Así se perpetran hoy los ciberataques a las empresas: cómo proteger mejor la seguridad de tu negocio

Esconder contenido malicioso en ficheros informáticos, tales como ISO y LNK, y establecer un objetivo que en realidad son muchos: la cadena de suministro de cualquier empresa. Estas son algunas de las principales técnicas de intrusión que están utilizando los grupos organizados de cibercriminales este año para penetrar en los sistemas de compañías e instituciones y, entre otros objetivos, robar información sensible o liberar ransomware para pedir posteriormente un rescate, por citar solo algunos. Así lo ha constatado el equipo de Threat Hunting de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic Security, la compañía gallega con sedes en Madrid y Santiago, integrada por más de un centenar de profesionales, y que se ha convertido en uno de los referentes en Europa en la prestación de servicios avanzados de ciberseguridad. No en vano, entre sus clientes figuran empresas del Ibex 35 y multinacionales tanto de España como de terceros países.

En las últimas semanas, el equipo de hunters (cazadores) de Tarlogic ha recapitulado en un informe los principales vectores de intrusión detectados este año. Una investigación que no es otra cosa que el resultado del trabajo diario de los profesionales, centrado en la caza de amenazas que podrían quebrar la seguridad de cualquier empresa. Una actividad que se lleva a cabo pensando y operando como un actor malicioso real, pero enfocando el objetivo final en la posibilidad de articular defensas para neutralizar los ataques.

Un solo dato ilustra su trabajo: los hunters de BlackArrow están monitorizando, cada mes, casi 5.000 movimientos sospechosos en cada uno de sus clientes, además de la, actividad maliciosa que la tecnología EDR ya es capaz de identificar por sí misma. Esto les sitúa a la vanguardia en materia de detección y contención de amenazas.

El estudio ha identificado tres grandes vías de intrusión para penetrar en los sistemas de las empresas y consumar los ciberataques.Técnicas que se han convertido en tendencia en lo que va de año: utilización de los archivos ISO, LNK y los ataques a la cadena de suministro con el objetivo de llegar a la empresa objetivo del ataque. Los profesionales de BlackArrow han constatado que grupos de cibercriminales tan conocidos como APT29, Carbanak, Cobalt Group, Dragonfly, FIN7, Nobelium o WizardSpider han recurrido a estas técnicas para llevar a cabo su sus ataques. He aquí algunas de las claves para tratar de confirmar si se ha sido objeto de un ataque por alguna de estas vías.

Archivos ISO

La primera de las técnicas observadas es el envío desde Google Drive de archivos ISO aparentemente legítimos que, en realidad, son el punto de partida de ciberataques dirigidos a la toma de control de los sistemas, lo cual es crítico si las capas defensivas de una empresa no son lo suficientemente maduras. Un archivo ISO, también conocido como imagen ISO, es un tipo de archivo que se utiliza a modo de contenedor de un sistema de ficheros. Este tipo de archivos ha sido tradicionalmente muy utilizado para guardar copias de CD, pero a partir de Windows 8, el sistema operativo tiene la capacidad nativa de montar tanto imágenes ISO como de disco duro virtual VHD.

O lo que es lo mismo. Cualquier PC que tenga instalada una versión de Windows 8 o superior podrá montar este archivo. Y he aquí la base esta técnica de intrusión, y por tanto del origen del problema. Un empleado cualquiera recibe en su correo electrónico un documento compartido desde Google Drive de un mail poco sospechoso. Ese documento es un archivo ISO que, al ser ejecutado, se monta automáticamente y desencadena otra serie de técnicas enfocadas a la ejecución de código malicioso para elevar privilegios, generar persistencias y saltar a otros equipos de la empresa a través del ordenador de ese empleado. Si lo consigue, los daños del ciberataque pueden llegar a ser críticos para la compañía vulnerada.

El Equipo de Threat Hunting de BlackArrow ha constatado que estos archivos ISO utilizados como técnica de intrusión inicial pesan relativamente poco, lo cual abre oportunidad de detección frente a archivos ISO legítimos, que generalmente ocupan un gran tamaño. Esta oportunidad de detección, por poner un ejemplo, requiere del análisis posterior de un equipo de Hunters. ¿Por qué? Principalmente, porque la tecnología EDR, por sí misma, no detectaría esta técnica como necesariamente maliciosa. Dicho de otro modo, los cibercriminales han detectado que los sistemas EDR (que combinan el antivirus tradicional con herramientas de monitorización e inteligencia artificial ante las amenazas más complejas) no resultarían completamente eficaces para determinar como maliciosa una actividad meramente sospechosa. ¿La regla que recomiendan desde el equipo de Threat Hunting? Rastrear la presencia de archivos ISO por debajo de cierto umbral de tamaño (por ejemplo, de menos de 200 MB) en los sistemas de la empresa y someterlos a un proceso de triaje y análisis posterior, mediante el cual un experto determine si de una actividad meramente sospechosa se puede confirmar como actividad claramente maliciosa.

Archivos LNK ( accesos directos)

Los archivos LNK son accesos directos o enlaces utilizados por Windows como referencia a un ejecutable original. Al igual que con la anterior técnica, los cibercriminales están recurriendo al uso de archivos LNK, en apariencia legítimos, que en realidad ejecutan código maliciosos, avanzando de este modo en la secuencia de intrusión. En este caso, la víctima (por ejemplo, el trabajador de la empresa) puede recibir el archivo LNK malicioso, bien por mail o bien desde un pen drive. De modo que, al abrir el enlace, se ejecutará, de forma inadvertida a la víctima, la actividad maliciosa diseñada por el atacante.

La regla que proponen en este caso desde BlackArrow es buscar en los equipos de trabajo y servidores de la empresa archivos LNK que ejecuten Shells (el software que permite a un usuario interactuar con el sistema operativo subyacente) y excluir aquellos que, tras un análisis por parte del equipo de expertos, se consideren legítimos.

Cadena de suministro

Este caso se trata de un vector de intrusión que ha ganado un creciente protagonismo en lo que va de año. A este, en concreto, se le denomina ataques a la cadena de suministro. Es decir, compromiso de proveedores como vía previa al compromiso de sus clientes (auténticos objetivos del ataque). El razonamiento en este caso es tan simple como la historia de la delincuencia: atacar al grande desde el eslabón más débil. En multitud de ocasiones los proveedores están menos preparados en materia de ciberseguridad, por lo que los cibercriminales encuentran ahí un camino mediante el cual avanzar hacia los sistemas de la gran compañía.

Casos como el de SolarWinds ha puesto de manifiesto la capacidad de comprometer la seguridad de multinacionales a través de sus proveedores. Si la amenaza es tan relevante para grandes empresas, imagínese para compañías con mucho menor tamaño y menor presupuesto para protegerse de las amenazas que orbitan en la Red. La regla en este caso es evidente. Es hora de asumir que la superficie de ataque a una empresa incluye, además, la superficie de ataque a muchos de sus proveedores. Este hecho debería tenerse presente a la hora de elaborar hipótesis de compromiso que faciliten la identificación de amenazas provenientes de dicho vector de entrada.

El equipo de Threat Hunting de BlackArrow recrea en un entorno virtual (laboratorio) todas estas y muchas más amenazas, con el fin de estudiar el funcionamiento de estos vectores de intrusión y su eficacia una vez que penetran en la empresa, y sobre todo identificar oportunidades de detección para las mismas. José Antonio Lancharro (director de BlackArrow) y José Miguel Gómez-Casero (manager del servicio de Threat Hunting de BlackArrow) concluyen que, a día de hoy, «ya no es fuciente con gestionar solo  las vulnerabilidades, sino que hay que hacerlo también con las amenazas». Ambos advierten de que las empresas deben invertir en servicios para entender a los atacantes y protegerse contra lo desconocido. Esto es, fortalecer las estructuras de ciberseguridad con mayor atención a cómo piensan los atacantes.

---

---

---