Los sistemas sin parchear son considerados el método de intrusión más sencillo

  • Endpoint

Muchos cibercriminales utilizan casi exclusivamente herramientas comunes de código fuente abierto que están disponibles en Internet y son sencillas de utilizar, y están al día de las últimas investigaciones y vulnerabilidades, aprovechando esa información para futuros ataques.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Brechas de seguridad, ¿hay opciones? Webinar 

Conocer al atacante. Ese es el propósito que ha llevado a Cisco Talos a entrevistar a un cibercriminal especializado en el ransomware de la familia LockBit, basado en Rusia y con el nombre ficticio de ‘Aleks’, el cual ha compartido información sobre su motivación, sus tácticas y diversos detalles sobre ciberataques.

En base a las entrevistas, Talos ha establecido un perfil de atacante que actúa solo, sin el apoyo de un grupo grande o país, que emplea tácticas bien conocidas, recurriendo en gran medida a herramientas comunes como Mimikatz, PowerShell y Masscan, en lugar de utilizar vulnerabilidades de día cero o métodos más sofisticados, y que busca objetivos con fallos de seguridad bien conocidos que puedan explotarse fácilmente. Como muchos delincuentes, afirma que sólo persigue ganancias económicas modestas para mantener a su familia.

La mayor facilidad de pago por parte de las compañías europeas víctimas de ransomware, debido al temor a las multas del RGDP si se filtran sus datos; la gran vulnerabilidad de hospitales y escuelas; o las comisiones exigidas por grupos de ramsomware por usar sus herramientas e información sobre objetivos, son algunos datos obtenidos con esas entrevistas.

Una las conclusiones clave es que los ciberdelincuentes siguen viendo los sistemas sin parchear como el método más sencillo de intrusión. Los ‘malos’ saben que la aplicación rutinaria de parches puede resultar compleja, especialmente para las grandes compañías. Las vulnerabilidades más aprovechadas son las más conocidas, con código de explotación disponible públicamente.

Asimismo, muchos cibercriminales utilizan casi exclusivamente herramientas comunes de código fuente abierto que están disponibles en Internet; reutilizar herramientas es una forma rápida y eficaz de llevar a cabo sus operaciones. También son ávidos consumidores de noticias sobre seguridad, y están al día de las últimas investigaciones y vulnerabilidades, aprovechando esa información para futuros ataques.

Instituciones educativas, proveedores de atención sanitaria y entidades que colaboran en la respuesta frente a COVID-19 siguen siendo objetivos prioritarios del ransomware, debido principalmente a la falta de personal defensor especializado, limitación de presupuesto y menor oportunidad de actualización al disponer de menos tiempo de inactividad.

Basándose en las conversaciones con Aleks y en otras investigaciones, Cisco Talos considera que el ransomware y sus operaciones seguirán extendiéndose, ya que basta con tener ciertos conocimientos técnicos para cometer este ciber-delito. El grupo LockBit intentará sacar provecho de la reciente y supuesta retirada de Maze. Y la proliferación del trabajo remoto y de la educación a distancia facilitarán sus operaciones al ampliar potencialmente la superficie de ataque.