- Los Equipos Terminales (PC, Tablet, Móvil) son el punto de entrada a nuestro entorno de Red (datos, credenciales, a toda su empresa). Un equipo comprometido proporciona todo lo que un atacante necesita para establecer una puerta en su red, robar datos, o encriptarlos para obtener un rescate.
- Los Hackers saben cómo eludir el software antivirus tradicional con ataques diseñados sin archivos, para ocultarse dentro de las aplicaciones e incluso dentro del propio sistema operativo. Los ataques a terminales, representaron el 77% de todos los ataques reportados en 2017.
- Por lo tanto, incluso si está atento a instalar parches y eliminar las actualizaciones de antivirus, es probable que su organización aún esté en riesgo. A continuación, veremos cómo los atacantes han adaptado sus tácticas para evadir los antivirus tradicionales, cómo funcionan estos ataques, cada vez más comunes, y cómo evolucionar rápidamente su estrategia de detección de amenazas
Ataques I (Cripto-Mineros)
- Las herramientas de Cripto-Minería convierten la potencia informática en ingresos. Mientras que el mercado de criptomonedas crece rápidamente, resulta que la CPU requerida para extraer criptomonedas resulta muy costosa. Por lo tanto, los atacantes crean malware y otros ataques para desviar silenciosamente los recursos informáticos de los equipos para generar criptomonedas.
- Los métodos incluyen la explotación de los recursos expuestos de la nube o las credenciales de la cuenta de para robar los recursos de computación en la nube, a menudo denominados "cryptojacking"; los ataques basados en navegador que funcionan mientras un visitante está navegando en un sitio web legítimo pero comprometido; y malware Criptomineros, que frecuentemente entran a través de campañas de phishing.
- Cualquier tipo de ataque de criptominería puede tener efectos desastrosos para su negocio. Los atacantes pueden convertir equipos y nubes comprometidos en ejércitos zombies silenciosos de mineros de criptomonedas (todos sin una sola alerta antivirus).
- Sin herramientas avanzadas de detección de amenazas que incluyan sus terminales y acceso a nubes públicas, puede que las únicas alertas de que sus recursos informáticos pueden haber sido secuestrados, podría ser una caída en el rendimiento de la aplicación, de la red o una factura de la nube que se dispara.
Ataques II
PowerShell Inverso
- Incluso en las novelas de espionaje, todos saben que la mejor forma de evitar la detección es actuar como si estuvieras dentro. Los atacantes siguen este enfoque, ya que utilizan cada vez más PowerShell y otros servicios para evadir el software antivirus tradicional. Al obtener acceso a credenciales de administrador y ejecutar acciones de administración autorizadas, los atacantes cibernéticos pueden reducir su dependencia del malware o “exploit kits”, y evadir la detección más fácilmente, lo que permite una operación de robo de datos más sigilosa.
“Jacking” a Sesiones de Escritorio Remoto (RDP)
- El protocolo de escritorio remoto (RDP) permite conectarse de forma remota a un sistema de Windows, generalmente a través de contraseña del usuario antes de poder obtener acceso a la sesión. Sin embargo, un exploit conocido para eludir esto es ejecutar tscon.exe (el proceso del cliente RDP) como usuario del sistema, que no le pide una contraseña. Esto no activa las alarmas antivirus. Pro-tip: los servicios RDP públicamente disponibles en sus terminales, son como una invitación a los hackers.
Ataques III
APTS / ROOTKITS
- Las amenazas persistentes avanzadas (APT) implican una serie de pasos, cada uno de los cuales puede evadir fácilmente los métodos tradicionales de detección. Estas amenazas combinadas a menudo comienzan con un correo electrónico de phishing para capturar credenciales y luego pasan a la instalación de malware como “rootkits”, que se incrustan profundamente en el sistema operativo del equipo terminal. Una vez que tiene acceso “root” a nivel del kernel, todas las barreras se desactivarán y el sistema se iniciará por completo.
RANSOMWARE
- Los atacantes saben cómo innovar. Las recientes innovaciones de ransomware incluyen la oferta de ransomware-asa-service, así como la orientación de aplicaciones corporativas en la nube ampliamente utilizadas. Un ejemplo que evade fácilmente a los antivirus es el ransomware ShurL0ckr, que se dirige a las plataformas de intercambio de archivos empresariales basadas en la nube. Ransomware-as-a-service permite a los atacantes pagar a su autor un porcentaje del rescate una vez que se genera y distribuye la carga útil que encripta los archivos en el disco.
Desde CGS podemos ayudarle a estudiar y minimizar sus Riesgos en Ciberseguridad.
CGS dispone de un equipo de Profesionales expertos en Sistemas, Comunicaciones y Seguridad.
|