Cómo funcionan los ciberataques: lectura oscura



Los ciberataques se ejecutan como ataques militares, en cuatro fases principales: reconocimiento, ataque, exfiltración y mantenimiento de la posición. Comprender esto hace que contraatacar sea más fácil.

El verano de 2020 fue diferente a cualquier otro. COVID-19 dejó una marca mientras las personas permanecían en casa, aisladas de sus colegas y un paso (o pasos) más lejos de sus sistemas de trabajo y protecciones. Como tal, los ciberataques aumentaron y no siempre fue agradable.

Piense en julio cuando Gorjeo fue hackeado. Las cuentas de varias figuras de alto perfil, incluidos Barack Obama y Elon Musk, se convirtieron involuntariamente en partes de una estafa de Bitcoin.

Poco más de una semana después, Garmin fue golpeado por un ataque de ransomware WastedLocker que derribó muchos de sus sistemas. Aunque la compañía afirma que los datos del usuario no se vieron comprometidos, incluso la perspectiva de que un ciberdelincuente pudiera obtener acceso a los datos de ubicación y los hábitos de un usuario era inquietante. Según los informes, el ataque también le costó a la compañía $ 10 millones en su decisión de pagar el rescate.

El mismo día, la Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también emitió una alerta con sus recomendaciones de «acciones inmediatas para reducir la exposición a través de tecnologías operativas y sistemas de management» en un intento por proteger los sistemas críticos de ataques que podrían causar problemas graves a millones de estadounidenses.

Los ciberataques han aumentado en número y complejidad durante los últimos años, pero dada la prevalencia de eventos y las señales de que podrían estar en el horizonte ataques mayores, es un buen momento para examinar qué implica un ciberataque.

Definición de una infracción
Las infracciones pueden ocurrir cuando un mal actor hackea una pink corporativa para robar datos privados (piense Sony Shots y la publicación de correos electrónicos embarazosos). También ocurren cuando la información se extrae de la infraestructura basada en la nube.

Mucha gente piensa que las violaciones de seguridad solo le ocurren a corporaciones importantes, pero Verizon encontró que el 43% de las infracciones afectan a las pequeñas empresas. De hecho, esta fue la cohorte más grande medida. Y el daño que experimentan estas empresas es appreciable: el 60% deja de funcionar dentro de los seis meses posteriores a un ataque.

Las pequeñas empresas son objetivos atractivos porque su seguridad no suele ser tan avanzada como la que se encuentra en las grandes empresas. Los sistemas pueden estar desactualizados y los errores a menudo no se reparan durante períodos prolongados. Las PYMES también tienden a tener menos recursos disponibles para administrar un ataque, lo que limita su capacidad para detectar, responder y recuperarse. Además, las pequeñas empresas pueden servir como campo de prueba para que los piratas informáticos prueben sus métodos nefastos antes de lanzar un ataque contra otro pez más grande.

Entender un ataque
La mejor forma de que cualquier empresa se proteja de un ataque es saber cómo funciona. En términos generales, los ciberataques son análogos a los ataques militares de la vida serious. Hay cuatro fases principales: reconocimiento, ataque, exfiltración y mantenimiento de la posición.

Analicemos cada fase:

Paso 1: reconocimiento
En esta fase, el atacante busca opciones para un ataque que maximicen las posibilidades de lograr sus objetivos, ya sea robar datos o secretos comerciales, causar interrupciones del servicio o desviar fondos. El atacante implementa una serie de técnicas para averiguar qué tipo de defensas tiene una organización y qué tan bien se mantienen. Por ejemplo, ¿existe una gran brecha entre el momento en que se emite una actualización o parche y el momento en que se instala?

Los malos actores quieren obtener toda la información que puedan sobre la red y sus hábitos de usuario. Adoptan las herramientas y los trucos que se desarrollaron para ayudar a las organizaciones a armarse contra un ataque, dándoles la vuelta para ayudar a ejecutar un ataque. Éstas incluyen:

  • Shodan: Considerado como «el primer motor de búsqueda del mundo para dispositivos conectados a World-wide-web», los atacantes pueden utilizar esta herramienta para aprender sobre el software package de servidor de una organización.
  • theHarvester: Se aplica para «recopilar correos electrónicos, subdominios, hosts, nombres de empleados, puertos abiertos y pancartas de diferentes fuentes públicas como motores de búsqueda, servidores de claves PGP y bases de datos de computadoras SHODAN» en Kali Linux. Si bien fue diseñado para ayudar a los probadores de penetración, puede ser una excelente fuente de información para los piratas informáticos.
  • Recon-ng: Ayuda a identificar hosts, bases de datos y más. Al igual que theHarvester, es una herramienta automatizada creada para probadores de lápiz, y tiene el potencial de ser explotada con fines maliciosos.
  • Google Dorks: Utilizado por piratas informáticos para encontrar credenciales que brinden acceso directo a los sistemas. Realizan búsquedas avanzadas en Google utilizando cadenas como «-intitle:» índice de «api_essential O» api critical «O apiKey

Los piratas informáticos también utilizan herramientas como OpenVAS, Netsparker, y Nessus para buscar vulnerabilidades.

Paso 2: ataque
Usando lo que aprendieron en la fase de reconocimiento, los malos actores implementan lo que determinaron que es la estrategia más eficiente. Pero hay elementos comunes de los ataques. Primero, un atacante debe infiltrarse en el sistema. Por lo standard, lo hacen obteniendo credenciales a través del spear-phishing, elevando sus privilegios y entregando malware para cubrir sus rastros.

Una vez hecho esto, el atacante puede moverse libremente por la pink sin ser detectado, a menudo durante meses, esperando y observando algo de valor. Dicha maniobra podría significar enumerar los servicios web de Amazon o buscar más áreas de destino, además de examinar las fuentes de datos.

Paso 3: exfiltración
El siguiente paso es la exfiltración, cuando ocurre el robo serious. Para lograr la exfiltración con el menor riesgo de detección, los datos deben comprimirse para que se puedan eliminar rápidamente sin llamar demasiado la atención. Con la limitación del ancho de banda, los datos se pueden extraer sin activar alarmas. Los datos robados se envían a un servidor controlado por piratas informáticos o una fuente de datos basada en la nube.

Paso 4: mantener la posición
Una vez que se ejecuta el ataque y se eliminan los datos, los atacantes deben asegurarse de que la organización a la que están atacando no vuelva a crear una imagen de sus sistemas. De lo contrario, el ataque no podrá causar el máximo caos. Como tal, es probable que los delincuentes instalen malware en varias máquinas para que tengan las llaves del reino y puedan volver a la purple cuando lo deseen.

En guardia
Con una comprensión de los conceptos básicos de los ciberataques, las organizaciones pueden defender mejor su posición. Pueden priorizar cosas como la higiene del sistema para que los puntos finales permanezcan actualizados y protegidos. También pueden realizar pruebas de penetración en un horario frequent para que una purple de probadores calificados impulse los sistemas y aplicaciones para identificar posibles puntos para explotar. Una vez que se encuentran estos puntos, las empresas pueden tomar medidas rápidas para remediarlos.

La administración y las pruebas continuas del sistema son solo dos formas en que las empresas pueden mantenerse a la vanguardia, encontrando configuraciones incorrectas y vulnerabilidades antes de un ataque. En el entorno true, la vigilancia es clave, una dosis saludable de paranoia es sabia y es necesaria una acción preventiva.

Ray Espinoza es el Jefe de Seguridad de Cobalt.io, impulsando la seguridad operativa y las iniciativas de riesgo para fortalecer la postura de seguridad de la empresa y optimizar los servicios de seguridad para los clientes. Antes de Cobalt.io, Ray formó parte de los equipos de seguridad de la información en … Ver biografía completa

Más información





Enlace a la noticia first