Entre 150 y 200 organizaciones se han visto afectadas por el ciberataque Sunburst

Recomendados:  Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar Ciberseguridad en el sector del transporte Leer Ciberseguridad avanzada para entornos de servicios públicos Leer

Sunburst ha afectado a cientos de grandes organizaciones en un sofisticado ciberataque del que todavía se continúa haciendo una valoración de daños. Este ciberataque de cadena de suministro ha pasado desapercibido durante meses, y, si bien se desconoce a ciencia cierta el origen de este malware, dada la sofisticación del mismo y los objetivos a los que se dirige, las sospechas recaen sobre organizaciones afines al gobierno ruso en un episodio más de ciberguerra. “Se trata de un ataque elaborado con paciencia y bien planificado”, explica la CISA, la Agencia Estadounidense de Ciberseguridad, que ha confirmado que, por el momento, el ciberataque ha sido neutralizado únicamente en organizaciones privadas.

Pero si bien las corporaciones privadas han logrado neutralizar el ataque, no sucede lo mismo en organizaciones gubernamentales, donde se trata de un incidente “en desarrollo”, como es el caso de la NSSA, la agencia dependiente del Departamento de Energía de EEUU que controla su stock de armas nucleares. Como es natural, la principal preocupación de este sofisticado ciberataque se centra en la información obtenida del almacenamiento de armamento nuclear.

Como ocurre con muchos ciberataques de tipo cadena de suministro, este malware ha resultado difícil de detectar porque ha aprovechado un elemento de terceros que es legítimo: en este caso, una actualización de software que ha sido troyanizada. Concretamente, la plataforma de gestión de redes corporativas Orion, de SolarWinds; los ciberatacantes han inoculado Sunburst en una presunta actualización que ha sido además firmada como autentica, y que ha contado con una distribución masiva en organizaciones de gran calado.

Compañías como Microsoft, Intel, Cisco o SAP se encuentran entre sus 18.000 descargas, según confirma la propia SolarWinds. Pero pese a ese numeroso volumen, al final se han visto afectadas entre 150 y 200 organizaciones, principalmente en Estados Unidos. Aunque su alcance no ha sido tan grande, su gravedad reside en su dificultad de detección y por tanto en el tiempo que ha pasado desapercibido constituyendo una herramienta para los ciberatacantes; en este sentido, se estima que Sunburst comenzó a actuar entre los meses de marzo y junio de 2020, y ha escalado en su ataque en, al menos, una ocasión.

El malware, una vez accede a las redes de las organizaciones permanece latente acumulando datos y registros de las mismas. Transcurridos entre 10 y 14 días, Sunburst envía datos a un servidor de control y comando remoto (C&C); en este punto, los ciberatacantes analizan dicha información y escalan el ataque únicamente sobre los objetivos que consideren.

El flanco más débil de los ataques a la cadena de suministro es que mantengan un enfoque de ciberseguridad ya obsoleto, que daría por buenos los elementos de software por el simple hecho de provenir de fuentes supuestamente legítimas. Por eso, ante ciberataques de este tipo, desde Cytomic recomiendan contar con enfoques de ciberseguridad que partan de una premisa de nula confianza en cualquier aplicación por defecto. Así ocurre con el servicio Zero-Trust Application que existe en todas las soluciones de Cytomic y deniega la ejecución de cualquier elemento de software, por legítimo que pueda parecer, sin antes haber sido verificado. Así es como se reducen las posibilidades de que un malware como Sunburst utilice a la cadena de suministro como su vector de ataque.