Saltar al contenido

Comprender los ataques de vivir de la tierra y cómo detenerlos

En los últimos años, la inversión incremental masiva que las empresas y otras organizaciones han realizado para aumentar las defensas cibernéticas ha dado sus frutos y ha detenido muchos tipos de ataques. Pero esta danza entre ciberataques y ciberseguridad está en continua evolución. Como tal, los ciberdelincuentes trabajan día y noche para hacer avanzar sus herramientas y su agresión, a veces recurriendo a tácticas ancestrales para disfrazar sus esquemas.

Los propietarios de negocios, los equipos de TI y los profesionales de la seguridad deben permanecer atentos para comprender cómo cambian las amenazas y mantenerse un paso por delante para evitar una infracción. Hay un dicho de uso frecuente que dice que “todas las cosas viejas son nuevas de nuevo”, y los ciberataques no son una excepción. Vivir de los ataques terrestres, también conocidos como ataques LotL, existen desde hace más de 25 años. Sin embargo, han resurgido como una tendencia en el panorama de la ciberseguridad.

Reconociendo los ataques de LotL

Los ataques LoTL son ataques de malware prácticamente sin vida. Son difíciles de detectar y pueden describirse como códigos o herramientas maliciosos que obtienen acceso y utilizan herramientas nativas del sistema como parte del estado operativo normal del sistema. Los ataques de LotL a menudo ocurren en tres etapas:

  • Un usuario visita accidentalmente un sitio web comprometido, abre un correo electrónico de phishing o utiliza un dispositivo de datos externo infectado, como una unidad USB. Alternativamente, un pirata informático puede escanear una red en busca de un dispositivo vulnerable utilizando una puerta trasera o un rootkit para obtener acceso.
  • El kit de ataque establece un punto de apoyo en el sistema. Luego busca implementarse, a menudo escondido en o entre herramientas de administrador del sistema como PowerShell, scripts VB, Instrumental de administración de Windows (WMI), Mimikatz y PsExec.
  • Con el sistema comprometido y las herramientas de ataque bien ocultas, el pirata informático ahora puede acceder de forma remota al sistema, robar datos, interrumpir operaciones o investigar diferentes métodos para comprometer.

Hechos de LotL Attacks

Los piratas informáticos han descubierto que si las herramientas de defensa cibernética de una organización son demasiado útiles para eludirlas, otra estrategia de ataque implica el uso de sistemas operativos vulnerables y herramientas de administrador de sistemas para atacar sutilmente los dispositivos desde un ángulo diferente. Al evitar la detección en un aparente ataque frontal, el pirata informático utiliza tácticas de LotL para introducirse en el sistema, ocultar y explotar el diseño junto con sus recursos y datos a lo largo del tiempo.

A SecurityBoulevard.com el artículo apunta a la creciente sofisticación del malware; explica que los ciberdelincuentes “apuntan a herramientas preinstaladas (como PowerShell) no solo para dificultar su detección, sino también para permitirles propagarse de manera más sigilosa y causar más estragos”.

Para comprender los ataques de LotL, puede observar algunos ataques de alto perfil:

  • Visto por primera vez en 2016, Grupo de silencio es un ejemplo de un mal actor motivado financieramente que usa ataques LotL para atacar instituciones financieras en Rusia, Ucrania, Polonia y otros países vecinos. En particular, este grupo penetró con éxito en los sistemas del Banco Central de Rusia, los cajeros automáticos y las capacidades de procesamiento de tarjetas.
  • En 2018, las organizaciones de Ucrania se vieron afectadas NotPetya ransomware, que aprovechó los ataques de LotL. El ransomware usó un ataque a la cadena de suministro de software como su punto de infección inicial, luego usó LSADump y Mikikatz para robar las credenciales de la cuenta para copiar la amenaza a otras computadoras en la red.

Construyendo su defensa

Una nueva generación software anti-malware basado en la nube El paquete, junto con la detección y respuesta conductual de endpoints (EDR), es actualmente la defensa más avanzada contra ataques de malware y no malware.

Los ataques que no son de malware como los ataques LotL, aunque son difíciles de detectar, son defendibles con lo siguiente:

  • Los profesionales de TI pueden utilizar la lista blanca de aplicaciones para bloquear a los atacantes impidiendo que se ejecuten los procesos de ejecución.
  • Las herramientas del sistema pueden proporcionar alertas para la investigación humana más allá de las ventanas de mantenimiento planificadas del sistema.

Mitigación de amenazas de LotL

Si bien muchas empresas y otras organizaciones han avanzado mucho para defenderse del malware, los ciberdelincuentes continúan aprendiendo y adaptándose, utilizando nuevos vectores y resurgiendo ataques que han funcionado en el pasado.

Los ataques que viven de la tierra son especialmente perniciosos, ya que se esconden entre otras aplicaciones y utilidades legítimas. Si bien son difíciles de detectar, pueden mitigarse mediante la inclusión en la lista blanca y el aprovechamiento de las capacidades de ejecución del SO y las herramientas del administrador del sistema. Además, el uso cuidadoso de alertas e inspecciones puede ayudar a detectar ataques de LotL.