El ciclo de vida de un ataque malicioso

Los autores de las amenazas lanzan ataques contra las organizaciones y los usuarios a los que protegen cada día y lo hacen siempre que se les presenta la oportunidad, a menudo durante los días festivos importantes, cuando los usuarios están menos atentos y los equipos del centro de operaciones de seguridad (SOC) están fuera de la oficina. Las infracciones de alto perfil que resultan en daños importantes terminan en los titulares. Sin embargo, estas historias no suelen detallar los eventos de seguridad y los comportamientos de ataque que ayudarían a los equipos de seguridad y de TI a reforzar sus defensas.

Utilizar los datos para mejorar la prevención

Aprovechando la mayor nube de seguridad del mundo, nuestros investigadores internos de ThreatLabz reciben un flujo interminable de datos, clasificados como señales, para analizarlos y compartirlos con la comunidad de SecOps en general. Utilizando técnicas avanzadas, como la IA y el análisis ML, ThreatLabz es capaz de identificar y bloquear más de 250 000 millones de indicadores de amenazas diariamente para nuestros clientes. Aunque la mayoría de las amenazas bloqueadas son conocidas, para las amenazas desconocidas, ThreatLabz y los clientes de Zscaler, utilizan la cuarentena impulsada por IA de Zscaler Cloud Sandbox para interceptar y evitar la entrega de las amenazas a los usuarios. Las secuencias de ataque que, de otro modo, se desarrollarían en un dispositivo, se desarrollan en un entorno separado y virtual que captura e identifica los comportamientos maliciosos, compartiendo la protección con todos los usuarios, independientemente de su ubicación.

¿La buena noticia? Los ciberataques comparten patrones similares. Con un poco de ayuda de la matriz MITRE ATT&CK y poniéndose en la piel de los atacantes, puede anticipar el próximo movimiento de un adversario y fortalecer las defensas en cada etapa. Para ilustrar mejor esto, tomemos como ejemplo el rol de "Alex", analista sénior de seguridad de A2Z Health Services, que ha recibido una alerta de actividades inusuales del sistema de registro de pacientes. Tras una rápida clasificación, se han dado cuenta de que A2Z está sufriendo un ataque, pero aún hay tiempo para evitar más daños. Echemos un vistazo al ciclo de vida del ataque y veamos dónde deberían haber entrado en acción las herramientas de seguridad de A2Z para solventar la situación y dónde puede haber debilidades en sus defensas.

Una mirada más detallada al ciclo de vida de un ataque

1. Reconocimiento

Los adversarios avanzados llevarán a cabo una misión de reconocimiento, que permitirá diseñar la campaña, recopilar información valiosa y crear un plan de ataque. Un programa de educación sobre ciberseguridad bien realizado puede ayudar a los empleados a mantenerse alerta. 

Como dice el popular dicho, "el tiempo que se pasa en el reconocimiento rara vez se desperdicia". Un grupo de adversarios llamado Frying Pan identificó a A2Z Health Services como su próxima víctima y Jim, especialista en registros y finanzas, fue su próximo objetivo. Utilizando la ingeniería social, Frying Pan fue capaz de reunir información sobre la identidad de las víctimas, como los correos electrónicos del personal.

2. Acceso inicial

Después de identificar los vectores de entrada, los adversarios intentarán obtener el acceso inicial a la red. Las técnicas comunes como el uso de una cuenta válida se pueden ver desbaratadas con la autenticación de dos factores o rotaciones de contraseña. Desafortunadamente para Jim, su herramienta de seguridad de correo electrónico no detectó una campaña de spearphishing. Para mitigar esto en el futuro, el equipo de Alex puede utilizar la cuarentena impulsada por la IA de Zscaler Cloud Sandbox para analizar y bloquear los archivos sospechosos, incluso cuando el malware se entrega a través de HTTPS, un protocolo cifrado, y desde un proveedor o programa de confianza, incluidos Google Drive y Microsoft OneDrive. Aprovechando una relación de confianza con un proveedor, Jim hizo clic en el enlace de una factura vencida que hizo que se descargara un archivo de Excel que contenía una macro maliciosa. La detección y respuesta de puntos finales (EDR) y el analizador antivirus no reconocieron ninguna firma o comportamiento conocido.

3. Ejecución

Llegados a este punto en el que los adversarios han atravesado las puertas, se pueden operar múltiples tácticas simultáneamente en función de los objetivos del atacante. En el caso de Frying Pan, quieren ejecutar el malware en el sistema local de Jim haciendo que la macro solicite la descarga de bibliotecas de enlace dinámico (DLL) maliciosas para que se instalen. Se debería haber activado una potente EDR y una gestión de eventos e información de seguridad (SIEM) para identificar una situación de peligro en curso y alertar a los equipos adecuados. Para los usuarios de Zscaler Internet Access (ZIA) con Advanced Cloud Sandbox, la inspección de contenido en línea identifica una amenaza potencial desconocida, analiza el contenido y termina las conexiones maliciosas.

4. Acceso a credenciales y ampliación de privilegios

Para mantener el acceso continuo y evadir la detección, los adversarios necesitan nombres de cuenta y contraseñas. Alex y el equipo de seguridad han determinado que Frying Pan obtuvo credenciales de usuario a través de almacenes de contraseñas y la fuerza bruta que finalmente los llevó a un usuario con más privilegios con acceso al controlador de dominio. Después de cambiar las configuraciones que median y responden a las solicitudes de autenticación de seguridad, Frying Pan borró la ruta a través de la red y los sistemas de A2Z. Desafortunadamente para Alex y A2Z, pudieron evitar sus soluciones de administración de acceso y VPN, y no tenían segmentación de usuario a aplicación y de carga de trabajo a carga de trabajo o señuelos para detener la propagación de la infección.

5. Movimiento lateral

Con un acceso casi ilimitado, los adversarios son ahora capaces de navegar entre múltiples aplicaciones, sistemas o cuentas para completar su misión. Dado que Frying Pan usó credenciales legítimas para realizar el movimiento lateral en lugar de instalar su propia herramienta de acceso remoto, nadie se dio cuenta de su presencia. Para la mayoría de las organizaciones que confían en los cortafuegos de nueva generación (NGFW) o en la segmentación de la red, esto puede ser algo habitual. 

Una arquitectura de confianza cero es crucial para detener el movimiento lateral. El principio "nunca confíe, siempre verifique" garantiza que Zscaler Private Access (ZPA) conecta solo a los usuarios y dispositivos autenticados con las aplicaciones autorizadas. Los usuarios nunca se ponen en la red, las aplicaciones nunca se publican en Internet y permanecen invisibles para los usuarios no autorizados.

6. Recopilación y exfiltración

De manera similar a la etapa de reconocimiento, los adversarios buscan y recopilan información significativa. Sin embargo, a diferencia de la etapa anterior, en este caso los datos recopilados están destinados a ser utilizados para otros fines maliciosos, como la extorsión. El agente de seguridad de acceso a la nube (CASB) con prevención de pérdida de datos (DLP) puede intervenir para evitar el exceso de intercambio y bloquear la exfiltración de datos.

La etapa de recopilación fue en la que Alex detectó por primera vez actividades sospechosas de la red, en el sistema de registros de pacientes. Entre estas actividades, se incluían el acceso al sistema durante las horas no laborables y ubicaciones geográficas dispares que indicaban viajes imposibles. Tras analizarlo un poco más, quedó claro que las técnicas de exfiltración no habían comenzado. Mientras que algunos adversarios se detienen en este punto, con la intención de dejar una puerta trasera abierta para recopilar y robar más datos o propiedad intelectual, Alex y el equipo de seguridad se anticiparon a un ataque de ransomware: desconectaron el sistema de datos de pacientes de la red y desactivaron el acceso de los usuarios afectados. 

Para las víctimas desafortunadas de un ataque de ransomware, los siguientes pasos tras la exfiltración de datos son las que se detallan a continuación:

7. Instalar el ransomware y exigir el pago del rescate

El ciberdelincuente o grupo medio no crean su propia cepa de ransomware. En su lugar, se asocian con creadores de ransomware como servicio, como LockBit o Conti, y pagan a los creadores un cierto porcentaje del pago del rescate. Esto permite a los delincuentes centrarse en la búsqueda y selección de víctimas y a los creadores centrarse en el desarrollo de su "producto".

Los equipos de seguridad lo tienen difícil. Cuanto más crece la huella digital de su empresa, más importante es impedir que los autores de las amenazas obtengan el acceso inicial y se muevan lateralmente mediante la protección del paciente cero y la protección contra las amenazas en línea de Zscaler Cloud Sandbox, una parte de Zero Trust Exchange. Obtenga más información sobre cómo la plataforma Zero Trust Exchange ofrece una defensa integral frente a todo el ciclo de vida de los ataques.