Quizás hayas oído hablar en algún momento de los ataques LotL o Living off the Land, caracterizados por aprovecharse de las puertas de entrada existentes en los sistemas informáticos.
Normalmente, estos ataques siguen un patrón similar que pasa por infiltrarse en una red empresarial, comprometer sus sistemas, escalar privilegios y desplazarse lateralmente hasta obtener el acceso a los sistemas sensibles que requieren para ejecutar su ataque ransomware.
Desde la empresa especializada en la gestión de acceso privilegiado CyberArk aseguran que es posible desglosar comportamientos y señales de alerta en la etapa crítica de un ataque de ransomware LoTL para detectarlo de manera anticipada y amortiguar así su posible daño. Así, señalan una serie de pasos que pueden resultar muy útiles para las empresas y empleados:
Etapa 1 — Primer contacto
Muchos de los atacantes se basan en técnicas de phishing, mientras que otros obtienen acceso inyectando código malicioso o secuencias de comandos en una experiencia de navegación online normal para descubrir vulnerabilidades, lo que se conoce como “compromiso de drive-by”. Otros incluso manipulan el software antes de que llegue al usuario final en un ataque a la cadena de suministro. Con solo una de esas técnicas o varias combinadas abrirá la puerta.
Etapa 2 — Ejecuta tus ejecutables
Una vez dentro, el objetivo del atacante es ejecutar el código malicioso. Para ello hay varias opciones: se puede abusar de los comandos de PowerShell y hasta manipular PsExec, una herramienta que brinda a los administradores de TI una forma de ejecutar procesos usando las credenciales de cualquier identidad de forma remota. También es posible crear un entorno uniforme para el acceso remoto y local a los componentes del sistema de Windows a través de Instrumental de Administración de Windows (WMI), que puede abrir rutas de ataque.
Asimismo, los ciberdelincuentes pueden modificar el código fuente y provocar una actualización de seguridad, aparentemente inocua, que, en realidad, es el malware disfrazado, tal y como se vio en el ataque a la cadena de suministro SolarWinds.
Etapa 3 — Mantener el punto de apoyo
En esta etapa el atacante se instala y aprovecha al máximo el tiempo y el anonimato que sus técnicas le ofrecen. Puede crear sus propias cuentas para mantener el acceso a los sistemas de las víctimas o utilizar Logon AutoStart para ejecutar programas durante los arranques del sistema y obtener acceso a más privilegios en los sistemas comprometidos.
Etapa 4 — Take it Up a Notch
Una vez asentado, el atacante trata de obtener permisos de nivel superior. Por ello, muchos buscan credenciales de cuenta de dominio, especialmente las de los administradores de dominio que tienen acceso a sistemas Tier0, como Active Directory, y prefieren cuentas de servicio vinculadas a identidades no humanas, pues estas contraseñas se cambian con poca frecuencia.
A través de técnicas como el volcado de credenciales del sistema operativo, los atacantes obtienen la información de inicio de sesión a medida que se acercan a las claves de los sistemas más potentes. Todo ello, bajo la apariencia de cuentas y herramientas “legítimas” para evadir las defensas.
Etapa 5 — Forjar un pase de acceso total
Con los privilegios de administrador de dominio conseguidos, el atacante tiene la potestad de manipular los controladores de dominio o extraer datos de contraseña de Active Directory mediante la ejecución de DCSync, que puede producir hashes actuales e históricos de cuentas potencialmente útiles o intentar tener acceso a secretos de Autoridad de Seguridad Local (LSA) para obtener información de las cuentas.
Etapa 6 — Moverse con facilidad para lograr el objetivo
Con libertad de movimientos obtenida, el atacante se centra en el movimiento lateral. Sus claves Kerberos falsificadas le permiten eludir los controles de seguridad y acceso mientras busca datos para extraer y espera el momento adecuado para exfiltrar datos sensibles, cifrar archivos y exigir un rescate. En otros casos, el atacante puede usar cuentas válidas para interactuar con un recurso compartido de red remoto usando Server Message Block (SMB).
El diseño de una estrategia eficaz de protección contra ransomware asignada al marco MITRE ATT&CK requiere que las organizaciones investiguen las zonas a lo largo de la cadena de ataque que presentan los niveles más altos de riesgo y las prioricen. Pero cuando se trata de mitigar el daño causado por los ataques LotL, la primera etapa suele ser el sitio donde comenzar.
Un enfoque de seguridad endpoint de varias capas que combina la defensa de privilegios mínimos, la autenticación fuerte para las identidades, la protección contra el robo de credenciales, el control de aplicaciones y el bloqueo de ransomware les pone las cosas más difíciles a los atacantes para obtener acceso y mantener la persistencia.