Los servicios DFIR en una respuesta al incidente con ransomware

16 de septiembre de 2021

Como vimos en el primer post de la serie, el proceso de IR (respuesta a incidentes) en caso de ataques que utilizan ransomware es fundamental, apoyándose en el trabajo de varios grupos que, aportando distintos roles, conforman un único equipo de trabajo para ayudar a recuperarse en la menor brevedad de tiempo posible, a la empresa afectada.

Nuestros servicios NextDefense, incluyen una rama específica en su propuesta para cubrir este tipo de servicios.

En este segundo post de la serie, vamos a revisar el papel que juegan los integrantes del equipo de servicios DFIR (Digital Forensics and Incident Response) de Telefónica Tech dentro del proceso global de IR.

Composición del equipo DFIR

El equipo está formado por un conjunto de profesionales multidisciplinales, perfiles senior mayormente, donde su trayectoria profesional ha estado siempre ligada a la seguridad en cualquiera de sus especialidades.

Esta diversidad de roles permite estar preparados ante cualquier evolución de las técnicas, tácticas y procedimientos ofensivos y métodos anti-forenses de los atacantes, al margen de las características concretas del actor y el ataque.

En el caso que nos ocupa, incidentes de seguridad con uso de ransomware, es necesario combinar recursos de distintos grupos:

  • DFIR
  • Threat Hunting (ocasionalmente combinado con servicios de monitorización EDR)
  • Threat Intel (Inteligencia de amenazas)

Dentro de estas disciplinas, DFIR cuenta con tres roles diferenciados que participan de maneras muy concretas dentro del proceso de IR:

  • Incident Handler (IH): Es quien coordina el incidente de seguridad, y hace de enlace entre el cliente y los distintos equipos para llevar un control y facilitar la comunicación, asignando tareas a las distintas partes y asegurando que todo el proceso de IR va evolucionando de la forma debida.
  • Analista Forense: Es el especialista con capacidad de realizar investigaciones (locales y remotas) sobre cualquier sistema o soporte con información, y cuya finalidad es la obtención de evidencias que permitan avanzar durante la investigación.
  • Analista de Malware: Es el especialista que realiza análisis estáticos y dinámicos sobre virus y otros artefactos maliciosos que se podrán encontrar en los equipos procesados por el analista forense, el role Threat-hunter o por el propio cliente.

Preparación del proceso de IR

Cuando se inicia un nuevo proceso de respuesta a un incidente, el equipo de servicios DFIR organiza el trabajo y prepara la realización de las primeras tareas. Se crean espacios en la nube (que se utilizarán para la compartición de evidencias) y también se aprovecha para analizar la propia nota de rescate, la extensión de los archivos cifrados e incluso qué dominio corporativo tiene la empresa que ha sido afectada. Esperando la reunión inicial con el cliente, las personas asignadas, revisan internamente la información disponible y preparan todo el contenido para esos primeros pasos con cliente. Esta primera reunión de trabajo será de las más importantes.

Toda esta preparación antes de la primera reunión es utilizada para revisar el conocimiento que se pudiera tener sobre el actor concreto: Si suele realizar exfiltración de datos, qué vía de entrada suele utilizar, qué herramientas despliega e incluso si la empresa tiene credenciales exfiltradas en mercados negros. La primera jornada del proceso y en particular, la primera reunión, son fundamentales.

Inicio de la respuesta

Una vez se produce la primera reunión y se comienza en sí el proceso de respuesta, se crean unas líneas de trabajo iniciales dirigidas a todos los grupos (cliente y terceros incluidos) probadas en cada incidente y mejoradas al final de ellos. Algunos ejemplos:

  • El Incident Handler tomará el control del proceso y comenzará a organizar todos los grupos de trabajo, actividades, plan de reuniones, etc.
  • El equipo Threat Intel solicitará una serie de datos al cliente para producir inteligencia de ciberseguridad accionable (se verá en el próximo post).
  • El analista forense recogerá todos los eventos/objetos que puedan albergar información del atacante. Ello producirá los primeros IOCs (Indicadores de Compromiso) que permitirán comenzar, por ejemplo, con los bloqueos para iniciar las fases de contención y erradicación de la amenaza. Si hay elementos de malware, un analista de esta especialidad será incorporado al equipo para realizar sus labores correspondientes.
  • El grupo Threat Hunting (muchas veces, en combinación con otros servicios de monitorización de Telefónica TECH) irá apoyando el despliegue (cuando sea necesario) de una plataforma EDR, realizando análisis de alertas e investigación de amenazas sobre dicha plataforma. Concretamente, en el último post de la serie veremos el trabajo de este equipo.

Desempeño durante el proceso de IR

El proceso de respuesta a incidentes sigue una rutina de reuniones (más ejecutivas) o puntos de control (más técnicos) a lo largo del periodo de trabajo (un par de semanas, en término medio). En estas reuniones, el equipo de trabajo conjunto (cliente, equipo de Telefónica TECH y posibles terceros) irá revisando el trabajo en curso, compartiendo conocimiento y asignando nuevas tareas a todos (siendo estas revisadas en cada punto de control).

Los perfiles forenses del equipo DFIR tendrán un trabajo intenso en este proceso iterativo y a lo largo del periodo de trabajo acordado: irán realizando sus investigaciones con los distintos tipos de evidencias disponibles, se apoyarán en los analistas de malware (si se diera el caso) e irán -poco a poco- creando la narrativa del incidente que será explicada al cliente en el siguiente punto de control. Irán identificando y comunicando los IOC encontrados a los distintos grupos para apoyar en la contención y erradicación, mientras trazan el timeline (línea temporal) que irá reflejado en el informe que será entregado al cliente junto con la identificación del primer sistema hallado como comprometido (pasando a ser el “paciente 0”), los vectores de entrada utilizados para enriquecer las recomendaciones que servirán como puntos de mejora de la infraestructura afectada y todo lo relevante de la red (y del atacante) que deba ser comunicado al cliente.

Posteriormente y sólo en los casos donde pudiera existir una publicación de información (no todos los ataques con ransomware implican exfiltración de datos), los analistas de inteligencia de amenazas intentarán monitorizar su Hall of Shame (“salón de la vergüenza”, normalmente tablones públicos donde se divulga la información exfiltrada) de cara a poder asistir a los clientes en los aspectos más importantes concernientes a la privacidad de datos y a la norma GDPR, entre otras acciones. Este bloque de actividad se explicará en el siguiente post de la serie.

En definitiva: el trabajo del grupo DFIR dentro de un incidente con ransomware, tal como lo entendemos en Telefónica TECH, es un proceso constante de investigación y de intercambio de conocimiento de los analistas de forense y de malware con otros grupos (inteligencia de amenazas y Threat Hunting, sobre todo). En cada actuación, el cliente y los demás roles y grupos conocerán los avances logrados en DFIR gracias a la intermediación del Incident Handler (quizás, un nuevo IOC o la identificación del paciente 0) y a su vez, esos grupos podrán ampliar la información a los especialistas de DFIR para refinar los siguientes pasos de su investigación.

Finalización de los trabajos de análisis forense y malware

Cuando se da por completado el trabajo de investigación en un proceso IR, se genera un informe final de investigación que sigue una estructura que se va revisando regularmente para asegurar la máxima utilidad al cliente. Al margen del país/región del incidente o del idioma utilizado, el informe tiene siempre el mismo formato y estructura.

En algunos casos, los clientes solicitan una versión previa de dicho informe para compartir con fuerzas y cuerpos de seguridad, empresas aseguradoras, auditores, socios, proveedores o clientes.

Para aportar tranquilidad, una vez que se ha compartido con el cliente el informe final de la investigación, el proceso de IR suele continuar con una monitorización en 24x7 pactada del EDR en donde todo el equipo podría volver a ser reactivado.

En estos últimos compases del proceso de IR, se mantendrá una reunión final con el cliente donde se revisará con detalle el informe entregado, resolviéndose las dudas que hayan podido surgir y explicando los aspectos más importantes de la narrativa tanto del incidente como de las recomendaciones.

Tal como hemos visto, el proceso de respuesta a incidentes del equipo de DFIR de Telefónica Tech trabaja de forma rápida y organizada atendiendo a una metodología específica seguida por todos los grupos, para cubrir todas las fases del proceso de IR. Estos roles y su metodología son clave para resolver este tipo de incidentes.