Casi un tercio (30%) de los ciberataques investigados por el equipo de Kaspersky Global Emergency Response en 2019 involucró herramientas legítimas de control y administración a distancia. De esta forma, los atacantes pudieron permanecer, sin ser detectados, durante un período de tiempo más largo, espiando o realizando robo de datos confidenciales, con un promedio de duración de 122 días, según el reciente Informe de análisis de respuesta a incidentes de Kaspersky.
El software de monitoreo y administración ayuda a los administradores de TI y de redes a realizar sus tareas cotidianas, como son resolver problemas y brindar a los empleados asistencia técnica. Sin embargo, los ciberdelincuentes también pueden aprovechar estas herramientas legítimas durante ciberataques. Una vez dentro de la infraestructura de una empresa, los cibercriminales utilizan este software para acceder y extraer información confidencial de manera sigilosa, evitando los controles de seguridad destinados a detectar malware.
En total, el análisis de datos anónimos de casos de respuesta a incidentes (IR, por sus siglas en inglés) mostró que 18 herramientas legítimas fueron utilizadas indebidamente para fines maliciosos. Entre estas, la más utilizada fue PowerShell, que apareció en el 25% de los casos y puede ser utilizada para muchos propósitos, desde recopilar información hasta la ejecución de malware. En segundo lugar aparece PsExec, una aplicación de consola diseñada para la ejecución de procesos en endpoints remotos, aprovechada en el 22% de los ataques. Le siguió SoftPerfect Network Scanner, cuya función es recuperar información sobre entornos de redes, utilizada en el 14% de incidentes.
La ejecución de ataques por medio de herramientas legitimas dificulta la detección de amenazas para las soluciones de seguridad, pues las acciones relacionadas pueden ser parte de una actividad cibercriminal planificada como de una tarea regular del administrador del sistema. Por ejemplo, en el segmento de ataques que duró más de un mes, el tiempo promedio de los ciberincidentes fue de 122 días. Como no fueron detectados, los ciberdelincuentes pudieron recopilar, de manera sigilosa, datos confidenciales de las víctimas.
Sin embargo, los expertos de Kaspersky señalan que a veces las acciones maliciosas con software legítimo se descubren con bastante rapidez, como en los ataques de ransomware, donde los daños son percibidos inmediatamente. En estos casos, el tiempo medio de duración fue de un día.
“Para evitar la detección y permanecer invisibles durante el mayor tiempo posible en una red comprometida, los atacantes utilizan ampliamente software que ha sido desarrollado para la actividad normal de un usuario, las tareas del administrador y el diagnóstico del sistema. Con estas herramientas, los atacantes pueden recopilar información sobre redes corporativas y luego realizar un movimiento lateral, cambiar la configuración del software y del hardware o, incluso, llevar a cabo alguna forma de actividad maliciosa. Por ejemplo, podrían usar software legítimo para cifrar los datos de clientes o para pasar desapercibidos por los analistas de seguridad, pues muchas veces estos detectan el ataque solo después de que el daño ya está hecho. No es posible excluir estas herramientas por muchas razones, sin embargo, los sistemas de registro y monitoreo implementados adecuadamente ayudarán a detectar actividades sospechosas en la red y ataques complejos en etapas iniciales”, comenta Konstantin Sapronov, jefe del Equipo de Respuesta global a emergencias de Kaspersky.
Para detectar y reaccionar a estos ataques rápidamente, las organizaciones deben, entre otras medidas, implementar una solución de detección y respuesta (EDR) en endpoints con un servicio de gerenciamiento de detección y respuesta (MDR- Managed Detection and Response). Una evaluación de MITRE ATT&CK® Round 2, que examina varias soluciones, incluidas Kaspersky EDR y el servicio Kaspersky Managed Protection, puede ayudar a los clientes a escoger soluciones EDR más adecuadas a las necesidades específicas de su empresa. Los resultados de la evaluación ATT&CK demuestran la importancia de adoptar una solución integral que combine un producto de seguridad de múltiples capas totalmente automatizado y un control manual de amenazas.
Para minimizar las posibilidades de que un software de administración a distancia se utilice para penetrar en una infraestructura, Kaspersky también recomienda las siguientes medidas:
- Limite el acceso a herramientas de administración a distancia desde direcciones IP externas. Asegúrese de que solo se pueda acceder a las interfaces de control remoto desde un número limitado de endpoints
- Aplique una estricta política de contraseñas para todos los sistemas de TI e implemente la autenticación de varios factores
- Ofrezca privilegios limitados al personal y otorgue cuentas con privilegios elevados solo a aquellos que lo necesiten para realizar su trabajo
Kaspersky ofrece dos soluciones de categoría EDR: para grandes empresas o estructuras de seguridad consolidadas, Kaspersky EDR proporciona características de investigación detalladas y avanzadas con datos de inteligencia de amenazas, búsqueda de amenazas y una respuesta centralizada a ataques complejos de múltiples capas. A su vez, Kaspersky EDR Optimum proporciona una funcionalidad clave de EDR, que incluye una mejor visibilidad de endpoints, análisis de causa raíz simplificado y opciones de respuesta automatizadas, para organizaciones con recursos limitados y expertos en ciberseguridad.
Para obtener más información sobre Kaspersky EDR, visite el sitio web oficial. El informe completo de Análisis de respuesta a incidentes está disponible a través de este enlace.