¿Qué son los ataques a los que viven de la tierra y cómo detenerlos?
Tabla de contenido:
Las técnicas de piratería para vivir de la tierra (LOTL) no son exactamente nuevas, pero sí una aviso reciente de Estados Unidos y sus aliados de Five Eyes ha puesto de relieve la grave amenaza que representan para los gobiernos y organizaciones de todo el mundo.
El objetivo principal de las técnicas LOTL es ayudar a los piratas informáticos a comprometer los sistemas de TI y realizar actividades cibernéticas maliciosas contra las organizaciones sin ser detectados por las herramientas de monitoreo de seguridad. Entonces, con esto en mente, ¿qué mejores prácticas pueden adoptar las organizaciones para identificar y mitigar los ataques LOTL?
Lo que dice el aviso
El reciente aviso de Five Eyes fue emitido por agencias gubernamentales estadounidenses, incluida la Agencia de Seguridad Cibernética y de Infraestructura (CISA), la NSA y el FBI, en conjunto con socios internacionales como el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y el Centro Canadiense para la Ciberseguridad. Seguridad (CCS). Advierte que las estrategias LOTL ayudaron a los piratas informáticos patrocinados por el estado chino a lanzar devastadores ciberataques contra proveedores de infraestructura crítica (CNI) estadounidenses.
El grupo de piratería chino Volt Typhoon utilizó LOTL para permanecer oculto dentro de redes de TI críticas en sectores CNI como comunicaciones, energía, transporte y agua y aguas residuales. Su motivación parece ser el posicionamiento previo en caso de un posible conflicto con Estados Unidos y sus aliados.
"El grupo también depende de cuentas válidas y aprovecha una sólida seguridad operativa, lo que, combinado, permite una persistencia no descubierta a largo plazo", se lee. "De hecho, las agencias autoras de EE. UU. han observado recientemente indicios de que los actores de Volt Typhoon mantienen el acceso y los puntos de apoyo dentro de algunos entornos de TI víctimas durante al menos cinco años".
Una inmersión profunda en LOTL
Al realizar ataques LOTL, los ciberdelincuentes suelen aprovechar herramientas genuinas que ya están instaladas en las computadoras comprometidas. Esto les permite llevar a cabo actividades maliciosas contra organizaciones sin que sus equipos de seguridad se enteren e intervengan.
Los ciberdelincuentes suelen encontrar este enfoque más simple y sigiloso que descargar nuevas herramientas o aplicaciones en un sistema atacado, según Michael Clark, director de investigación de amenazas de Sysdig.
"Las herramientas que utilizan los atacantes también se consideran confiables en muchos casos, ya que pueden implementar la firma de código", le dice a ISMS.online. "Si la herramienta se usa comúnmente en el entorno de la víctima, su uso puede combinarse con todos los usos legítimos".
Kennet Harpsoe, analista cibernético senior de Logpoint, explica a ISMS.online que los ciberdelincuentes que lanzan ataques LOTL están motivados por el deseo de promover sus nefastos objetivos utilizando archivos binarios legítimos, integrados y firmados que ya están presentes en los sistemas informáticos del objetivo. Advierte que pueden hacer esto durante cualquier etapa de la cadena de ciberataque, incluido el descubrimiento, la persistencia, el movimiento lateral o el comando y control.
Hay una serie de factores que hacen que los ataques LOTL sean altamente peligrosos para las organizaciones. En primer lugar, debido a que utilizan aplicaciones y herramientas legítimas utilizadas por organizaciones, Harpsoe advierte que los sistemas antivirus y de detección de intrusos convencionales pueden no identificarlos.
"Esto los convierte en una herramienta valiosa y sigilosa para que los actores maliciosos evadan la detección", explica.
En segundo lugar, las estrategias LOTL permiten a los piratas informáticos realizar actividades digitales maliciosas contra sus víctimas sin dejar rastro. Este método es "increíblemente versátil" y les ofrece múltiples formas de lanzar ataques. Estos incluyen la ejecución de código y la capacidad de descargar, cargar o copiar archivos.
Descubriendo ataques LOTL
Aunque puede resultar difícil para las organizaciones detectar ataques LOTL, pueden adoptar varias mejores prácticas para reforzar las ciberdefensas.
Jake Moore, asesor global de ciberseguridad de ESET, recomienda que las empresas aseguren sus sistemas implementando controles administrativos estrictos, realizando actualizaciones y parches de software con regularidad y rastreando la actividad de la red en tiempo real.
Le dice a ISMS.online que los controles de seguridad basados en el comportamiento también pueden ser una técnica de mitigación útil contra los ataques LOTL, al resaltar cualquier actividad digital irregular que pueda sugerir que un ciberdelincuente está abusando de una herramienta legítima como el registro de una computadora.
También alienta a los empleadores a capacitar al personal para detectar y mitigar las amenazas a la seguridad en línea, ya que los ataques LOTL a menudo comienzan mediante tácticas de ingeniería social, como correos electrónicos de phishing.
Sean Wright, jefe de seguridad de aplicaciones en Featurespace, admite que mitigar los ataques LOTL no es fácil, pero dice que los programas de gestión de vulnerabilidades y parches, las soluciones de monitoreo y las alertas de anomalías pueden proporcionar una capa adicional de protección cibernética.
Harpsoe de Logpoint señala los beneficios de construir una red segregada y defendible como parte de una estrategia de seguridad pasiva. Pasos sencillos como eliminar cuentas, servicios o puertos no utilizados, implementar la autenticación de dos factores, limitar los derechos de administrador y la segregación de la red también pueden ayudar a las organizaciones a minimizar la superficie de ataque de sus redes y sistemas de TI, añade.
Yossi Rachman, director de investigación de seguridad de Semperis, dice que el primer paso para enfrentar los ataques LOTL es establecer un proceso para identificar irregularidades en el sistema que apunten a actividades sospechosas.
“Preste especial atención a los procesos y controladores de los terminales. También supervise continuamente la ejecución del proceso, especialmente para LOLBin (Living off the Land Binaries) común como PowerShell, WMIC y certutil”, le dice a ISMS.online. “Revisar la información disponible públicamente y mantenida continuamente proyecto lollabs para obtener una lista de binarios comúnmente utilizados (abusados).
Agrega que monitorear la actividad de la línea de comandos, así como el uso de sistemas de respuesta y detección de identidad, herramientas de monitoreo de red y análisis de comportamiento, también puede ayudar a las empresas a identificar comportamientos sospechosos que sugieran que se está produciendo un ataque LOTL.
Kelly Indah, experta en tecnología y analista de seguridad de Increditools, destaca la importancia de compartir información para abordar este problema global.
"La cooperación internacional para documentar la evolución de los manuales de juego de los adversarios estatales es invaluable para levantar defensas en todos los lugares donde dichos grupos puedan volver su mirada", le dice a ISMS.online. "Juntos podemos fortalecer nuestro escudo incluso contra las amenazas más sigilosas".
Las técnicas de piratería LOTL representan una amenaza significativa para las organizaciones de todo el mundo, ya sea que las utilicen estados nacionales o grupos de piratería con motivación financiera. Aunque estos ataques son engañosos por diseño, las empresas pueden abordarlos mejorando la higiene cibernética y siguiendo las mejores prácticas de la industria.
