Registro de eventos de Windows para detectar ataques de ransomware

El Centro de respuesta a emergencias informáticas de Japón (JPCERT/CC) ha compartido consejos para detectar diferentes ataques de bandas de ransomware basándose en entradas en los registros de eventos de Windows, lo que proporciona una detección oportuna de los ataques en curso antes de que se propaguen demasiado en una red.

JPCERT/CC dice que la técnica puede ser valiosa a la hora de responder a ataques de ransomware, y que identificar el vector de ataque entre varias posibilidades es crucial para una mitigación oportuna. La estrategia de investigación propuesta cubre cuatro tipos de registros de eventos de Windows: registros de aplicación, seguridad, sistema y configuración.

Estos registros a menudo contienen rastros dejados por ataques de ransomware que podrían revelar los puntos de entrada utilizados por los atacantes y su "identidad digital".

A continuación se muestran algunos ejemplos de rastros de ransomware destacados en el informe de la agencia:

• Conti: identificado por muchos registros relacionados con el Administrador de reinicio de Windows (ID de evento: 10000, 10001).

• Phobos: deja rastros al eliminar copias de seguridad del sistema (ID de evento: 612, 524, 753). 8base y Elbie generan registros similares.

• Midas: cambia la configuración de red para propagar la infección, dejando el ID de evento 7040 en los registros.

• BadRabbit: registra el ID de evento 7045 al instalar un componente de cifrado.

• Bisamware: registra el inicio (1040) y el final (1042) de una transacción de Windows Installer.

• Akira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon, Bablock y otros programas maliciosos creados a partir del cifrado filtrado de Lockbit y Conti leaked encryptor generan eventos similares.

• Shade, GandCrab, AKO, AvosLocker, BLACKBASTA y Vice Society, dejan rastros muy similares (ID de evento: 13, 10016). Ambos errores se deben a la falta de permisos al acceder a aplicaciones COM para eliminar instantáneas de volumen, que el ransomware normalmente elimina para evitar una fácil restauración de archivos cifrados.

ENLACE | GUÍA SANS DE TRIAJE DE EVENTOS EN WINDOWS

Recuerda que es imposible detectar este tipo de eventos sin una monitorización activa

El mayor ataque DDoS de la historia de CloudFlare

Desde principios de septiembre, los sistemas de protección contra DDoS de Cloudflare han estado combatiendo una campaña de un mes de duración de ataques DDoS hipervolumétricos a las capas 3 y 4. Las soluciones de protección de Cloudflare mitigaron más de cien ataques DDoS hipervolumétricos a las capas 3/4 a lo largo del mes. Muchos de estos ataques superaron los 2000 millones de paquetes por segundo y los 3 terabits por segundo (Tb/s). El mayor ataque alcanzó un máximo de 3,8 Tb/s, el mayor ataque revelado públicamente por una organización. La detección y la mitigación fueron totalmente autónomas. Los gráficos siguientes representan dos ataques distintos dirigidos al mismo cliente de Cloudflare y que se mitigaron de forma autónoma.