3 infracciones de ciberseguridad pasadas por alto

Estas son tres de las peores infracciones, tácticas y técnicas de atacantes de 2022, y los controles de seguridad que pueden proporcionarles una protección de seguridad empresarial eficaz.

#1: 2 ataques RaaS en 13 meses

El ransomware como servicio es un tipo de ataque en el que el software y la infraestructura del ransomware se alquilan a los atacantes. Estos servicios de ransomware se pueden comprar en la web oscura de otros actores de amenazas y bandas de ransomware. Los planes de compra comunes incluyen comprar la herramienta completa, usar la infraestructura existente pagando por infección o permitir que otros atacantes realicen el servicio mientras comparten los ingresos con ellos.

En este ataque, el actor de amenazas consiste en uno de los grupos de ransomware más frecuentes, que se especializa en el acceso a través de terceros, mientras que la empresa objetivo es un minorista de tamaño mediano con docenas de sitios en los Estados Unidos.

Los actores de amenazas utilizaron ransomware como un servicio para violar la red de la víctima. Pudieron explotar las credenciales de terceros para obtener acceso inicial, progresar lateralmente y rescatar a la empresa, todo en cuestión de minutos.

La rapidez de este ataque fue inusual. En la mayoría de los casos de RaaS, los atacantes suelen permanecer en las redes durante semanas y meses antes de exigir el rescate. Lo que es particularmente interesante de este ataque es que la empresa fue rescatada en minutos, sin necesidad de descubrimiento ni semanas de movimiento lateral.

Una investigación de registros reveló que los atacantes se dirigieron a servidores que no existían en este sistema. Resulta que la víctima fue violada inicialmente y rescatada 13 meses antes de este segundo ataque de ransomware. Posteriormente, el primer grupo de atacantes monetizó el primer ataque no solo a través del rescate que obtuvo, sino también vendiendo la información de la red de la empresa al segundo grupo de ransomware.

En los 13 meses entre los dos ataques, la víctima cambió su red y eliminó servidores, pero los nuevos atacantes no estaban al tanto de estas modificaciones arquitectónicas. Los scripts que desarrollaron fueron diseñados para el mapa de red anterior. Esto también explica cómo pudieron atacar tan rápido: tenían mucha información sobre la red. La lección principal aquí es que los ataques de ransomware pueden ser repetidos por diferentes grupos, especialmente si la víctima paga bien.

“Los ataques RaaS como este son un buen ejemplo de cómo la visibilidad total permite alertas tempranas. Un sistema global, convergente y plataforma SASE nativa de la nube que admite todos los perímetros, como Cato Networks, proporciona una visibilidad completa de la red en los eventos de la red que son invisibles para otros proveedores o que pueden pasar desapercibidos como eventos benignos. Y, ser capaz de contextualizar completamente los eventos permite la detección temprana y la remediación.

#2: El ataque a la infraestructura crítica en las redes de alerta de radiación

Los ataques a la infraestructura crítica son cada vez más comunes y peligrosos. Las fallas en las plantas de suministro de agua, los sistemas de alcantarillado y otras infraestructuras similares podrían poner a millones de residentes en riesgo de sufrir una crisis humana. Estas infraestructuras también son cada vez más vulnerables, y las herramientas de gestión de la superficie de ataque para OSINT, como Shodan y Censys, permiten a los equipos de seguridad encontrar dichas vulnerabilidades con facilidad.

En 2021, se sospechaba que dos piratas informáticos tenían como objetivo las redes de alerta de radiación. Su ataque se basó en dos personas con información privilegiada que trabajaban para un tercero. Estos expertos deshabilitaron los sistemas de alerta de radiación, lo que debilitó significativamente su capacidad para monitorear los ataques de radiación. Luego, los atacantes pudieron eliminar el software crítico y deshabilitar los indicadores de radiación (que son parte de la infraestructura misma).

“Desafortunadamente, buscar sistemas vulnerables en infraestructura crítica es más fácil que nunca. Si bien muchas de estas organizaciones tienen múltiples capas de seguridad, todavía utilizan soluciones puntuales para tratar de defender su infraestructura en lugar de un sistema que pueda analizar de manera integral el ciclo de vida completo del ataque. Las infracciones nunca son solo un problema de phishing, un problema de credenciales o un problema de sistema vulnerable: siempre son una combinación de múltiples compromisos realizados por el actor de amenazas “, dijo Etay Maor, director sénior de estrategia de seguridad en Cato Networks.

#3: El ataque de ransomware de tres pasos que comenzó con phishing

El tercer ataque también es un ataque de ransomware. Esta vez, constaba de tres pasos:

1. Infiltración – El atacante pudo acceder a la red a través de un ataque de phishing. La víctima hizo clic en un enlace que generó una conexión a un sitio externo, lo que resultó en la descarga de la carga útil.

2. Actividad de la red – En la segunda fase, el atacante progresó lateralmente en la red durante dos semanas. Durante este tiempo, recopiló contraseñas de administrador y usó malware sin archivos en memoria. Luego, en la víspera de Año Nuevo, realizó el cifrado. Se eligió esta fecha porque se asumió (con razón) que el equipo de seguridad estaría de vacaciones.

3. Exfiltración – Finalmente, los atacantes cargaron los datos fuera de la red.

Además de estos tres pasos principales, se emplearon técnicas secundarias adicionales durante el ataque y las soluciones de seguridad de punto de la víctima no pudieron bloquear este ataque.

“Un enfoque de múltiples cuellos de botella, uno que mira horizontalmente (por así decirlo) al ataque en lugar de como un conjunto de problemas verticales e inconexos, es la forma de mejorar la detección, mitigación y prevención de tales amenazas. Contrariamente a la creencia popular, el el atacante debe tener razón muchas veces y los defensores solo necesitan tener razón una sola vez. Las tecnologías subyacentes para implementar un enfoque de cuello de botella múltiple son la visibilidad completa de la red a través de una red troncal nativa de la nube y una pila de seguridad de un solo paso que es basado en ZTNA”, dijo Etay Maor, director sénior de estrategia de seguridad en Cato Networks.

¿Cómo se comparan las soluciones de punto de seguridad?

Es común que los profesionales de la seguridad sucumban a la “falacia del punto único de falla”. Sin embargo, los ataques cibernéticos son eventos sofisticados que rara vez involucran una sola táctica o técnica que sea la causa de la violación. Por lo tanto, se requiere una perspectiva integral para mitigar con éxito los ataques cibernéticos. Las soluciones de punto de seguridad son una solución para puntos únicos de falla. Estas herramientas pueden identificar riesgos, pero no conectarán los puntos, lo que podría y ha llevado a una brecha.

Esto es lo que hay que tener en cuenta en los próximos meses

Según la investigación de seguridad en curso realizada por el equipo de seguridad de Cato Networks, han identificado dos vulnerabilidades adicionales e intentos de explotación que recomiendan incluir en sus próximos planes de seguridad:

1. Log4j

Mientras Log4j hizo su debut en diciembre de 2021, el ruido que está haciendo no se ha calmado. Los atacantes todavía utilizan Log4j para explotar los sistemas, ya que no todas las organizaciones han podido parchear sus vulnerabilidades de Log4j o detectar ataques de Log4j, en lo que se conoce como “parcheo virtual”. Recomiendan priorizar la mitigación de Log4j.

2. Cortafuegos y VPN mal configurados

Las soluciones de seguridad como los cortafuegos y las VPN se han convertido en puntos de acceso para los atacantes. Parcharlos se ha vuelto cada vez más difícil, especialmente en la era de la arquitectura en la nube y el trabajo remoto. Se recomienda prestar mucha atención a estos componentes ya que son cada vez más vulnerables.

Cómo minimizar su superficie de ataque y ganar visibilidad en la red

Para reducir la superficie de ataque, los profesionales de la seguridad necesitan visibilidad de sus redes. La visibilidad se basa en tres pilares:

• Información procesable: que se puede utilizar para mitigar los ataques.
• Información confiable – que minimiza el número de falsos positivos
• Información oportuna: para garantizar que la mitigación ocurra antes de que el ataque tenga un impacto.

Una vez que una organización tiene una visibilidad completa de la actividad en su red, puede contextualizar los datos, decidir si la actividad presenciada debe permitirse, denegarse, monitorearse, restringirse (o cualquier otra acción) y luego tener la capacidad de hacer cumplir esta decisión. Todos estos elementos deben aplicarse a cada entidad, ya sea un usuario, dispositivo, aplicación en la nube, etc. Todo el tiempo en todas partes. De eso se trata SASE.