CERT-SG IRM-17: Ransomware
CERT-SG IRM-17: Ransomware
Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.
Resumen original
PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle and respond to ransomware infection.
WHO SHOULD USE IRM SHEETS?
- Administrators
- Security Operation Center
- CISOs and deputies
- CERTs (Computer Emergency Response Team)
Metodos
Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a infecciones de ransomware.
Hallazgos clave
- Preparacion: Conocimiento de politicas de seguridad de OS, perfiles de usuario, arquitectura/VLAN/interconexiones con capacidad de aislamiento; productos de seguridad endpoint y perimetricos (email gateway, proxy) actualizados; desplegar EDR en endpoints y servidores (piedra angular de IR para ransomware); IOCs de Threat Intelligence bloqueados; SIEM para recopilacion de logs; capacidad de ejecutar YARA o DFIR-ORC (ANSSI); buena retencion y verbosidad de logs; postura definida vs atacante; estrategia de comunicacion interna y externa; si se identifica maquina con ransomware, desconectar de red y mantener encendida para forense de memoria
- Preparacion - Backups: Regla 3-2-1: al menos 3 copias en diferentes lugares, en 2 formatos diferentes (DVD, disco, cloud), con 1 copia offsite; usar un formato de backup fuera de la red para que el movimiento lateral con cifrado no lo alcance
- Identificacion: Monitoreo de IOCs por SOC; alertas de EDR; emails sospechosos con adjuntos (facturas falsas); mensaje de rescate en escritorio; archivos no disponibles/corruptos con extensiones inusuales (.abc, .xyz, .aaa); modificacion masiva de archivos en shares de red en corto tiempo; publicacion en sitios de operadores de ransomware; verificar movimiento lateral hacia AD y ShareFile con cuentas privilegiadas en horarios anomalos; conexiones a Tor/I2P/tor2web/Bitcoin; conexiones raras; scoping con EDR/YARA/DFIR-ORC; identificar acceso inicial y pivot es prioridad; identificar Threat Actor ayuda con TTPs conocidos
- Contencion: Comunicado publico inmediato; seguir postura definida; enviar muestras no detectadas a proveedor de seguridad/sandboxes; enviar URLs/dominios/IPs no categorizados a proveedor perimetrico; bloquear trafico a C2s; bloquear IPs del atacante; aislar VLAN/interconexiones comprometidos; deshabilitar cuentas comprometidas/creadas por atacantes; desconectar computadoras comprometidas (aislar con EDR manteniendo conexion EDR); si no se puede aislar, desconectar shares de red (NET USE /DELETE); monitorear sitios de threat actors para publicaciones de data leak
- Remediacion: Remover acceso inicial del atacante; remover binarios de lateralizacion; remover cuentas creadas por atacantes; revertir cambios de configuracion; hardening de sistemas y red
- Recuperacion: Actualizar firmas AV; verificar ausencia de binarios maliciosos antes de reconectar; verificar trafico de red normal; restaurar documentos desde backups; priorizar segun DRP; verificar que backups no esten comprometidos O reimaginar con instalacion limpia; resetear credenciales (especialmente admin); monitorear trafico de red; aplicar geo-filtering; mantener monitoreo de sitios de data leak
Relevancia
Guia critica para la amenaza mas impactante de la ciberseguridad actual. La regla 3-2-1 de backups es el pilar defensivo mas importante contra ransomware. Destaca la instruccion de mantener maquinas encendidas (no apagarlas) para preservar evidencia forense en memoria, y la capacidad de aislar con EDR manteniendo solo la conexion EDR activa. La referencia constante a IRM-18 refleja que ransomware moderno es esencialmente un compromiso a gran escala con cifrado como fase final.
Citas clave
"If a machine is identified with ransomware, unplug it from network and keep it turned on for memory forensics investigation." (p. 4)
"Monitor ransomware threat actor websites and Internet to find if there is any dataleak publication related to the ransomware compromise." (p. 6)
"You could isolate with your EDR and shut down internet just keeping your EDR connections up." (p. 6)
Conexiones
- certsg-irm-18-large-scale-compromise — Compromiso a gran escala, referencia principal para procedimientos detallados
- certsg-irm-07-windows-malware — Malware Windows, deteccion y analisis de binarios
- certsg-irm-08-blackmail — Chantaje, ransomware como forma de extorsion
- certsg-irm-11-information-leakage — Filtracion de informacion, data leak asociado a ransomware moderno
- Tema principal: Themes/respuesta-incidentes-lifecycle