Los ataques que aprovechan el software legítimo presentan un desafío para las organizaciones
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Cuando se habla de grupos de ransomware, con demasiada frecuencia la atención se centra en sus nombres, como LockBit, BlackCat o Vice Society, en lugar de las tácticas, técnicas y procedimientos utilizados en un ataque antes de que se implemente el ransomware. Por ejemplo, el uso particularmente intenso de herramientas de software legítimas en cadenas de ataques de ransomware ha sido notable en los últimos tiempos. De hecho, rara vez vemos un ataque de ransomware que no utilice software legítimo.
Los ataques de ransomware siguen siendo un importante problema de ciberseguridad. Las pandillas de ransomware, como los delincuentes en general, hacen un mal uso del software legítimo por varias razones. El primero es por sigilo: intentan entrar y salir de las redes lo más rápido posible sin ser descubiertos. Aprovechar el software legítimo puede hacer que la actividad de los atacantes permanezca oculta, lo que puede permitirles lograr sus objetivos en la red de una víctima sin ser descubiertos. El uso indebido de software legítimo también puede dificultar la atribución de un ataque, y estas herramientas también pueden reducir las barreras de entrada. Esto significa que los ciberdelincuentes menos calificados aún pueden realizar ataques disruptivos y de gran alcance.
Las herramientas legítimas que más comúnmente vemos que son utilizadas por cibercriminales son las herramientas de administración y monitoreo remoto, como AnyDesk, TeamViewer, ConnectWise, entre otras. Estas herramientas suelen ser utilizadas legítimamente por los departamentos de sistemas en organizaciones pequeñas, medianas y grandes.
Rclone, una herramienta legítima para administrar contenido en la nube, también se ha utilizado en diferentes ataques. En estos casos, los atacantes usan Rclone para exfiltrar archivos evadiendo el software de seguridad.
AdFind, una herramienta de consulta de línea de comandos — legítima y gratuita — que se puede usar para recopilar información de Active Directory, también es usada con frecuencia por los atacantes de ransomware para mapear redes. PDQ Deploy, otra herramienta que usan los administradores de sistemas para aplicar parches, también suele ser usada por los atacantes para colocar scripts en las redes de las víctimas.
Además, varios grupos patrocinados por Estados-nación han utilizado infraestructura de nube legítima como Google Drive, Dropbox, OneDrive y otros para sus propias infraestructuras de comando y control y así poder exfiltrar y almacenar datos robados.
Los ataques que aprovechan el software y la infraestructura legítimos presentan un desafío particular tanto para los defensores como para las organizaciones. Y este problema no va a desaparecer. Con cada nueva tecnología, los criminales encontrarán una manera de usarla para sus propios fines. Por ejemplo, hace algunos años, la nube no era necesariamente una necesidad importante en muchas organizaciones. Ahora, obviamente, a medida que más datos se mueven a la nube, la infraestructura en sí misma se usa con fines maliciosos y las herramientas legítimas para usar en la nube, como Rclone, están siendo mal utilizadas por los atacantes.
¿Qué podemos hacer? Algunas recomendaciones para reducir el riesgo de uso indebido de software legítimo son:
Mejore la visibilidad: el antiguo enfoque de simplemente detectar, bloquear y eliminar archivos maliciosos ya no es suficiente para proteger su organización en un panorama de amenazas cibernéticas donde los criminales utilizan cada vez más herramientas legítimas. Las organizaciones necesitan tener una visión completa de su red: necesitan saber qué software está instalado en sus redes.
Implementar privilegios mínimos: los permisos deben mantenerse a un nivel mínimo, sin afectar la experiencia del usuario, de modo que si un atacante obtiene acceso a una máquina o cuenta, no significa necesariamente que pueda propagarse ampliamente por la red, o que pueda tener acceso a todo lo que está en la computadora o en la red.
Vaya más allá de la detección de malware: dado que los delincuentes a menudo aprovechan software legítimo, es importante que las organizaciones utilicen una solución de seguridad que pueda detectar y analizar comportamientos sospechosos y detenerlos. La vigilancia dentro de una organización también es clave. Debe crear una cultura de seguridad en su organización para que todos estén atentos a cualquier tipo de comportamiento sospechoso que pueda ocurrir.
Para más información, visite: https://www.silikn.com/
Cuando se habla de grupos de ransomware, con demasiada frecuencia la atención se centra en sus nombres, como LockBit, BlackCat o Vice Society, en lugar de las tácticas, técnicas y procedimientos utilizados en un ataque antes de que se implemente el ransomware. Por ejemplo, el uso particularmente intenso de herramientas de software legítimas en cadenas de ataques de ransomware ha sido notable en los últimos tiempos. De hecho, rara vez vemos un ataque de ransomware que no utilice software legítimo.
Los ataques de ransomware siguen siendo un importante problema de ciberseguridad. Las pandillas de ransomware, como los delincuentes en general, hacen un mal uso del software legítimo por varias razones. El primero es por sigilo: intentan entrar y salir de las redes lo más rápido posible sin ser descubiertos. Aprovechar el software legítimo puede hacer que la actividad de los atacantes permanezca oculta, lo que puede permitirles lograr sus objetivos en la red de una víctima sin ser descubiertos. El uso indebido de software legítimo también puede dificultar la atribución de un ataque, y estas herramientas también pueden reducir las barreras de entrada. Esto significa que los ciberdelincuentes menos calificados aún pueden realizar ataques disruptivos y de gran alcance.
Las herramientas legítimas que más comúnmente vemos que son utilizadas por cibercriminales son las herramientas de administración y monitoreo remoto, como AnyDesk, TeamViewer, ConnectWise, entre otras. Estas herramientas suelen ser utilizadas legítimamente por los departamentos de sistemas en organizaciones pequeñas, medianas y grandes.
Rclone, una herramienta legítima para administrar contenido en la nube, también se ha utilizado en diferentes ataques. En estos casos, los atacantes usan Rclone para exfiltrar archivos evadiendo el software de seguridad.
AdFind, una herramienta de consulta de línea de comandos — legítima y gratuita — que se puede usar para recopilar información de Active Directory, también es usada con frecuencia por los atacantes de ransomware para mapear redes. PDQ Deploy, otra herramienta que usan los administradores de sistemas para aplicar parches, también suele ser usada por los atacantes para colocar scripts en las redes de las víctimas.
Además, varios grupos patrocinados por Estados-nación han utilizado infraestructura de nube legítima como Google Drive, Dropbox, OneDrive y otros para sus propias infraestructuras de comando y control y así poder exfiltrar y almacenar datos robados.
Los ataques que aprovechan el software y la infraestructura legítimos presentan un desafío particular tanto para los defensores como para las organizaciones. Y este problema no va a desaparecer. Con cada nueva tecnología, los criminales encontrarán una manera de usarla para sus propios fines. Por ejemplo, hace algunos años, la nube no era necesariamente una necesidad importante en muchas organizaciones. Ahora, obviamente, a medida que más datos se mueven a la nube, la infraestructura en sí misma se usa con fines maliciosos y las herramientas legítimas para usar en la nube, como Rclone, están siendo mal utilizadas por los atacantes.
¿Qué podemos hacer? Algunas recomendaciones para reducir el riesgo de uso indebido de software legítimo son:
Mejore la visibilidad: el antiguo enfoque de simplemente detectar, bloquear y eliminar archivos maliciosos ya no es suficiente para proteger su organización en un panorama de amenazas cibernéticas donde los criminales utilizan cada vez más herramientas legítimas. Las organizaciones necesitan tener una visión completa de su red: necesitan saber qué software está instalado en sus redes.
Implementar privilegios mínimos: los permisos deben mantenerse a un nivel mínimo, sin afectar la experiencia del usuario, de modo que si un atacante obtiene acceso a una máquina o cuenta, no significa necesariamente que pueda propagarse ampliamente por la red, o que pueda tener acceso a todo lo que está en la computadora o en la red.
Vaya más allá de la detección de malware: dado que los delincuentes a menudo aprovechan software legítimo, es importante que las organizaciones utilicen una solución de seguridad que pueda detectar y analizar comportamientos sospechosos y detenerlos. La vigilancia dentro de una organización también es clave. Debe crear una cultura de seguridad en su organización para que todos estén atentos a cualquier tipo de comportamiento sospechoso que pueda ocurrir.
Para más información, visite: https://www.silikn.com/