¡Cuidado con los inquilinos!

Español | December 16, 2021 | 3 min read

El mundo cibernético se ha defendido de varias formas de ataques. Algunas de las más comunes son el robo de credenciales, la instalación de malware, gusanos y virus, y las amenazas internas. Para ejecutar estos ataques con éxito, los atacantes suelen utilizar diferentes herramientas y técnicas.

En el caso del ransomware, un atacante puede instalar un software malicioso para cifrar todos los archivos y carpetas de su red y exigir un rescate para recuperar los archivos. Maze y Ryuk fueron famosos ataques de ransomware que se ejecutaron a la perfección y causaron un gran revuelo en el sector de la seguridad informática.

¿Qué es un ataque de LotL?

Un ataque “living off the land” (LotL) es un ataque cibernético en el que un atacante utiliza herramientas y funciones del sistema objetivo para realizar una acción maliciosa. El reciente ataque de ransomware a la cadena de suministro de Kaseya es un ejemplo de ataque LotL en el que el atacante utilizó la propia tecnología de la organización en su contra. Esto permitió al atacante interrumpir la red de múltiples capas sin hacer saltar las alarmas. Los ataques LotL se consideran sin malware o sin archivos porque no dejan rastro, lo que dificulta su detección.

Por qué los atacantes cibernéticos prefieren los ataques LotL

  1. Las herramientas integradas en la red son siempre potentes: Las organizaciones suelen tener versiones actualizadas o premium de software. Esto significa que los atacantes pueden utilizar una poderosa herramienta ya disponible dentro de la red para perturbarla.

  1. Desarrollar una nueva herramienta puede ser un asunto costoso: Para los atacantes, crear aplicaciones, herramientas o técnicas personalizadas basadas en la postura de seguridad de diferentes organizaciones puede ser un asunto costoso y que requiere mucho tiempo. Utilizando las herramientas integradas en la red, el atacante puede ejecutar un ataque impecable sin mucho esfuerzo.

  1. Pueden evitar la detección: Los atacantes pueden evitar ser detectados utilizando las herramientas existentes. El sistema de seguridad no envía alertas cuando una herramienta de la lista blanca o de uso común es utilizada por los atacantes. Así, pueden pasar desapercibidos mientras llevan a cabo un ataque.

Etapas de un ataque de LotL

Los ataques LotL son bastante fáciles de ejecutar y ayudan a un atacante a acceder y moverse lateralmente por la red de una organización. Son sutiles y pueden ser tan efectivos como cualquier ataque cibernético complejo. A continuación se describen brevemente las etapas de un ataque de LotL:

  1. Incursión: Los actores de la amenaza a menudo explotan una vulnerabilidad de ejecución remota de código para ejecutar shellcode directamente en la memoria. También pueden enviar un correo electrónico malicioso con un script oculto dentro de un documento o archivo host. O pueden utilizar las herramientas del sistema al iniciar sesión con credenciales robadas.

  1. Persistencia: La segunda etapa del ataque puede implicar o no instalaciones externas. Esto depende de lo que el atacante quiera hacer dentro de la red.

  1. Carga útil: Los actores de amenazas suelen buscar herramientas de doble uso, como PowerShell, Process Explorer, PsExec y Process Hacker, dentro de una red para ejecutar el ataque.

Dado que no hay herramientas o técnicas externas involucradas, todos los entornos son susceptibles a un ataque LotL. Sorprendentemente, los atacantes suelen utilizar ataques LotL incluso en redes que están bien monitoreadas o bloqueadas. Esto se debe a que el ataque se vuelve muy efectivo en una red segura.

Una vez que el atacante encuentra la forma de utilizar las herramientas de administración en su beneficio, los ataques pueden ir desde el robo de datos hasta la instalación de ransomware. Además, como el atacante utiliza programas y procesos legítimos, será capaz de mezclarse entre otros procesos legítimos antes de realizar un exploit sigiloso.

Defenderse de un ataque de LotL

Los profesionales de la seguridad deben garantizar que estén equipados para defenderse de todo tipo de ataques cibernéticos. Aunque es difícil detectar y mitigar un ataque LotL, no es imposible. Las organizaciones pueden implementar una solución capaz de monitorear las redes y proporcionar información en tiempo real sobre el comportamiento de los usuarios. La solución también debe ser capaz de perseguir las amenazas basándose en patrones de ataque predefinidos.

La ciberhigiene y la ciberdisciplina son esenciales para proteger su red de este tipo de ataques. Además, las organizaciones deben:

  1. Disponer de una estrategia de caza de amenazas específica.

  1. Revisar regularmente los derechos y permisos.

  1. Establecer un sólido sistema de detección y respuesta de endpoints.

  1. Colocar en lista blanca las aplicaciones que sean esenciales.

  1. Monitorear de cerca las herramientas de doble uso.

Un ataque LotL puede ser tan devastador como cualquier otra forma de ataque cibernético. Es importante monitorear la red continuamente, identificar las amenazas lo antes posible y tomar rápidamente medidas correctivas contra estos ataques.

Tags : ataques ciberneticos / blog / ciberataques / ciberseguridad / cuidado con los inquilinos / living off the land / lotl / ManageEngine / manageengine blog / prevenir ciberataques / proteccion de datos / ransomware / seguridad de datos / seguridad de la informacion / software malicioso
Raghav Iyer
Sr. Product Marketing Specialist