Atacantes aprovechan herramientas legítimas en ciberincidentes

Casi un tercio (30%) de los ciberataques investigados por el equipo de Kaspersky Global Emergency Response en 2019 involucró herramientas legítimas de control y administración a distancia. De esta forma, los atacantes pudieron permanecer, sin ser detectados, durante un período de tiempo más largo, espiando o realizando robo de datos confidenciales, con un promedio de duración de 122 días, según el reciente Informe de análisis de respuesta a incidentes de Kaspersky.

El software de monitoreo y administración ayuda a los administradores de TI y de redes a realizar sus tareas cotidianas, como son resolver problemas y brindar a los empleados asistencia técnica.

Sin embargo, los ciberdelincuentes también pueden aprovechar estas herramientas legítimas durante ciberataques. Una vez dentro de la infraestructura de una empresa, los cibercriminales utilizan este software para acceder y extraer información confidencial de manera sigilosa, evitando los controles de seguridad destinados a detectar malware.

En total, el análisis de datos anónimos de casos de respuesta a incidentes (IR, por sus siglas en inglés) mostró que 18 herramientas legítimas fueron utilizadas indebidamente para fines maliciosos. Entre estas, la más utilizada fue PowerShell, que apareció en el 25% de los casos y puede ser utilizada para muchos propósitos, desde recopilar información hasta la ejecución de malware. En segundo lugar aparece PsExec, una aplicación de consola diseñada para la ejecución de procesos en endpoints remotos, aprovechada en el 22% de los ataques. Le siguió SoftPerfect Network Scanner, cuya función es recuperar información sobre entornos de redes, utilizada en el 14% de incidentes.

La ejecución de ataques por medio de herramientas legitimas dificulta la detección de amenazas para las soluciones de seguridad, pues las acciones relacionadas pueden ser parte de una actividad cibercriminal planificada como de una tarea regular del administrador del sistema.

Por ejemplo, en el segmento de ataques que duró más de un mes, el tiempo promedio de los ciberincidentes fue de 122 días. Como no fueron detectados, los ciberdelincuentes pudieron recopilar, de manera sigilosa, datos confidenciales de las víctimas.

Sin embargo, los expertos de Kaspersky señalan que a veces las acciones maliciosas con software legítimo se descubren con bastante rapidez, como en los ataques de ransomware, donde los daños son percibidos inmediatamente. En estos casos, el tiempo medio de duración fue de un día.

Para detectar y reaccionar a estos ataques rápidamente, las organizaciones deben, entre otras medidas, implementar una solución de detección y respuesta (EDR) en endpoints con un servicio de gerenciamiento de detección y respuesta (MDR Managed Detection and Response).

Una evaluación de MITRE ATT&CK Round 2, que examina varias soluciones, incluidas Kaspersky EDR y el servicio Kaspersky Managed Protection, puede ayudar a los clientes a escoger soluciones EDR más adecuadas a las necesidades específicas de su empresa. Los resultados de la evaluación ATT&CK demuestran la importancia de adoptar una solución integral que combine un producto de seguridad de múltiples capas totalmente automatizado y un control manual de amenazas.

Artículos relacionados

Back to top button