumento de las
vulnerabilidades
de la nube en los
últimos 6 años 1
De los ataques de
ransomware implican
la explotación de RDP
para obtener acceso
inicial3+4
159%
Aumento de Azure y
Dynamics 365
vulnerabilities in 20222

5. ©BeyondTrust 2023 | 5
• Más Cloud & Multicloud
• Más Acceso Remoto
• Más Vulnerabilidades
• Más Identitidades (humanos, equipos, etc.)
• Más Privilegios
• Más Shadow IT
• Más BYOD / BYOT
• Más Trasnformacion Digital
• Más conectividad con todo
TODOS SON VECTORES DE ATAQUE
La superficie de ataque está aumentando
enormemente
El ransomware y los criptomineros son los
principales programas maliciosos que se
lanzan a los entornos en la nube1
1 IBM Security, 2022 IBM Security X-Force Cloud Threat Landscape Report, 2022

6. ©BeyondTrust 2023 | 6
Tendencias que impulsan las tasas de ganancias del ransomware
• "Nombrar y avergonzar": los atacantes a menudo publicitan un
ataque a los clientes de una víctima y a los medios para obligar a la
víctima a pagar.Cybersecurity insurance increases payout chances
• El 50% de las empresas de los Estados Unidos dicen que su seguro
cubre el rescate
• El costo del tiempo de inactividad o el riesgo de reputación es
demasiado alto
• Ya no se requieren habilidades de piratería: los exploits pre
empaquetados y el ransomware como servicio (RaaS) simplifican
las cosas para los actores de amenazas..
El ransomware es un modelo comercial
exitoso
1. Sophos, State of Ransomware 2022

7. ©BeyondTrust 2023 | 7
• ¡Solo el 14% de las organizaciones
que pagaron un rescate de
ransomware recibieron el 100% de
sus datos de vuelta! 1
• Puede devolver el acceso a los datos,
pero aún podría vender los datos o
volver a cifrarlos
Efecto “Sangre en el agua”
• Si no se aborda la causa principal
(vulnerabilidad sin parches, privilegios
administrados incorrectamente, acceso
remoto no seguro), otro operador de
ransomware experto puede (hará)
explotar a la misma víctima
Pagar el rescate no acaba con
la amenaza
1. ESG, The Long Road Ahead to Ransomware Preparedness. March 2022

8. ©BeyondTrust 2023 | 8
El ransomware es
(principalmente) malware
Encryptors Lockers Doxware
(Extortion)
Scareware RaaS
Si puede detener el malware, puede detener (la
mayoría) del ransomware

9. ©BeyondTrust 2023 | 9
Pero... el ransomware operado
por humanos está en aumento
• Estos ataques de "manos en el teclado" se dirigen a una organización y
dirigen activamente un ataque utilizando conocimientos humanos.
• P.ej. Ataques personalizados de Ryuk y Trickbot (frente a WannaCry, que
se propagaba automáticamente)
• Por lo general, se inicia a través de un ataque basado en la identidad
(ingeniería social, fuerza bruta, etc.),
• Luego use técnicas de movimiento lateral (privilegios en exceso,
credenciales mal administradas, etc.) para continuar su ataque y elevar
los privilegios.
• Con privilegios elevados (una cuenta de administrador, etc.), roban y/o
encriptan datos mediante la implementación de una carga útil de
ransomware.

10. ©BeyondTrust 2023 | 10
Defensa contra
ransomware

11. ©BeyondTrust 2023 | 11
Cambio de foco de ataque
Perimetro Endpoint Identidad

12. ©BeyondTrust 2023 | 12
¿Por qué está ganando el ransomware?
• Acceso remoto inseguro
• RDP- Remote Desktop Protocol, VPN- Virtual Private Network
• Dispositivos no administrados
• Trabajadores remotos, acceso de proveedores
• Riesgo del usuario
• Los ataques de phishing y de ingeniería social son cada vez más sofisticados
• La capacitación sobre buenas prácticas de higiene cibernética a menudo es
inadecuada o no se lleva a cabo
• Mayor uso de BYOD y uso de redes domésticas, mentalidad relajada en el
hogarPoorly managed privileged access
• Ineficaz o falta de control de aplicaciones
• Vulnerabilidades sin parchear
• Mala gestión de credenciales

13. ©BeyondTrust 2023 | 13
Consejos sinceros de seguridad
de un operador de ransomware
Highlighted areas all represent core capabilities of PAM solutions

14. ©BeyondTrust 2023 | 14
El papel de la gestión de
acceso privilegiado(PAM) &
Verdadero privilegio
mínimo
Cómo hacer que su entorno sea
inhóspito para ransomware,
malware y otras amenazas

15. ©BeyondTrust 2023 | 15
• Proteger - ¿Cómo podemos reducir la superficie de ataque?
• Detectar: ¿cómo detectamos el abuso de identidad?
• Responder – ¿Como Podemos responder?
Rompiendo la cadena de ataque

16. ©BeyondTrust 2023 | 16
Clave de la defensa y de la recuperación
de ransomware
Regular, tested
backups and reliable
recovery processes =
no need to pay
decryption ransom.
Disaster
Recovery
Processes &
Tooling

17. ©BeyondTrust 2023 | 17
©BeyondTrust 2021 | 17
Protección combinada contra
ransomware y amenazas de BeyondTrust
• Privileged Remote Access: La solución de seguridad de acceso
remoto sin VPN y sin conexiones entrantes elimina las vías de acceso
remoto no seguras que se pueden usar para enviar ransomware.
• Privilege Management for Windows & Mac / Unix & Linux: La
aplicación de privilegios mínimos mediante la eliminación y
administración de cuentas privilegiadas a través de un acceso justo a
tiempo minimiza drásticamente la superficie de ataque y las ventanas
de amenazas. Aplicación de confianza que protege contra amenazas
sin archivos.
• Password Safe: Las contraseñas y secretos privilegiados únicos
ayudan a prevenir el movimiento lateral y la escalada de privilegios. La
supervisión y gestión continuas de toda la actividad de sesión
privilegiada garantiza la supervisión.
• Cloud Privilege Broker: Reduzca la superficie de ataque y mitigue el
riesgo de campañas de ransomware aplicando el principio de
privilegio mínimo en su infraestructura multinube.

18. ©BeyondTrust 2023 | 18
Lock down remote access pathways and
eliminate risky use of RDP, VNC, and VPNs
Block malicious code from delivering
ransomware payloads at the source
Stop an infection in its tracks by preventing
lateral movement
Prevent account hijacking by managing all
privileged credentials
Prevent ransomware execution by enforcing
least privilege and using application control
Defend against attacks that exploit
trusted applications and macros
Una poderosa defensa combinada contra ransomware
PROTÉJASE CONTRA AMENAZAS CONOCIDAS Y DESCONOCIDAS (DÍA CERO)

19. ©BeyondTrust 2023 | 19
Trickbot / Ryuk – Attack Chain
T1086 – Data Encrypt for Impact
T1562 – Impair Defenses
T1566 - Phishing
T1548.002 – UAC Bypass
T1134 – Access Token Manipulation
T1003/T1003.001 – Credential Dumping
T1055 – Process Injection
T1053 – Scheduled Task/Job
T1078 – Valid Accounts: Domain Accounts
T1087 – Account Discovery
T1033 – System Owner/User Discovery
T1035 – Service Execution
Initial Access – Trickbot via phishing email
Credential Access – Using LaZange, Mimikatz or other tools
Execution & Local Elevation - Cobalt Strike or PowerShell Empire
Persistence – New Domain Admin (DA) Accounts
Privilege Escalation – Control over Valid Admin Accounts
Lateral Movement – PsExec or other tools
Discovery – Recon and enumeration using Bloodhound
Impact – Invoke Ryuk ransomware payload
Defense Evasion – Tampering with A/V & security services

20. ©BeyondTrust 2023 | 20
Colonial Pipeline Breach – Darkside
Muchas oportunidades para romper la cadena de ataque
con PAM
Que paso Como PAM puede ayudar
Fase 1
LAND
• Dormant VPN credentials were stolen
• Passwords were reused in multiple accounts
• MFA was not in use
• Privileged access reviews and right-sizing
(PAM)
• Credential management and rotation (PPM /
SRA)
• MFA enforcement (SRA)
Fase 2
EXPAND
(assumptions
based on typical
malware deployed
by Darkside)
• Unsigned binaries execute on the system, which
lead to security tools being disabled, local
backups deleted, and encryption of files
• PowerShell launching with elevated privileges
• COM used to perform a UAC bypass
• Application control can prevent unknown
executables from running (EPM)
• Could have mitigated the UAC bypass attempt
by removing the user’s admin
privileges (EPM)
• UAC bypass is mitigated by removing admin
rights (EPM)
Findings based on BeyondTrust Labs research of Darkside malware

21. ©BeyondTrust 2023 | 21
Plataforma
Password Safe
Obtenga visibilidad y control de
credenciales y secretos privilegiados
Privilege Management
for Windows & Mac
Imponga privilegios mínimos y
controle las aplicaciones
Privilege Management
for Unix & Linux
Implemente una seguridad
inigualable de accesos privilegiados
Privileged Remote Access
Gestione y audite los accesos remotos
de empleados y proveedores
Remote Support
Ofrezca soporte de forma segura a
cualquier dispositivo o sistema
Cloud Privilege Broker
Visualice y dimensione correctamente
los privilegios en nubes
Active Directory Bridge
Amplíe y administre la autenticación
Unix/Linux y las políticas de grupo
Identity Security Insights
Obtenga una visión holística de las identidades
y accesos a todo su patrimonio de TI desde
una única interfaz

22. ©BeyondTrust 2023 | 22
Questions/comments/opinions?
Marcio Bonifacio
Regional Sales Director, LATAM
mbonifacio@beyondtrust.com
+ 573102948709
Francisco Lugo
Solution Engineer
flugo@beyondtrust.com
+ 573116297217
Fernando Fontao
Sr.Channel Account Manager,LATAM
ffontao@beyondtrust.com
+55 11 94330-1200
Josue Ariza
Territory Sales Manager
jariza@beyondtrust.com
+ 573102948709

23. GRACIAS