Escenario Ramsomware

[singlet0n]

Buen día a todos/as!
Soy Gonzalo, nuevo por aquí. Les comento, recientemente en mi trabajo sufrimos una infección de ramsom y ahora me están pidiendo replicar un escenario para probar la seguridad.
¿Alguien sabe si se consigue alguno a modo de "prueba"? el q infectó nuestra red era de extensión .loffy

Desde ya agradezco tu respuesta, Saludos!

[Serapis]

...sufrimos una infección de ramsom y ahora me están pidiendo replicar un escenario para probar la seguridad.
¿Alguien sabe si se consigue alguno a modo de "prueba"? el q infectó nuestra red era de extensión .loffy

Y cómo sabe nadie si en efecto, tu intención real trata de probar la seguridad y no de hacerse con un programa para gestionar 'maldades' por tu cuenta...?.

Por otro lado, aunque tales programas sean muy similares entre sí, cada cual tendrá funcionalidad específica, luego la seguridad no queda acreditada solo por 'probar uno'.

La parte de la seguridad que sí compete es hacer copias de seguridad con la mayor frecuencia posible (siempre que sea necesaria) y eso es completamente ajeno al ransomware (y es la medida más eficaz).

En cualquier caso, no supone ninguna complicación emularlos... y además sin correr el grave riesgo que supone su residencia. Meramente crea un fichero de texto donde añades la ruta original y el nuevo nombre acuñado al fichero, y con ello se diera como supuesto su cifrado.
El fichero servirá al caso, para hacer la operación inversa (si el contenido es útil y ha de ser devuelto al origen), aunque lo preferible fuera hacer pruebas sobre un equipo que al final sea formateado (por ejemplo virtualizando) y se pierda todo (aislado y sin posibilidad alguna de propagación).

[singlet0n]

En realidad es pedido de uno de mis jefes -_- como siempre con pedidos extraños. La urgencia surgió xq ésta es la 2da vez q se infecta la red y a diferencia de la primera éste ramsom encriptó hasta las copias de seguridad .bak de los servidor, pero no así a la info q se alojaba en nuestro NAS.

Armé un escenario con VMs con su propia subred, encontré un simluador pero no funciona en red, continúo buscando.

[Machacador]

En realidad es pedido de uno de mis jefes -_- como siempre con pedidos extraños. La urgencia surgió xq ésta es la 2da vez q se infecta la red y a diferencia de la primera éste ramsom encriptó hasta las copias de seguridad .bak de los servidor, pero no así a la info q se alojaba en nuestro NAS.

Armé un escenario con VMs con su propia subred, encontré un simluador pero no funciona en red, continúo buscando.

Para evitar ataques de ransomwares puedes agregar un idioma específico a las máquinas como por ejemplo el ruso...

Mira acá: https://blog.elhacker.net/2021/04/rusia-y-su-relacion-conexion-el-ransomware.html

[el-brujo]

Lo normal es que cifren las copias de seguridad de un NAS. Por eso una de las premisas contra el ransmoware es tener copias de seguridad offline

Cada grupo-banda de ransomware funciona diferente, no son todos exactamente iguales, usan técnicas y procedimientos distintos.

La gente de https://vx-underground.org/ han subido muchas muestras reales de ransomware.

https://vxug.fakedoma.in/tmp/
https://vx-underground.org/samples/Families/

Y el grupo de LockBit también, parar comprar la velocidad de cifrado y demás.
RansomwareSamples.7z

No creo que la mejor solución sean probar ransomware en VM, la mitad ni funcionarán cuando detectan que está en en una máquina virtual.

Lo que debes hacer es tomar una serie de medidas:

Medidas prevención para evitar que un ransomware secuestre tu empresa
https://blog.elhacker.net/2021/03/medidas-prevencion-para-evitar-que-un-ransomware-cifre-tu-empresa.html

Desactivar scripts PowerShell a través de GPO para evitar Ransomware
https://blog.elhacker.net/2020/12/deshabilitar-desactivar-scripts-powershell-traves-de-gpo-gpedit.html

Cómo evitar que un ransomware cifre los ficheros en Windows
https://blog.elhacker.net/2016/04/como-evitar-prevenir-que-un-ransomware-cifre-secuestre-los-ficheros-archivos-en-servidor-windows.html