Las técnicas Living off the Land (LOTL) suelen ser utilizadas por las bandas de ransomware para, mediante el uso de herramientas legítimas, evadir la detección y robar datos. El uso de herramientas legítimas les es útil para no ser detectadas en las primeras etapas del ataque y poder moverse en la red de la víctima.
De acuerdo con los expertos de Malwarebytes, cuando la organización se da cuenta de que está siendo atacada por las bandas de ransomware, para entonces ya el malware ha sido instalado y los ciberdelincuentes ya han robado y cifrado los datos.
Los expertos del equipo de ThreatDown Malware Removal Specialist de Malwarebytes refieren los siguientes indicadores tempranos de un ataque de ransomware:
- Herramientas de administración de TI fuera de lugar. Herramientas como el software de gestión y supervisión remota (RMM), PsExec, Wireshark y Advanced IP Scanner. Si se encuentran inesperadamente, pueden indicar un ataque de ransomware inminente.
- Descarga de credenciales. Credenciales de inicio de sesión del sistema que los atacantes usan para moverse en la red y escalar privilegios. La presencia de herramientas como Mimikatz, que se utiliza para el volcado de credenciales, puede ayudar a identificar un ataque de ransomware en las primeras etapas.
- Comandos de reconocimiento. Estos comandos son utilizados para recopilar información de la red y de sus usuarios. Por ejemplo, el uso del comando NLTEST.EXE para recopilar información sobre los recursos críticos de la red y moverse dentro de la red.
- Presencia o ejecución de herramientas de piratería comunes. Herramientas como ProcessHacker, IOBit Uninstaller y GMER para desactivar las medidas de seguridad y obtener el control del sistema. Por ejemplo, el uso de ProcessHacker, Mimikatz y LaZagne para escalar privilegios, deshacerse de credenciales y recopilar información confidencial.
- Detecciones de intrusiones por fuerza bruta. Son intentos persistentes para obtener acceso no autorizado a la red y entonces implementar la carga maliciosa.
Al detectar los primeros signos más comunes de un ataque de ransomware, las organizaciones pueden detectar y bloquear mejor a las bandas de ransomware que se mueven a través de la red.