El ransomware va en aumento, pero para validar el calibre de su estrategia de defensa no es necesario (y no debería) esperar hasta una brecha de seguridad exitosa. Ahora puede validar su defensa contra el ransomware con Infection Monkey de Guardicore, el cual le permite simular un ataque de ransomware (de forma segura) en un entorno de producción.
¿Por qué debería probar continuamente su protección contra ransomware? Verificar su seguridad básica es importante, pero su entorno es muy dinámico, como en la mayoría de las otras organizaciones, por las actualizaciones frecuentes y nuevas incorporaciones. Ejecutar Infection Monkey después de cualquier cambio le ayudará a validar que sus configuraciones de seguridad y equipos estén listos para ransomware.
Desatando un ataque de ransomware con The Monkey
1. Prepare su entorno
Para garantizar la estabilidad y seguridad de su red, Infection Monkey solo cifrará los archivos que usted especifique explícitamente. Utiliza un algoritmo totalmente reversible, por lo que puede estar seguro de que no se perderán datos. Sin embargo, aunque Monkey está diseñado para su uso en entornos de producción, nunca se recomienda utilizar sus archivos originales durante el ejercicio.
Para que su simulación sea lo más precisa posible, proporcione al Monkey un directorio que contenga archivos que sean seguros para cifrar. El enfoque sugerido es utilizar una herramienta de administración remota, como Ansible o PsExec, para agregar un directorio de “destino de ransomware” a cada máquina de su entorno.
2. Configure el Infection Monkey
Una vez que haya descargado y configurado Infection Monkey, también debe tomarse un momento para navegar a la pestaña de configuración de red.
Esta configuración ayudará a determinar el alcance de su ataque. Aquí puede controlar:
● Profundidad de propagación de la red: ¿cuántos saltos desde la máquina base se propagará Infection Monkey?
● Exploración de la red local: ¿Debería Infection Monkey intentar atacar cualquier máquina de su red?
● Lista de subredes / IP del escáner: ¿Qué rangos de IP específicos debería intentar atacar Infection Monkey?
A continuación, es hora de configurar el ataque. La simulación solo cifrará archivos en un directorio especificado por el usuario para garantizar una interferencia mínima y una fácil recuperación.
En la interfaz, navegue hasta la pestaña de configuración de ransomware, donde puede proporcionarle al Monkey un directorio que contiene archivos que son seguros para cifrar. Si no se especifica ningún directorio, no se cifrarán archivos.
Además, la mayoría de los ransomware dejan un archivo README.txt , con Infection Monkey también sucederá esto. Después de que Infection Monkey haya cifrado los archivos en el directorio de destino, dejará un archivo README.txt en el directorio de destino que informa al usuario que se ha realizado una simulación de ransomware.
3. Suelte al Monkey y cifre todas las cosas
Una vez que inicie la simulación, Monkey intentará vulnerar y cifrar las extensiones de archivo específicas en el directorio que creó en cada máquina.
Infection Monkey cambiará el nombre de cualquier archivo que pueda usar con una nueva extensión agregada, similar a la forma en que se comportan muchas campañas de ransomware. Se cambia el nombre de los archivos cifrados para que se agregue .m0nk3y a sus nombres. Este proceso debería activar sus soluciones de seguridad para notificarle o evitar que se produzcan estos cambios, de modo que pueda observar cómo funcionan.
Existen varios mecanismos para garantizar que todas las acciones ejecutadas por la rutina de cifrado sean seguras para los entornos de producción. Además de cifrar únicamente los archivos que especifique, la simulación no es recursiva, es decir, no tocará ningún archivo en los subdirectorios del directorio configurado. Infection Monkey tampoco seguirá ningún enlace simbólico o atajo.
Evaluar sus resultados
Una vez que todo haya terminado, encontrará un nuevo informe listo para su revisión que incluye:
● Los detalles sobre la infracción inicial.
● Cuántas máquinas se descubrieron
● ¿Cuántas fueron explotados?
● Qué exploits tuvieron éxito
● Qué archivos se cifraron
Si observa una gran cantidad de máquinas descubiertas y vulneradas, es una señal de que su red puede ser demasiado plana y debe buscar una solución que evite el movimiento lateral y la propagación del ransomware a través de su red. Asimismo, no olvide mirar las métricas fuera de Infection Monkey, como la eficacia con la que respondió su equipo y si sus herramientas de seguridad detectaron la simulación.
¿Está listo para simular un ataque de ransomware en su red para identificar rutas de propagación y probar la respuesta de su organización?
