Detectar Movimiento Lateral Antes del Cifrado
Respuesta directa
Entre la invasión inicial y el cifrado del ransomware, el atacante pasa en promedio 7-30 días en la red en movimiento lateral. Esa es la ventana donde la detección y contención evitan el desastre. 8 señales conductuales identifican el ataque en curso antes del punto final.
Qué es el movimiento lateral
El movimiento lateral es el conjunto de técnicas que el atacante usa para moverse del host inicialmente comprometido (generalmente una estación vía phishing) hasta alcanzar Active Directory, servidores críticos y backups. Herramientas comunes: Mimikatz (extracción de credenciales), PsExec (ejecución remota), Cobalt Strike Beacon (C2), BloodHound (mapeo de AD), Rubeus (kerberoasting), AnyDesk/Atera (persistencia). Cada técnica deja rastros detectables si hay logging adecuado.
8 señales que indican movimiento lateral en curso
- 1.Logins de usuario en servidores que no accede normalmente. Cuenta admin que usa AD solo para autenticar Outlook que de repente loguea en servidores SQL o ESXi. Anomalía más común. Sentinel/Splunk con baseline detecta.
- 2.Ejecución de Mimikatz / SharpHound en endpoint. EDR moderno detecta. CrowdStrike Falcon, SentinelOne, Defender for Endpoint generan alerta crítica.
- 3.Tráfico SMB lateral inusual. Las estaciones de trabajo no suelen hablar SMB entre sí. Tráfico puerto 445 entre estaciones = señal roja. Firewall interno o EDR de red captura.
- 4.Creación de nuevas cuentas admin. Cuenta creada fuera de horario, con privilegio elevado, sin ticket de cambio = invasión en curso. Auditoría de AD vía Sentinel o logs nativos.
- 5.Tareas programadas en servidores. schtasks /create ejecutado remotamente. Los atacantes crean tareas para persistencia. Sysinternals Sysmon + correlación detecta.
- 6.Patrones C2 de Cobalt Strike Beacon. Comunicación a dominios inusuales en intervalos regulares (jitter típico 30-90s). EDR de red con IoCs actualizados detecta.
- 7.Acceso a vCenter / ESXi desde IP inusual. Los atacantes ESXi-Linux (BlackCat, LockBit, Akira) necesitan loguear en vCenter. Los logs muestran source IP — alerte cualquier IP fuera de la red de gestión.
- 8.Intentos de acceso al backup. Veeam B&R, Commvault, repositorio S3 — accesos anómalos en horarios extraños o de credenciales incorrectas. Atacante mapeando el backup ANTES de cifrar.
Preguntas frecuentes
¿Cuánto tarda de la invasión al cifrado?
Dwell time medio en 2024: 11 días (informe Mandiant). Variantes más sofisticadas (LockBit, BlackCat): 20-45 días. Más oportunistas (Akira): 5-10 días. El tiempo de detección y contención es la métrica que importa.
¿EDR detecta todo eso?
EDR moderno (CrowdStrike, SentinelOne, Defender Plan 2) detecta la mayoría. Sin EDR, depende de SIEM + correlación manual. Las empresas sin EDR típicamente descubren el ataque solo en el cifrado.
¿Puedo correlacionar logs sin SIEM caro?
Sí. Wazuh (open source) hace SIEM básico. Microsoft Sentinel: ~US$2-4/GB/mes ingerido, viable para PYME. Splunk y QRadar son más caros. Sin agregación de logs, la detección es reactiva.
¿Qué hacer al detectar movimiento lateral?
1) NO alerte al atacante (mantenga la rutina aparente). 2) Snapshot de hosts críticos. 3) Active respuesta emergencial profesional. 4) En paralelo, aísle los segmentos de red más críticos. 5) Reset KRBTGT y cuentas admin en las próximas horas. 6) Hardening agresivo. Ventana típica para contener: 24-72h.
¿Cuánto cuesta montar detección decente?
PYME: EDR (~US$10-20/host/mes) + Wazuh o Sentinel (~US$200-600/mes). Medio: agregar SOC 24×7 tercerizado (~US$3-10K/mes). El costo es fracción del impacto de un ataque con cifrado completo.
¿Sospecha compromiso en curso?
Análisis de IoCs + correlación de logs en hasta 6h. Cadena de custodia si hay indicio de compromiso.