Algunos ransomware dejan rastros en el registro de eventos de Windows
El Centro de Coordinación JPCERT, el primer Equipo de Respuesta a Incidentes de Seguridad Informática establecido en Japón, ha compilado una lista de entradas en los registros de eventos de Windows que podrían ayudar a los defensores empresariales a responder a ataques de ransomware operados por humanos y potencialmente limitar el daño del malware.
"La parte difícil de la respuesta inicial a un ataque de ransomware operado por humanos es identificar el vector de ataque", señaló la organización.
La detección de entradas específicas en los registros de eventos de Windows (Aplicación, Seguridad, Sistema, Configuración) puede revelar la identidad de los atacantes y el ransomware utilizado (cuando no es obvio).
Basándose en información documentada y compartida de ataques anteriores perpetrados por el mismo grupo o con el mismo malware, los encargados de responder a incidentes pueden identificar más fácil y rápidamente cómo los atacantes lograron ingresar a la red y los sistemas de la organización.
Reconocimiento de ransomware a través de registros de eventos de Windows
Cuando se enfrenta un ataque de ransomware, es de vital importancia identificar el ransomware utilizado lo antes posible, ya que el conocimiento de las tácticas, técnicas y patrones de comportamiento utilizados por los atacantes puede ayudar con la investigación y la respuesta a la intrusión, y posiblemente ayudar a quienes responden a prevenir que el ransomware se implemente en una mayor cantidad de sistemas (por ejemplo, el ransomware puede no haberse ejecutado o estar inactivo hasta que los atacantes lo activen).
Imagen: Registros de eventos durante la ejecución de Conti (Fuente: JPCERT/CC)
"La investigación de JPCERT/CC confirmó que algunos ransomware dejan rastros en el registro de eventos de Windows y que a veces es posible identificar el ransomware basándose en estas características", señaló el analista de malware Kyosuke Nakamura.
El ransomware Conti y otros ransomware relacionados, como Akira o Lockbit3.0, por ejemplo, a menudo activan una gran cantidad de registros (ID de evento: 10000, 10001) en un corto período de tiempo, porque indican el cierre automático de las aplicaciones en ejecución cuando se reinicia o se apaga el sistema operativo Windows.
Por otro lado, el ransomware Phobos y el ransomware relacionado, como 8base, activan los identificadores de eventos 612, 524 y 753, que están relacionados con la cancelación de copias de seguridad programadas, la eliminación del catálogo del sistema y el inicio del sistema de copia de seguridad.
El documento compilado también detalla los registros asociados con el ransomware Midas, BadRabbit, Bisamware, shade, GandCrab, AKO, avoslocker, BlackBasta y Vice Society.
"Los registros de eventos pueden ayudar a investigar y atribuir daños, pero en situaciones en las que se elimina o encripta mucha información, investigar todo lo que podría ser útil puede brindar valiosa información", concluyó Nakamura.