Living off the Land, un método de ataque cada vez más frecuente
- Endpoint
Los ataques LotL no necesitan desarrollar archivos maliciosos desde cero, sino que aprovechan las puertas de entrada que ya existen en los sistemas de las organizaciones, introduciendo en ellos códigos maliciosos. Con esta táctica son capaces de eludir los sistemas de protección tradicional.
Los ataques Petya/NotPetya y los lanzados por Carbanak comparten un factor común: su intrusión no se produjo mediante la instalación de malware, sino que llegó a través de programas aparentemente seguros. Se trata de una táctica que se conoce Living off the Land (LotL), en la que los atacantes deciden optar por entrar en los sistemas de las organizaciones a través de programas confiables que no vayan a despertar ninguna sospecha e introduciendo en ellos códigos maliciosos.
Con esta táctica consiguen varias cosas. Para empezar, son capaces de eludir los sistemas de protección tradicional, que no levantarán sus sospechas ante un software aparentemente seguro. Además, este tipo de intrusión permite que los ciberdelincuentes puedan incluso pasar varios meses dentro del sistema sin activar ningún tipo de alarma. También consiguen que la identificación de su procedencia sea mucho más compleja que cuando se usan determinados archivos.
Los ciberataques Living off the Land, por tanto, son idóneos para muchos ciberdelincuentes: entran a través de puertas seguras, no despiertan sospechas, complican su identificación y ni siquiera han tenido que crear un archivo malicioso desde cero. Por todo ello, pueden suponer graves consecuencias para las instituciones que los sufran, que deben poner todo de su parte para evitar que entren en acción. Para ello Cytomic recalca que es preciso que diseñen un protocolo integral y no dejar margen posible a la maniobra.
Para empezar, deben revisar hasta qué punto recurren a lenguajes de scripting como Powershell, y deberán evitarlos. En caso de tener que recurrir a ellos, será esencial reforzar las alertas, ya que los ataques LotL suelen pasar desapercibidos para muchas soluciones de ciberseguridad. Para ello será clave ejercer un acto de monitorización y seguimiento del sistema informático, atendiendo a todos los procesos que esté albergando. De este modo se podrán encontrar acciones sospechosas, detectar comportamientos anómalos y ponerles remedio antes de que el peligro llegue a manifestarse.
Cytomic recomienda asimismo a las empresas contar con equipos de Threat Hunting que, liberados de los procesos menores que recaen en los automatismos, puedan centrarse en las mayores amenazas para completar las labores de cibervigilancia. En este sentido, por tanto, la tecnología se ocupará de las posibles alertas menores o rutinarias, mientras que los profesionales atenderán a las situaciones más delicadas.
