Así actúan los cibercriminales para pasar desapercibidos en sus ataques
La mayoría de las soluciones de seguridad se centran en prevenir ataques tradicionales basados en ransomware o malware pero los cibercriminales llevan años yendo más allá en sus ataques. Tal y como desvela el informe anual de amenazas de CrowdStrike, la autenticación alternativa, cambios en los flujos de secuencias, compromiso de código o de la cadena de valor y ataque a servicios cloud crecen como vectores de ataque.
Y es que, los ciberdeliencuentes no cesan en su empeño poracceder a las redes corporativas y poder alcanzar sus objetivos, por lo que es importante conocer –y saber atajar- las técnicas más modernas y que pueden pasar desapercibidas por las herramientas tradicionales de protección.
Estas son las técnicas más utilizadas por los cibercriminales
- Uso de materiales de autenticación alternativos: “Pass The Ticket”. Los ciberdelincuentes pueden robar accesos del protocolo de autenticación Kerberos para introducirse en las redes corporativas. Con el método “Pass The Ticket”, los criminales se pueden autenticar sin necesidad de conocer las contraseñas y, por tanto, acceder a la red de forma más o menos sencilla.
- Flujos de ejecución de secuestro. Los delincuentes modifican el entorno COR_PROFILER para cargar librerías en los procesos .NET secuestrando pues los flujos de programas.
- Compromiso de códigos de programas del cliente. Una vez que se consigue el acceso a la red, el criminal puede modificar el código de los programas para conseguir persistencia. Entre los programas y protocolos afectados, CrowdStrike ha encontrado ataques en SSH, FTP, clientes de correo y navegadores web. Aunque es más común que se utilicen herramientas existentes para conseguir los objetivos, en algunos casos modificar software ha demostrado ser la mejor manera para que los criminales accedan a los sistemas, por lo que es fundamental asegurarse de que las firmas son válidas y de que los programas no están teniendo comportamientos anómalos.
- Descubriendo los servicios cloud. Cuando se ha accedido a la red, el ciberdelincuente intentará reconocer servicios cloud para poder introducirse en ellos y ampliar sus horizontes de ataque.
- Compromiso de la cadena de valor. En muchas ocasiones el ataque a una organización no tiene como objetivo tal empresa sino su cadena de valor, ya sea modificando las características de un producto o comprometiendo las vías de comunicación con clientes o proveedores para facilitar el despliegue del malware.
La entrada Así actúan los cibercriminales para pasar desapercibidos en sus ataques aparece primero en Globb Security.
Powered by WPeMatico