¿Qué hace diferente a un ataque dirigido?
- Reportajes
Hace tiempo que los expertos de seguridad diferencian entre las empresas que han sido atacadas y lo saben, las que han sido atacadas y no lo saben y las que van a ser atacadas. De forma que sí o sí, habrá que asumir un ciberataque, que podrá ser dirigido o no.
Para algunos saber esto último no tendrá mucha importancia, pero poder identificar si es un ataque dirigido u oportunista es útil a la hora de responder a un incidente de seguridad
También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits |
Lo normal de un ataque dirigido es que detrás haya una planificación más o menos inteligente; se produce cuando un ciberdelincuente selecciona un objetivo específico y busca conseguir un resultado específico también. Por el contrario, un ataque oportunista se aprovecha de un objetivo vulnerable que no había sido previamente identificado con el atacante.
¿Qué hace diferente, y más peligroso, al ataque dirigido? Una de las razones principales es que cuando los atacantes están dispuestos a dedicar más esfuerzos y recursos para entender a su objetivo, lanzarán ataque más sofisticados y difíciles de detectar. Por ejemplo, un correo electrónico de phishing puede contener un archivo adjunto malicioso que el destinatario ejecuta involuntariamente, provocando la instalación de un Remote Administration Toolkit (RAT) que proporciona acceso remoto al atacante además de un punto desde el que apuntar hacia otros objetivos internos.
La segunda razón es que es más que probable que el atacante tenga claro que la recompensa es alta, ya sea financiera, secretos nacionales o propiedad intelectual que le generarán un gran beneficio.
¿Se puede saber si un ataque es dirigido? Cuando un ataque se detecta es habitual que analice mediante lo que se conoce como técnicas forenses que determinan la intención del atacante, su nivel de habilidad y su conocimiento sobre el objetivo. Analizar la red y los registros de detección de intrusiones pueden determinar si un atacante se ha centrado en una sola máquina, lo que implicaría que ya está familiarizados con la red y que hay algo en esa máquina de particular interés. También se puede calcular la duración de un ataque teniendo en cuenta el tiempo que le llevó el atacante localizar la información deseada. Una corta duración puede indicar que el intruso sabía dónde se encontraban los datos.
Si por el contrario se detectan escaneos de red antes de una intrusión, se pude determinar que un atacante ha estado explorando la red de vulnerabilidades o sistemas, y eso significaría que no está seguro de lo que busca.
De forma que saber si el ataque sufrido ha sido dirigido o no permite determinar el nivel de amenaza, el nivel de preocupación y qué recursos asignar.
Las seis fases de un ataque dirigido
1. Recogida de información. Los ciberdelincuentes identifican y recopilan información disponible públicamente sobre su objetivo para personalizar sus ataques. La información recopilada puede abarcar desde el software y las aplicaciones de negocio a las relaciones internas; se utilizan técnicas de ingeniería social que aprovechan eventos recientes, temas relacionados con el trabajo o áreas de interés para el objetivo previsto.
2. Punto de entrada. Se pueden utilizar métodos variados para infiltrarse en la infraestructura del objetivo como phishing de correo electrónico personalizado, exploits de Día Cero o de software, o técnicas de watering hole. También pueden utilizarse plataformas de mensajería instantánea y redes sociales para hacer que los objetivos pinchen en un enlace o descarguen malware.
3. Comunicaciones C&C. Una vez accedido a los sistemas los ciberdelincuentes de comunican constantemente con el malware para ejecutar rutinas maliciosas o recopilar información a través de servidores de comando y control (C&C). Se intenta ocultar este tipo de comunicación para mantener sus movimientos ocultos.
4. Movimiento lateral. Una vez dentro de la red los ciberdelincuentes se mueven de manera lateral por toda la red para buscar información clave o infectar otros sistemas valioso.
5. Descubrimiento de activos y datos. Una vez detectados los activos valiosos, estos se aíslan para una futura exfiltración a través de herramientas como Troyanos de acceso remoto (RAT) y otras legítimas.
6. Exfiltración de los datos. Se trata del objetivo principal de los ataques dirigidos. La transferencia de estos datos, que incluyen propiedad intelectual, secretos comerciales e información al cliente, puede realizarse rápida o gradualmente. Los ataques dirigidos se esfuerzan por permanecer sin ser detectados en la red con el fin de acceder a las joyas de la corona de la compañía o datos valiosos. Además, los actores de la amenaza también pueden buscar otros datos confidenciales como documentos de alto secreto de instituciones gubernamentales o militares.