Cómo responder a un incidente de ransomware… y salir vivo de ello

Resumen de la actividad

El objetivo de este taller es presentar a los alumnos los primeros pasos a acometer en la respuesta a un escenario de infección de ransomware en un entorno controlado, desde la detección inicial del incidente hasta la fase de recuperación, pasando por el análisis forense del entorno para identificar las acciones realizadas por el atacante y las fases de contención y erradicación para asegurar que la amenaza queda controlada. Para ello, se explicará a los asistentes cómo realizar el análisis de los artefactos forenses en sistemas operativos Windows más relevantes que ayuden a trazar toda la cadena de ataque seguida desde el acceso inicial, pasando por la escalada de privilegios, movimientos laterales a otros equipos de la red, instalación de persistencia, exfiltración de información y finalmente despliegue del ransomware. Los artefactos serán entregados previamente en formato que pueda ser analizados sin procesamiento previo y se compartirá también un kit de herramientas forenses open-source para el desarrollo del escenario práctico.

Requisitos para la actividad.

- Portátil con SO Windows 10/11. En caso de contar con otro tipo de SO (i.e. macOS, Ubuntu, etc.), será necesario disponer del software de virtualización VirtualBox instalado.
- Paquete de artefactos digitales y herramientas forenses recomendadas para el taller, accesibles a través del siguiente enlace: HackOn-Evidencias.zip. Este fichero comprimido contiene tantos las herramientas forenses recomendadas para el análisis como los propios artefactos forenses relevantes con el escenario que se presentará a analizar.
- Si no se dispone de SO Windows instalado por defecto, será necesario descargar la VM de análisis a través del siguiente enlace: HackOn-VM.zip. Este fichero comprimido contiene una VM de VirtualBox preconfigurada y en su interior se han incluido ya tanto las herramientas forenses como los artefactos que se analizarán

Plazas limitadas: 30 plazas